ソリトンシステムズのサイバーセキュリティ 番外編 「現場エンジニアと本音トーク、フォレンジック舞台裏の奮闘」
今回は番外編として、ソリトンシステムズ荒木氏と、Ji2でフォレンジックに携わっているM氏の両名に、最近のフォレンジックの現場について本音の話を聞いた。
特集
PR
![連載番外編ではソリトンシステムズ 荒木氏と、Ji2 でフォレンジックに携わるM氏に話を聞いた](/imgs/p/hJtuSU37jUUtaOmDwCp9jp0KMwUhBQQDAgEA/20422.jpg)
(※インシデント対応を行う Ji2 のフォレンジックエンジニア M 氏は匿名)
●『封じ込め(被害の極小化)』と『証拠保全』の両立?
――― 連載の中でも、フォレンジック関連の記事(第5回 ・ 第6回)は、納得して読まれた読者が多かったようです。
荒木氏「フォレンジックの記事に対しては、例えば『ランサムウェアに感染して、ファイル暗号化が進行中なのに、証拠保全のためには電源を落とさず放置しないといけないの?』というご質問を頂くなど、関心の高さを感じました。」
M氏「電源を落とすのではなく、休止モード(ハイバネ―ション)にしたら、まだ救済できるファイルもあるのでは?といったご質問もありましたね。実際は、ランサムウェアの挙動も様々なので、休止モードにすることに意味があるかどうかは状況にも依るのですが、目の前でそのPCにおける被害がどんどん広がっていく様子を放置したくない切実なお気持ちが伝わってきました。」
荒木氏「やはりインシデント対応現場では、『封じ込め(被害の極小化)』と『証拠保全』が両立できないケースが存在するので、あらかじめインシデント対応時に何を優先するのかを、組織のビジネスに照らし合わせて決めておくことが大事ですよね。」
M氏「はい。『そうは言っても何とか両立できないか?』とも言われることもあるのですが、両立が困難なケースは必ず出てくるものなので、ちゃんと方針を決めておいたほうが良いですね。ランサムウェアに関しては、被害に遭う前に、バックアップ対策や感染リスクを低減する対策を地道に行うしかないと思います。」
●事実を曲げるような報告書のご依頼
――― こうしたご質問は、フォレンジックサービスを受けたことが無い方からいただくことが多いようですが、よくある認識のギャップや最近苦労した話などあれば、教えていただけますか?
M氏「意外かもしれませんが、『インシデント調査報告書を書きなおして欲しい』というご依頼は少なからずあって、その度に、事実を曲げるような報告はできませんとご説明しています。例えば、感染していないであろうPCを調査していたらマルウェアが30個も見つかってしまい、私たちはそのすべてを報告したのですが、ステークホルダーや監督官庁に報告するには、あまりにも体裁が悪すぎるということで『そのうち重要なのは3個だけなのでその他は報告書から削除して欲しい』とご依頼いただくこともあります。」
荒木氏「お客様のお気持ちは分かりますが、さすがに見つかった事実を無きものとするわけにはいかないですからね。」
M氏「はい。こうしたお客様も、こちらのポリシーをきちんとご説明すれば最終的にはご納得いただけますが、なかなか時間がかかったりします。サービスご提供前に誤字脱字以外は変更しないことをご説明するよう心掛けていますが、こうしたことをあらかじめご理解いただけるとありがたいですね。」
●SSDでは削除ファイルの復元は困難
――― 何だかドラマみたいな話が案外あるのですね。他には何かありますか?
