監視部隊が検知した「不審な通信」の中身を見極めるのがCSIRTだ。今回はその調査方法と被害復旧について手順とポイントを解説する。マルウエアをばらまくサーバーだけに気を取られてはいけない。PC内部を暗号化して身代金をゆする「ランサムウエア」も要注意だ。
インシデント(セキュリティ上の事故)対応を担当するチームであるCSIRT(Computer Security Incident Response Team)は、セキュリティ機器などの監視を担当するチームであるSOC(Security Operation Center)がサイバー攻撃を検知すると、それを引き継いで調査から復旧までを担当します。今回はCSIRTの主要業務ともいうべき、一連の流れを具体的に解説します。後半では感染による被害が増加しているマルウエア(悪意のあるソフトウエア)である「ランサムウエア」の実態や対処方法を掘り下げます。
誤検知・過検知は起こりうる
CSIRTは自組織で構築することが一般的です。ですが、セキュリティ機器が多様化して運用も高度化・複雑化しているため、SOCについてはセキュリティ会社などに外部委託している組織も多いでしょう。
また、組織の規模が大きいほど担当部署が細分化する傾向があり、プロキシーサーバーやファイアウォールの運用を担当している部署、ユーザー対応を担う部署などが分かれがちです。SOCが攻撃を検知した後、スムーズに連携できるよう、事前に各部署の役割と対応プロセスを明確にしておくことが、大前提として欠かせません。
サイバー攻撃の侵入を防ぐ「入口対策」と情報漏洩を防ぐ「出口対策」の必要性が増し、セキュリティ機器の増設が進んでいることと思います。SOCは特に通信を監視するセキュリティ製品のログなどを分析して、外から内、内から外の両方で不審な通信が発生していないかを随時監視します。
監視製品は不審な通信を検知するとアラートを上げ、SOCはそのアラート内容を確認してCSIRTに伝達します。CSIRTはそこからインシデント対応を開始します。
まず取り組むべきは不審な通信を発信したPCの特定です。アラート情報が明らかにしたIPアドレスを手掛かりにして調べます。特定できたらPC利用者や部署のセキュリティ担当者などに連絡し、当該PCのLANケーブルの抜線や無線LAN機能の利用停止を指示することで、当該PCをネットワークから切り離します。
組織によってはこの後、発信元PCを初期化したり、セキュリティ会社が提供するマルウエア駆除用ツールを実行したりすることを、インシデント対応のマニュアルやポリシーで定めている場合もあるでしょう。
注意していただきたいのは、監視製品が過検知・誤検知する可能性があることです。手順に沿って対処を急ぎたい気持ちは分かりますが、発信元のPCを初期化する場合でも、このことを十分念頭に置いて作業に当たる必要があるでしょう。
発信元のPCに対処するのと並行して、組織内から出る不審な接続先への通信をプロキシーサーバーやファイアウォールで遮断する措置を進めます。組織内で既にマルウエアなどの感染が広がっている恐れがあるためです。
次にアラートの内容を詳細に分析します。自社で判断できなければセキュリティ会社などへ依頼しましょう。分析の結果、不正な通信と判明した場合は遮断を継続し、誤検知・過検知と判明した場合は遮断を解除して、インシデント対応を終了します。
監視製品はどのような通信を「不審」とみなすのでしょうか。代表例は、PC内のアプリケーションの脆弱性を悪用するマルウエアが置かれた不正サーバーとの通信です。これと並んで、不審なファイルをダウンロードしている通信もよく検知します。この二つの代表例において、CSIRTがアラートを分析する際のポイントは、それぞれ次の通りです。