「セキュリティインシデント対応人材」のあるべき姿――求められる「先読み力」とは:セキュリティ教育現場便り(3)(3/3 ページ)
さて、それでは先にお見せしたサンプルメールが組織に届き、社員から報告が上がった場合の適切な対応について紹介しましょう。今回のケースでは、以下のような対応が求められます。
- 添付ファイルの形式が実行ファイル(.exe)であり、かつ、ドキュメントファイルに偽装されている。さらに、メール本文も添付ファイルを開かせようと誘導するものであることから、添付ファイルはウイルスである可能性が高いと考える
- ウイルス対策ソフトによるアラートが表示されないことから、検知できない新種のウイルスである可能性を考える
- 社員が報告をくれたタイミングで、ネットワークからの切り離しを指示する。その後、PCの確認を行い、問題がなければ再接続を許可する
- 報告をしてくれた社員へのヒアリングとPCの確認を行う。添付ファイル開封時のPCの挙動や違和感がどのようなものだったかを確認する。報告を受けた側は、報告してくれた社員に対しての感謝を伝える
- 注意喚起の実施
- 同様のメールが他の社員にも送られていることを考慮し、件名や本文、添付ファイル名などの情報を提供して当該の添付ファイルは開かないよう注意喚起を行う
- 社員をだまして感染させようとする傾向から、今後も継続的にウイルス感染を引き起こすメールが送り付けられる可能性がある。件名や本文、添付ファイル名が異なっていても、同様のメールを受信したときには添付ファイルを開かずに報告するよう注意喚起を行う
- メール受信者の確認
- メールサーバのログから、同様のFromアドレスから送り付けられたメールや、同様のフリーメールのドメインから送り付けられたメール、データサイズが近いメールなどの調査を行い、ウイルスメール受信者を特定する。ただし、これらの観点から調査を行っても、全ての受信者を特定し切れない可能性があることは念頭に置いておくこと
- 感染端末の特定
- もし、添付ファイルを開封しているPCがあれば、そのPCの挙動を確認し、同様の挙動を起こしているPCを捜索する
- インターネット上のC&C(C2)サーバに対して通信を出し続けている場合、その通信の宛先を確認し、同様のIPアドレスに対して他のPCからも通信をしていないかどうかを確認する。また、宛先のIPアドレスが複数ある可能性も考慮し、継続的に通信を行っているPCを特定する。特に社員のいない深夜帯や休日にも通信を行い続けているPCなどを調査する
皆さまの想定した対応は十分だったでしょうか? このように、インシデントハンドリング担当者は、各所への通知や調査など、さまざまな作業を迅速にこなすことが求められます。こうした対応を速やかに行えるように、日頃から具体例を基にした訓練を定期的に行うようにしましょう。
富田 一成(とみた いっせい)
株式会社ラック セキュリティアカデミー所属。
保有資格、CISSP、CISA。
情報セキュリティ関連の研修講師や教育コンテンツの作成に従事。
「ラックセキュリティアカデミー」(ラック主催のセミナー)の他、情報セキュリティ資格セミナーなどでも研修講師を担当している。
Copyright © ITmedia, Inc. All Rights Reserved.