前回に引き続き、マルウエア感染のインシデント対応で“最後の砦”となる「デジタルフォレンジック(コンピュータ鑑識)」を解説する。その一つのネットワークフォレンジックは何が漏洩したか明らかにする。攻撃者の隠ぺい工作の手口を知って解析を進めたい。
マルウエア(悪意のあるソフトウエア)に感染した際、「誰(どのようなプログラム)が」「いつ」「何を」「どこに」「どうした」を明らかにする「デジタルフォレンジック(コンピュータ鑑識)」を前回に続いて解説します。
前回取り上げた「コンピュータフォレンジック」と「メモリーフォレンジック」は「何を」情報漏洩させようとしたか、推察の域を出ることができません。今回は「何を」を「ネットワークフォレンジック」でどう明らかにするかを解説します。
後の祭りにしないために
ネットワークフォレンジックとは、セキュリティ事故(インシデント)に関連する通信パケットを解析して原因などを明らかにする調査作業です。実際に送受信された通信の中身を調査するため、多くの場合、具体的に「何を」送受信したのかが分かります。
インシデントが起こってからでは原因調査に使う通信パケットを取得できません。後の祭りにならないよう、インシデント発生に備えて事前に取得しておく準備が欠かせません。
パケットを収集する箇所はネットワーク上に二つあります。インターネットと社内ネットワークの境界に設置したゲートウエイ装置と、LAN内部のスイッチです(図1)。
順に説明します。まずゲートウエイは2種類あります。公開サーバーを置くDMZ(非武装地帯)側につながるルーターと、LAN側につながるルーターです。ルーターからパケットを収集するには「ネットワークTAP」と呼ばれるハードウエア的にパケットをコピーする装置をルーターに接続し、TAPに接続したパケット収集装置にコピーパケットを保存します。
