インシデント発生を前提とした事前対応策−長期休暇中のインシデント発生時のケース別対応案【後編】

　夏休みなどの休暇中にWeb改ざんや情報漏えいなどのインシデントが発生すると、ウイークデイと異なり、初動対応が遅れ被害が拡大する場合があります。
　また、IPAやJPCERT/CCなどのセキュリティ専門機関は、長期休暇に関わるセキュリティ対策のポイントを毎年公開して

特集特集

2009年8月12日（水） 11時15分

　夏休みなどの休暇中にWeb改ざんや情報漏えいなどのインシデントが発生すると、ウイークデイと異なり、初動対応が遅れ被害が拡大する場合があります。
　また、IPAやJPCERT/CCなどのセキュリティ専門機関は、長期休暇に関わるセキュリティ対策のポイントを毎年公開していますが、そうした予防策を超えた攻撃が増えている現状があります。
　そこで今回は、予防策は当然のこととして実施している企業の管理者に向けて、いざ休暇中にインシデントが起こってしまった場合どうするか、その事前対応策と、インシデント発生後の具体的行動について、株式会社ラックの岩井博樹氏に寄稿いただきました。対応策は、企業により異なるIT運用実態と、ウイルスやDDoS等の攻撃類型別のケースごとに解説されています。

株式会社ラック
http://www.lac.co.jp/

●組織毎に異なる対応策

　一般論ではどうしても上手くいかないのが、組織としてアクションを起こす場合だ。パターンが幾つかあるので代表的な例を3つ紹介しよう。

(1)丸投げパターン

　比較的多く見られるのが、IT関連の運用を外部のSIer等に丸投げしているケース。セキュリティ・インシデントはウイルス感染以外はそうそう起るものではない。（起っている企業もあるが…）

　そのような状況で、「情報漏えい事件が起きたのでやっておいて！」と丸投げされても、担当しているSIerも困ってしまう。苦し紛れに調査をしてみるものの、往々にしてボロボロだ。筆者の経験上、もっとも多く聞くセリフは何といっても、「ヤバそうだったので、フォーマットしておきました！」だ。もはや慣れっこなので動揺などしないが、この言葉いつ聞いても心が折れそうになる。

　こうなってしまうと、原因究明は困難極まりない。そうならないよう、丸投げしている組織では、セキュリティ関連のインシデントが発生した場合は、まずはインシデント対応を請け負うセキュリティ専門企業や仲の良いCSIRT仲間に相談しよう。数分でも話をすれば、何をすれば良いか適切なアドバイスが貰えるはずだ（たぶん）。

(2)巨大グループ企業パターン

　意外に悩ましいのは巨大なグループ企業のケースだ。大きな企業はそのオフィスが全国に点在しており、一部門だけでは対応は難しい。そこで、提案したいのが複数のグループ会社間で「仮想セキュリティチーム」を設置することだ。実際に、このような動きをしている企業は幾つか存在しており、それなりの成果を挙げている。

　ただ、全ての組織をカバーできるわけではないので、あくまで概念的に捉えておく必要がある。遠隔での指示は中々難しいため、各拠点でのキーマンをおさえておくなど細部にわたり気を使う必要がある。また、実現するにあたり、最も高いハードルが複数のグループ企業の経営層への理解を求めることだ。ビジネスに直結するわけではないので、非常に渋い顔をされることが多いが、ここは諦めずに納得してもらうしかない。

(3)ホスティングサービス利用パターン

　近年、多いのがこのケースだ。格安ホスティングサービスを利用し、Eコマースサイトを運用していたら、SQLインジェクションやメンテナンス経路からの侵入等により個人情報が漏えいしてしまう事件が後を絶たない。

　サービスの制限により証拠保全が適切に実施できなかったり、原因究明に必要なログ量に満たないことが、インシデント対応の障壁となる。休暇に入る前に、過去のログを全て吸い上げ、ホスティング会社にインシデント発生時にどこまで対応が可能であるか、セキュリティ専門会社との契約の有無等を聞いておくと良い。

　その他に押さえておきたいのは、HDDまるごとのイメージ取得は可能であるか、無理な場合は管理者権限を借りての操作は可能であるか、過去のログはいつまで提供可能であるのか、などである。近年では仮想サーバーを利用しているサービスも普及してきているので、良くサービス仕様を確認しておこう。

●インシデント別応急対応術

　さて、いざインシデントが起きてしまうと何をしてよいものか分からなくなる（インシデント慣れしている組織も如何なものかと思うが）。簡単ではあるが、最近多いインシデントへの応急対応処置を紹介する。

