前回に続いて、組織がマルウエアに感染した際の対応を解説する。「2次対応」ではマルウエアを解析し、影響を調査し、再発防止につなげる。だが攻撃者は解析を避けるあの手この手を打ってくる。敵の手口を知った上で素早くかつ深く解析する腕を磨こう。
マルウエア(悪意のあるソフトウエア)感染が分かった時のインシデント(セキュリティ上の事故)対応として、前回は「1次対応」を解説しました。感染PCをネットワークから隔離すると共に、攻撃者が操る外部の「C&Cサーバー」やマルウエア配布サイトへの通信を遮断する1次対応は、どんな組織でも必要不可欠です。
さらなる感染の拡大を防ぐ1次対応だけでは、マルウエア感染による全てのリスクを排除できません。さらに深くインシデントを調べる「2次対応」が必要です。これにより「マルウエアの悪意のある働きは検知できた通信に関わるものだけか」「内部で感染が広がっていないのか」「既に何らかの情報が外部に漏洩しているのではないか」といった疑問に明確に回答できるようになります。
2次対応でCSIRTの信頼も上がる
2次対応はCSIRT(情報セキュリティインシデント対応チーム)の評価を高めることにもつながります。1次対応の後、よくPC利用者からこんな声が上がりがちです。「いつまでネットワークから隔離するのか。仕事ができないじゃないか」「遮断先は業務でアクセスが必要だ。なんとか我々の部署だけでもアクセスさせてくれないか」。
「セキュリティ上のルールですので、ご了承ください」とも説明できますが、こう突き放してはPC利用者との信頼関係は築けません。PC利用者からの通報はインシデント対応のきっかけでもあり、信頼関係は大切です。
2次対応で感染原因や感染経路、マルウエアの内容、情報漏洩の有無などをきちんと、素早く特定すれば、利用部門に脅威やリスクの大きさを丁寧に説明しながら、なぜ隔離や遮断を続ける必要があるのかを具体的かつ合理的に説明できます。対処に納得感を持ってもらえ、結果的にCSIRTへの信頼感を高めてもらえます。2次対応の時間はマルウエア1個につき1日(8時間)をめどにして、解析が難しければ外部と連携しましょう。
2次対応は、今後の対策レベルを高めるためにも有効です。対応結果を対策に反映することは、類似マルウエアや同種の通信先への通信を早期検知することにつながり、外部への情報漏洩や感染拡大を防止することに役立ちます。
2次対応で詳細に調査するには情報ソースが必要です。一般的にマルウエア感染のインシデント対応であれば、次の三つの情報ソースが必要です。
・感染したマルウエア検体(用途は影響範囲の推定と攻撃傾向の調査)・感染PCのハードディスクやメモリー(用途は感染原因や影響範囲の特定)
・感染PCの通信パケットキャプチャー(用途は感染原因や影響範囲の特定、攻撃傾向の調査)
いずれも調査や分析に高いスキルが必要です。さらに感染PCのハードディスクや通信パケットには何が起きたかの「証拠」が残っているものの、総じてデータ量が膨大なため、調査には時間がかかります。外部の専門機関に委託すると数日から1カ月程度の調査が必要です。2次対応を進めるには、しっかりとした解析システムや分析ツールの準備と、スキルを持った技術者の確保、一定の調査期間が必要であるということを理解してください。
以下で具体的な2次対応の概要と方法を解説します。「感染したマルウエアの検体」を使って早急にマルウエアの影響範囲を調査するシナリオを想定しています。