M氏「最近苦労する話としては、SSDでしょうか? SSDは、これまでのHDDのような磁気ディスクとは違って、削除ファイルの復元が難しいのです。読み書きの方式がブロック単位で、アイドル状態になるとバックグラウンドでお掃除作業をするため、仕組み上、削除ファイルなどを復元するのは困難と言わざるを得ません。」
荒木氏「つまり、削除ファイル以外の情報を用いてフォレンジック調査するしかない。」
M氏「そういうことです。結構しんどくなりますね。」
荒木氏「かといって、『有事にフォレンジック調査が求められる業種・ビジネスをなさっているならSSDは使っちゃ駄目です』とも言えませんからね。」
M氏「世の中の流れですからね、致し方ないです。こうした状況を考えても、やはりInfoTraceのようなPC操作ログをきちんと取っておくことがますます重要になってきていると思います。」
●PC操作ログの必要性
M氏「そもそも、削除ファイルの復元などができるHDDのフォレンジックであっても、PC操作ログはあったほうが良いです。例えば、外部媒体でどういったファイルを持ち出したのかといった決定的な情報は、HDDを調べて分かるようなものではないのです。削除ファイルの中に運よくそれらしき圧縮ファイルが残っていて、外部媒体の利用形跡と付き合わせると、おそらくこれを持ち出したのだろう…というところまでは予想できたとしても、本当にそのファイルを持ち出したのかどうかの決定的な証拠とはなりません。」
荒木氏「攻撃者も賢いので、証拠隠滅や、タイムスタンプの改竄などを行いますしね。」
M氏「それもあります。信頼できる時系列のログがあると、かなり助かります。調査可能な情報が多いとそれだけ作業も増えて大変ではありますが、お客様に満足いただけるような報告ができるかどうかで考えると、圧倒的にPC操作ログ、できればInfoTraceのように、カーネルレベルで取得しているログがあったほうが良いですね。」
●フォレンジックサービス提供者として
――― お二人とお話ししていると話題が尽きないようですが、番外編の最後に、何か読者へのメッセージなどありましたらお聞かせください。
M氏「最近では、マルウェアも巧妙になってきていて、レジストリやスタートアップ、タスクスケジューラでは一見正常なのに、何故かPCが不審な動きをするといったご相談など、IT管理者の手に負えないものも増えています。ステークホルダーへの説明責任を果たさなければならない状況で、自社だけで調査するのは無理かもしれないとお感じになられたら、お早めにご相談いただきたいですね。
中には対応が難しいもの、例えば10年前に消したファイルの復元などはさすがにお引き受けできないのですが、お問い合わせいただければ、対応可能かどうか確認させていただきますので、手遅れになる前にご相談いただけるとありがたいです。」
荒木氏「SSDの仕組みのことや、PC操作ログが必要な理由など、私たちには常識であっても、お客様があまりご存知無いことは、他にもまだまだあるのかもしれないと感じています。フォレンジックサービスを提供する私たちから、もっと情報発信していきたいと思っています。」
――― ありがとうございました。
関連リンク
編集部おすすめの記事
特集
ソリトンシステムズのサイバーセキュリティ
-
「10年後の予測より今足元にある課題解決」~ 情シス信頼のブランド ソリトンシステムズ Security Days Spring 2024 四講演紹介
企業の情シスの皆さんは人不足の中で DX 推進と安全性の両立…
-
ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策
-
次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とは
-
ソリトンシステムズが提案するセキュアストレージ「VVAULT」は、いかにしてランサムウェアからデータを守るか
-
攻撃者と同一のOSINT活用、ソリトンシステムズ「サプライチェーンセキュリティリスク調査サービス」
-
日本も457台が被害に、テレワークがもたらしたPCからの情報窃取の現実
-
国産EDR「InfoTrace Mark II」、新バージョンV3で「脅威ハンティング」自動化対応(ソリトンシステムズ)
-
ソリトンシステムズ荒木氏が振り返る激動のEPP / EDR (エンドポイント対策) 市場と、選定ポイント
ソリトンシステムズ
-
「10年後の予測より今足元にある課題解決」~ 情シス信頼のブランド ソリトンシステムズ Security Days Spring 2024 四講演紹介
企業の情シスの皆さんは人不足の中で DX 推進と安全性の両立…
-
ソリトンシステムズ「準備はできている」~多要素認証ニーズの変化はサプライチェーンリスク対策
-
次年度セキュリティ戦略立案中の方必聴、リスク環境の変化と手堅い対策の実装とは
-
ソリトンシステムズが提案するセキュアストレージ「VVAULT」は、いかにしてランサムウェアからデータを守るか
-
攻撃者と同一のOSINT活用、ソリトンシステムズ「サプライチェーンセキュリティリスク調査サービス」
-
日本人が使う「危険な」パスワードランキング2021、昨年漏えいしたパスワード182万種類を分析
-
内閣府のファイル共有ストレージに不正アクセス、231名分の個人情報流出の可能性
-
「アカウントは漏洩している前提で備えるべき」~ ソリトンシステムズが提案する「Soliton OneGate」とは
特集 アクセスランキング
-
今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか
-
能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子
-
アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」
-
Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編
-
【無料ツールで作るセキュアな環境(67)】〜 zebedee 5〜(執筆:office)
-
日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウ
-
作っているのはWebアプリではない ~ S4プロジェクト チーフデザイナー かめもときえインタビュー