セキュリティ事故対応における“オープンソース”活用法指南:初動対応用データ保全ツール「CDIR Collector」解説(前編)(2/3 ページ)
本稿では、セキュリティインシデントへの初動対応に役立つツール「CDIR Collector」の活用方法について、実際に企業の現場でインシデント対応に携わる筆者が、自身の経験談を交えつつ解説します。
「CDIR Collector」の使い方
CDIR Collectorの利用方法として、デバイス経由とネットワーク経由で実行する方法がありますが、今回は最も手軽なUSBメモリを用いた使い方を説明します。「USBメモリにプログラムを入れておき、対象上で実行して必要なデータをUSBメモリ内に保全する」という流れです。
保全するデータにはコンピュータの物理メモリも含めることができますので、まずはメモリサイズを上回る容量のUSBメモリを用意して、NTFSでフォーマットしておきます。次に、以下のURLからCDIR Collectorのプログラム(cdir-collector.zip)を入手してください。
CDIRダウンロードリンク
cdir-collector.zipを展開した後のファイル一式をUSBメモリに保存します。
以上で、準備完了です。インシデント発覚後、データを保全する際には以下の手順で行います。
1.対象PCに未ログオン状態であれば、ログオンします。
2.CDIR Collectorが入ったUSBメモリを接続します。
3.エクスプローラでUSBメモリに割り当てられたドライブレターを参照し、cdir-collector.exeをダブルクリックして実行します。
4.設定によってはユーザーカウント制御のダイアログが表示されます。内容を確認して「はい」を選択します。また、標準アカウントでログインしている場合は管理者アカウントのパスワードを求められますので、パスワードを入力してOKをクリックします。
5.実行用のコマンドプロンプトのウィンドウが表示され、物理メモリ(MemoryDump)を取得するか入力を求める状態となります。物理メモリを取得する場合は1を、取得しない場合は2を、いったん終了する場合は0を入力します。1、2のどちらを選択してもディスク上の主要なデータは保全します。下記は1を選択して進めている画面です。
6.データ保全処理が順次進んでいき、最後に「Press any key to continue…」と表示されると完了です。エンターキーを入力してウィンドウを閉じてください。
7.CDIR Collectorが入ったUSBメモリをタスクバーのアイコンから安全に取り外します。
以上で保全完了です。USBメモリ内のcdir-collector.exeを実行した場所に「コンピュータ名_実行日時」フォルダが作成され、そのフォルダ配下にデータが保全されます。
インシデントが発覚してから準備を始めたとしても、対象端末が1台であれば数十分以内にはデータが保全できるはずです。
インシデント発覚後は慌ただしくなりがちで、つい被害が抑えられそうな「ウイルス対策ソフトによるフルスキャン」「ネットワーク切断」などのアクションを取りがちです。しかし、こうしたアクションには証拠が消失しまうなどのデメリットがあることも理解しておく必要があります。それらのアクションを実施する前に順序が適切かを再考し、保全というアクションが早い段階で取られるようになってほしいと思います。そして、保全をする際にCDIR Collectorが役に立てば、筆者としてもうれしい限りです。
さて、少し話がそれましたが、上記の手順に沿えば、CDIR Collectorを使って保全を目的としたアクションが取れるようになるはずです。以降では、CDIR Collectorの開発に当たって重視しているコンセプトや保全の考え方などの詳細に触れていきます。興味のある方は、引き続きお付き合いください。
Copyright © ITmedia, Inc. All Rights Reserved.