事故対応の準備として、事故対応に直接関わらない担当者に周知を行うことも重要です。例えば、サーバが動作不良を起こしており、調査したところ、「サーバ上に不審なファイルが作られていることが分かった」といった場合、情報セキュリティ事故である可能性を考慮して、ファイルを消してしまわないように慎重に作業を進める必要があります。不審なファイルが、攻撃者によって作られたもの(=証拠)かもしれないからです。サーバ調査に当たる担当者が証拠保全を意識していなければ、こうした証拠となり得るコンピュータ上のファイルを消してしまう可能性があります。
また、証拠保全意識のない担当者は、ファイルを新たに作成してしまったり、OSの再起動、最悪の場合にはOSを再インストールしてしまったりすることもあります。ディスク上に保存されたデータには時間情報が存在し、ファイルを作成した時間や最終更新時間などが残っていますが、コンピュータの操作によって時間情報が変わってしまうと、正しい分析結果が得られなくなります。OSを再起動するだけでも、キャッシュファイルの内容は変化してしまいます。セキュリティベンダーによるデジタルフォレンジック分析を検討している場合には、自組織の担当者がこうした操作を行わないように、日ごろから注意を促しておくことが重要です。
インシデント対応に直接関わらない社員であっても、システム操作を行う権限のある社員には最低限「不用意にシステムに触らない」という意識を持たせましょう。また、一般の社員に対しても、例えば「ウイルス感染に気付いたときには、ウイルスの検体や、検知時のメッセージを消さない」といった操作ルールを作成し、周知しておきましょう。
まれに、攻撃者がサイバー攻撃に成功した後、“わな”を仕掛けるケースがあります。例えば、「テクニカル担当による調査を避けるために、特定のコマンドが実行されたことをトリガーにして、ディスク上のデータを全て消去する」といった仕組みを準備しておくような場合です。
また、攻撃によって現れる兆候を隠蔽(いんぺい)するためのツール「ルートキット(rootkit)」をインストールするケースもあります。ルートキットがコンピュータ上で動作していると、分析担当者が調査のためのコマンドを入力しても、“ニセ“の情報が表示され、攻撃の兆候が陰蔽されてしまいます。その結果、攻撃者はシステム管理者に見つかることなくサーバを乗っ取り続けることができます。
このようなケースに備えて、セキュリティベンダーがコンピュータの調査をする際には、基本的に、被害を受けたコンピュータのOSを通じて直接調査をすることを避けます。代わりに、別途用意した分析用OSを起動し、被害に遭ったコンピュータのディスクを読み込む方法をとります。こうすることで、攻撃者のわなが自動的に発動したり、ルートキットが動作したりすることを回避できます。
インシデント対応に関わる担当者は、わなが仕込まれている可能性を考えて、どの程度の準備を行うかを検討してください。自分たちでどこまで対応できるかは別として、こうしたケースがあることを知識として知っておき、意識することは大切です。特にルートキットに関しては、攻撃者にコンピュータの管理者権限まで乗っ取られると、全ての機能を使用されてしまう可能性があります。このようにルートキットが用いられた場合には、被害を受けたコンピュータのOSを直接利用して調査しても正しい結果が得られない可能性があることを、分析に携わる担当者には周知しておきましょう。
以上、今回はインシデントレスポンスの最重要ポイントである「証拠保全」について解説しました。次回は、セキュリティベンダーに解析依頼を出す場合と、自社の担当者が証拠保全を行う場合のそれぞれについて、具体的なツールの紹介とともに説明する予定です。
富田 一成(とみた いっせい)
株式会社ラック セキュリティアカデミー所属。
保有資格、CISSP、CISA。
情報セキュリティ関連の研修講師や教育コンテンツの作成に従事。
「ラックセキュリティアカデミー」(ラック主催のセミナー)の他、情報セキュリティ資格セミナーなどでも研修講師を担当している。
Copyright © ITmedia, Inc. All Rights Reserved.