(1)ウイルス / ボット

　やはり多いのがウイルスやボットだ。近年は自己削除するものや、メモリ上に常駐するものなど多種多様であるため、慎重な初動対応が要求される。対応方法は様々であるが、揮発性データを確実に取得するように心がけてもらいたい。

　ちなみに筆者の好みは、最初にメモリダンプを取得する方法だ。（この際、ネットワークケーブルは抜かないことに注意）理由は単純で、運良くメモリ上から不正なプロセスやネットワーク情報を検出することが出来れば、その後の原因究明がスムーズに運ぶためだ。メモリダンプ解析の敷居が高いと感じる場合でも、取得しておけば後に外部にお願いすることも可能であるため、取得しておいて損は無い。

　次にHDDのイメージ取得など、証拠保全を実施する方法もあるが、ウイルス感染時に感染PC全てに対して実施してしまうと恐ろしく効率が悪い。（1台ならともかく、複数台となるとウンザリ）そこで、FTK Imagerなどの簡易フォレンジックツールを利用し、システムのスナップショット上で不審ファイルを探すことを推奨している。これらの操作はHelixなどのインシデント対応用のCD-ROMがあればすぐに実践できるので、一枚CD-ROMを作成しておくと良いだろう。

Helix
http://www.e-fense.com/index.php

(2)Webサイトへの侵入 / 情報漏えい

　ECサイトへ侵入されてしまった場合はどうしたら良いだろうか。侵入や情報漏えい事実が明らかであれば、すぐに証拠保全すべきである。とはいうものの、やはり焦って色々サーバを操作してしまうことが想定されるので、筆者がやって欲しくない項目を3つ挙げておこう。

【筆者がやって欲しくない操作】
・管理者によるログオン（そもそもログオン自体してほしくない）
・ファイルの編集 / 削除、もしくはフォーマット
・シャットダウン / リブート

　少しでも不安を感じたら、すぐにセキュリティ専門会社に連絡しよう。きっと状況に合わせて適切なアドバイスをして貰えるはずだ。

(3)DDoS / DoS

　DDoS / DoS は他の攻撃とは異なり、技術者が何かをすれば解決する問題ではない。まず事前に経営者の意見を伺っておくことを推奨する。特にECサイトにDoS攻撃が行われた場合の判断は難しい。サービス停止許容時間はどのくらいなのかを念頭に置きつつ対応することが要求される。1時間程の停止でも困るレベルであれば、最初からMitigation Systemを導入しておくことを推奨する。多少は仕方ない、もしくは特に重要サイトでなければ、諦めてしまおう。ネットワークケーブルを抜くと、結局Webサイトは閲覧出来なくなることを考えると同じことだ。

　もし、緊急でどうしても対処しなければならない場合は、セキュリティ専門会社へ連絡しよう。きっと対策機器を担いで登場してくれるはずだ。

●インシデント発生確率は上がる

　近年のサイバー攻撃は被害を未然に防ぐことが難しくなってきている。つまり、従来に比べ高い確率でインシデントが発生することになる。これは出社率の低いお盆休みでも同様だ。ひとりでも出社していれば、ウイルス感染等の可能性があり、ECサイトを運用していれば常に情報漏えいのリスクを抱えることになるのだ。

　そういった意味では、インシデント発生後を見据えた対策は、組織防衛の観点から予防策以上に重要なものだ。不確実な事象に対しての対策となるため、予防策以上に難しい。

　原因究明に必要な材料を収集するための仕組み、自組織で対応可能な範囲の決定、インシデント発生時のヘルプ先などを押さえておくことで、傷口を最小限に抑えながら一定の効果が期待できる。

　特に休暇中に社内等で発生したインシデントは、「出社している社員はいない筈なので、インシデント発生はあり得ない」という先入観があるため、原因究明に時間がかかることが想定される。しかし、インシデントのほとんどは単純な理由により発生していることが多い。何が起きても動けるよう、想像力豊かに対策を実施してもらいたい。お盆休みも気を抜かず、頑張っていこー！

【執筆：株式会社ラックサイバーリスク総合研究所コンピュータセキュリティ研究所所長岩井博樹】

【関連記事】
インシデント発生を前提とした事前対応策−長期休暇中のインシデント発生時のケース別対応案【前編】
https://www.netsecurity.ne.jp/3_13792.html

《ScanNetSecurity》