前回に続いて、組織がマルウエアに感染した際の対応を解説する。「2次対応」ではマルウエアを解析し、影響を調査し、再発防止につなげる。だが攻撃者は解析を避けるあの手この手を打ってくる。敵の手口を知った上で素早くかつ深く解析する腕を磨こう。
マルウエア(悪意のあるソフトウエア)感染が分かった時のインシデント(セキュリティ上の事故)対応として、前回は「1次対応」を解説しました。感染PCをネットワークから隔離すると共に、攻撃者が操る外部の「C&Cサーバー」やマルウエア配布サイトへの通信を遮断する1次対応は、どんな組織でも必要不可欠です。
さらなる感染の拡大を防ぐ1次対応だけでは、マルウエア感染による全てのリスクを排除できません。さらに深くインシデントを調べる「2次対応」が必要です。これにより「マルウエアの悪意のある働きは検知できた通信に関わるものだけか」「内部で感染が広がっていないのか」「既に何らかの情報が外部に漏洩しているのではないか」といった疑問に明確に回答できるようになります。
2次対応でCSIRTの信頼も上がる
2次対応はCSIRT(情報セキュリティインシデント対応チーム)の評価を高めることにもつながります。1次対応の後、よくPC利用者からこんな声が上がりがちです。「いつまでネットワークから隔離するのか。仕事ができないじゃないか」「遮断先は業務でアクセスが必要だ。なんとか我々の部署だけでもアクセスさせてくれないか」。
「セキュリティ上のルールですので、ご了承ください」とも説明できますが、こう突き放してはPC利用者との信頼関係は築けません。PC利用者からの通報はインシデント対応のきっかけでもあり、信頼関係は大切です。
2次対応で感染原因や感染経路、マルウエアの内容、情報漏洩の有無などをきちんと、素早く特定すれば、利用部門に脅威やリスクの大きさを丁寧に説明しながら、なぜ隔離や遮断を続ける必要があるのかを具体的かつ合理的に説明できます。対処に納得感を持ってもらえ、結果的にCSIRTへの信頼感を高めてもらえます。2次対応の時間はマルウエア1個につき1日(8時間)をめどにして、解析が難しければ外部と連携しましょう。
