今回は番外編として、ソリトンシステムズ荒木氏と、Ji2でフォレンジックに携わっているM氏の両名に、最近のフォレンジックについて話を聞いた。(※インシデント対応を行う Ji2 のフォレンジックエンジニア M 氏は匿名)●『封じ込め(被害の極小化)』と『証拠保全』の両立?――― 連載の中でも、フォレンジック関連の記事(第5回 ・ 第6回)は、納得して読まれた読者が多かったようです。荒木氏「フォレンジックの記事に対しては、例えば『ランサムウェアに感染して、ファイル暗号化が進行中なのに、証拠保全のためには電源を落とさず放置しないといけないの?』というご質問を頂くなど、関心の高さを感じました。」M氏「電源を落とすのではなく、休止モード(ハイバネ―ション)にしたら、まだ救済できるファイルもあるのでは?といったご質問もありましたね。実際は、ランサムウェアの挙動も様々なので、休止モードにすることに意味があるかどうかは状況にも依るのですが、目の前でそのPCにおける被害がどんどん広がっていく様子を放置したくない切実なお気持ちが伝わってきました。」荒木氏「やはりインシデント対応現場では、『封じ込め(被害の極小化)』と『証拠保全』が両立できないケースが存在するので、あらかじめインシデント対応時に何を優先するのかを、組織のビジネスに照らし合わせて決めておくことが大事ですよね。」M氏「はい。『そうは言っても何とか両立できないか?』とも言われることもあるのですが、両立が困難なケースは必ず出てくるものなので、ちゃんと方針を決めておいたほうが良いですね。ランサムウェアに関しては、被害に遭う前に、バックアップ対策や感染リスクを低減する対策を地道に行うしかないと思います。」●事実を曲げるような報告書のご依頼――― こうしたご質問は、フォレンジックサービスを受けたことが無い方からいただくことが多いようですが、よくある認識のギャップや最近苦労した話などあれば、教えていただけますか?M氏「意外かもしれませんが、『インシデント調査報告書を書きなおして欲しい』というご依頼は少なからずあって、その度に、事実を曲げるような報告はできませんとご説明しています。例えば、感染していないであろうPCを調査していたらマルウェアが30個も見つかってしまい、私たちはそのすべてを報告したのですが、ステークホルダーや監督官庁に報告するには、あまりにも体裁が悪すぎるということで『そのうち重要なのは3個だけなのでその他は報告書から削除して欲しい』とご依頼いただくこともあります。」荒木氏「お客様のお気持ちは分かりますが、さすがに見つかった事実を無きものとするわけにはいかないですからね。」M氏「はい。こうしたお客様も、こちらのポリシーをきちんとご説明すれば最終的にはご納得いただけますが、なかなか時間がかかったりします。サービスご提供前に誤字脱字以外は変更しないことをご説明するよう心掛けていますが、こうしたことをあらかじめご理解いただけるとありがたいですね。」●SSDでは削除ファイルの復元は困難――― 何だかドラマみたいな話が案外あるのですね。他には何かありますか?M氏「最近苦労する話としては、SSDでしょうか? SSDは、これまでのHDDのような磁気ディスクとは違って、削除ファイルの復元が難しいのです。読み書きの方式がブロック単位で、アイドル状態になるとバックグラウンドでお掃除作業をするため、仕組み上、削除ファイルなどを復元するのは困難と言わざるを得ません。」荒木氏「つまり、削除ファイル以外の情報を用いてフォレンジック調査するしかない。」M氏「そういうことです。結構しんどくなりますね。」荒木氏「かといって、『有事にフォレンジック調査が求められる業種・ビジネスをなさっているならSSDは使っちゃ駄目です』とも言えませんからね。」M氏「世の中の流れですからね、致し方ないです。こうした状況を考えても、やはりInfoTraceのようなPC操作ログをきちんと取っておくことがますます重要になってきていると思います。」●PC操作ログの必要性M氏「そもそも、削除ファイルの復元などができるHDDのフォレンジックであっても、PC操作ログはあったほうが良いです。例えば、外部媒体でどういったファイルを持ち出したのかといった決定的な情報は、HDDを調べて分かるようなものではないのです。削除ファイルの中に運よくそれらしき圧縮ファイルが残っていて、外部媒体の利用形跡と付き合わせると、おそらくこれを持ち出したのだろう…というところまでは予想できたとしても、本当にそのファイルを持ち出したのかどうかの決定的な証拠とはなりません。」荒木氏「攻撃者も賢いので、証拠隠滅や、タイムスタンプの改竄などを行いますしね。」M氏「それもあります。信頼できる時系列のログがあると、かなり助かります。調査可能な情報が多いとそれだけ作業も増えて大変ではありますが、お客様に満足いただけるような報告ができるかどうかで考えると、圧倒的にPC操作ログ、できればInfoTraceのように、カーネルレベルで取得しているログがあったほうが良いですね。」●フォレンジックサービス提供者として――― お二人とお話ししていると話題が尽きないようですが、番外編の最後に、何か読者へのメッセージなどありましたらお聞かせください。M氏「最近では、マルウェアも巧妙になってきていて、レジストリやスタートアップ、タスクスケジューラでは一見正常なのに、何故かPCが不審な動きをするといったご相談など、IT管理者の手に負えないものも増えています。ステークホルダーへの説明責任を果たさなければならない状況で、自社だけで調査するのは無理かもしれないとお感じになられたら、お早めにご相談いただきたいですね。中には対応が難しいもの、例えば10年前に消したファイルの復元などはさすがにお引き受けできないのですが、お問い合わせいただければ、対応可能かどうか確認させていただきますので、手遅れになる前にご相談いただけるとありがたいです。」荒木氏「SSDの仕組みのことや、PC操作ログが必要な理由など、私たちには常識であっても、お客様があまりご存知無いことは、他にもまだまだあるのかもしれないと感じています。フォレンジックサービスを提供する私たちから、もっと情報発信していきたいと思っています。」――― ありがとうございました。
