検索
ニュース

高度なサイバー攻撃も「備えあれば憂いなし」、JPCERT/CCが対策ガイド公開CSIRT整備に向けたチェックリストやフローチャートも付属

JPCERTコーディネーションセンターが、企業や組織が高度な標的型攻撃を受けても、慌てずに対応できるよう支援する対策文書を公開した。

Share
Tweet
LINE
Hatena

 JPCERTコーディネーションセンター(JPCERT/CC)は2016年3月31日、「高度サイバー攻撃(APT)への備えと対応ガイド 企業や企業に薦める一連のプロセスについて」と題する文書を公開した。いわゆる標的型攻撃、あるいはその可能性がある攻撃を受けた企業や組織が、その特質を理解した上で慌てず対応できるよう支援することを目的としている。

 2015年、国内の複数の組織や企業が標的型攻撃にさらされたことは記憶に新しい。JPCERT/CCはナショナルCSIRT(Computer Security Incident Response Team)として標的型攻撃に使われたマルウェアやその通信先であるC&C(コマンド&コントロール)サーバの解析結果に基づき、不審な通信の発信元となっている企業に連絡をとるといった対策の支援を行ってきた。その通知件数は、2015年4月から12月までの9カ月間で144組織に上るという。

JPCERT/CC エンタープライズサポートグループ リーダーの佐藤祐輔氏
JPCERT/CC エンタープライズサポートグループ リーダーの佐藤祐輔氏

 しかし、通知を受け取る側に体制やプロセスなどの準備がないと、速やかな初動対応は難しい。今回公表した文書は、インシデントに関する通知を受けたときの初動対応手順を整えられるよう、APTに対する準備と対応を体系的にまとめている。文書を取りまとめたJPCERT/CC エンタープライズサポートグループ リーダーの佐藤祐輔氏は、「APT(Advanced Persistent Threat:高度サイバー攻撃)に備えるために何を検討し、何をすべきで、何をしてはいけないかを示している」と述べている。

 一方でこの文書は、例えば、日本年金機構が感染した「Emdivi」の対策といった、標的型攻撃に用いられるマルウェアの詳細や攻撃・防御手法の技術的な内容には立ち入っていない。APTについては全体像を示すに留め、それを踏まえて「どのようなログを収集すべきか」「どのデータをどのように保全すべきか」に始まり、インシデント対応に当たる組織内CSIRTの設置とトレーニングの実施、対応プロセスの整備や情報連携・共有などのあり方を示している。

 例えばAPTに関する通知は外部からもたらされることが多いが、「それをどうやって受け取るか、受け取った後どのような手順で動くかを定めておかないと混乱する恐れがある。もしかするとAPTではないかもしれないし、攻撃者によるかく乱である可能性もある。トリアージを行い、通知が本物であるかどうかを検証する体制を整えておく必要がある」(佐藤氏)

 文書には他にも、DNSサーバやプロキシサーバなど保存すべきログの種類を示したり、侵害の兆候を示す「インディケータ」の使い方を紹介したりしている。IPアドレスやURL、ファイルのハッシュ値といったインディケータを組織内外で共有すれば判断や対応の助けになる。さらに、APT活動ごとにインディケータの特徴をまとめた「プロファイル」を用意しておくと役に立つという。

文書で示された「インディケータ」の例
文書で示された「インディケータ」の例

 さらに付録として、事前準備体制を確認できるチェックリストや、インシデント対応のフローチャート、チェックリストも用意した。保管が推奨されるログと期間、保管方法をまとめた「ログ保管に関する分析レポート」も付属しており、何から手をつけたらいいか分からない場合は大いに参考になるだろう。

付録の中に含まれるフローチャートの例
付録の中に含まれるフローチャートの例

 標的型攻撃の被害を背景に、事故前提型の対策の重要性が指摘されるようになった。その一環として、組織内CSIRTの構築に取り組む企業も増えている。今回の文書はその手助けになるだろう。

 一方でJPCERT/CCは「セキュリティは運用が重要。『名ばかりCSIRT』に終わらないよう、CSIRTのミッションを定義し、マニュアルどおりに運用できているかを確認してほしい」とし、改訂や見直しを通じて実のある体制作りを進めてほしいと提言した。

 なお同文書の初版は、米DeltaRiskが作成した「Initial Procedures and Response Manual for Countering APT」を元に、有識者による検討を経て2013年7月に作成された。その後2015年3月に改訂版も作成されたが、原則非公開で、JPCERT/CCの早期警戒情報受信登録企業や日本シーサート協議会会員など、約200組織に提供されていたのを、「サイバー攻撃が広がりを見せている現実を踏まえ、広く理解してもらうことを目的に公開した」(佐藤氏)という。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る