セキュリティベンダーが解説する「事故対応を外注するなら絶対に守ってほしいポイント」：セキュリティ教育現場便り（6）（1/2 ページ）

セキュリティ教育に携わる筆者が、今本当に必要なセキュリティ教育を解説する本連載。第6回では、「証拠保全」の具体的な注意点と無料ツールを紹介します。

[富田一成（ラック），＠IT]

連載目次

　情報セキュリティ事故が起きたとき、証拠となるPCやデータを確保し、事故原因や被害状況を特定するために分析を行います。状況によっては、自組織の技術担当だけで分析することが難しいこともあるでしょう。そのようなときは、PCやウイルスの分析を行う専門の情報セキュリティベンダーへの支援依頼を検討します。

　このとき、前回取り上げたように、証拠となるデータを消去したり、不適切な証拠保全を行ってしまったりすると、費用を払って情報セキュリティベンダーに解析依頼を出しても良い結果が得られない可能性があります。そこで今回は、情報セキュリティベンダーにPCやデータの解析依頼を出す場合の考慮事項と、証拠のコピーを自組織で行う場合の具体的な方法について解説します。

セキュリティベンダーが欲しい証拠とは？

　情報セキュリティベンダーにコンピュータの解析依頼を出す場合、具体的にどのような「証拠」が必要なのでしょうか？ デジタルフォレンジック技術を利用した分析を行うのであれば、以下のようなさまざまなデータが分析対象となります。

情報セキュリティベンダーが分析する証拠の例

• メモリ内のデータ
• ディスクの物理コピー
• サーバやネットワーク機器のログ
• 通信パケットデータ

情報セキュリティベンダーによる分析項目の例

• メモリ内の記録や残留データ
• データのタイムスタンプ（時間情報）
• 削除済みデータ
• 解析対象となるOS構成ファイル
  • レジストリ内の情報
  • ブラウザのアクセス履歴
  • 「ゴミ箱」内の痕跡
  • OSが自動的に作成するさまざまなキャッシュデータ
• エラーデータが格納されたダンプファイル
• ハイバネーションファイル（「休止状態」時に自動で作成されるファイル）

　このうち、例えばメモリ内のデータは、OSをシャットダウンすると消去されるため、「揮発性情報」と呼ばれます。メモリ解析によって、必ずしも事故対応の決定打となる情報を得られるわけではありませんが、メモリにしか痕跡が残らないような被害を受けた場合、OSのシャットダウンで証拠が消えてしまいます。

　そのため、コンピュータが起動している状態で証拠となるコンピュータを確保できた場合は、電源を落とさずにメモリ内のデータを維持することを検討します。加えて、そのままでは被害が広がる可能性がある場合は、コンピュータをネットワークから切り離します。厳密にはネットワークからの切り離しによってもメモリ内の情報は変化し、一部が消失してしまうのですが、被害拡大の防止を目的としている場合は必要な対処です。

　なお、ネットワークから切り離すコンピュータがサーバ系で、ログのローテーション（ログファイルのバックアップと初期化の自動処理）が行われている場合には、注意が必要です。ネットワークから切り離した状態でコンピュータを長時間放置してしまうと、ローテーション機能によってログが消えてしまう可能性があるからです。システムの特徴を把握した上で、場合によってはメモリデータを諦めて、OSのシャットダウンを検討してください。

　ウイルス感染事故で解析に困るのは、証拠となるウイルスの検体や、ウイルス感染によって作成された痕跡が消えているケースです。例えば、PCのユーザーが、ウイルス感染したPCのOSを再インストールしてしまい、解析ができないことがあります。ウイルスの種類や感染原因が特定できれば、事後対処としてOSの再インストールを行いますが、分析を行わずにOSを再セットアップしてしまうと、ウイルス検体はおろか他の証拠もほとんどが消えてしまいます。その結果、感染原因や被害内容が分からなくなり、ウイルス感染の再発や二次被害の拡大など、さまざまな影響が出ます。

　「証拠保全」の観点からは、PCをネットワークから切り離した状態を維持し、分析に携わらない担当者には、基本的にPCに一切触れないよう周知しましょう。情報セキュリティベンダーへの依頼に時間がかかったり、分析に着手するまでに時間がかかったりする場合は、証拠取得のフローやベンダーの指示に従って、自らメモリ内のデータを取得してOSをシャットダウンするか、メモリ内のデータを諦めてシャットダウンすることも検討しますが、基本的にベンダーに解析依頼を出すまでは、PCには一切触らないのが大原則です。