セキュリティのつぼ(4)
攻撃を受けた場合の対策、インシデント対策とは
橋本 晋之介
2002/2/15
| 本連載では、セキュリティ技術や周辺テクノロジといった技術論だけではなく、セキュリティ導入を検討するために知っておくとちょっとためになるテーマを順次掲載する。技術者、コンサルタント、ユーザーの方々への参考としてほしい。(編集局) |
攻撃は受けたくない。だが、受けてしまうこともある。非常事態を考慮しておかなければ、非常の際に混乱して被害が大きくなってしまう。
そのようなことを防ぐために、平常から非常事態への対策を検討しておこう。
●インシデント対策はなぜ必要か
インシデント(incident)とは「事件、出来事、事変、紛争、エピソード」などを意味する言葉だ。特にITでは、クラッカーによる侵入、データの改ざん、システムの破壊、運用の妨害、偽情報の流布などの攻撃を総称している。
インシデントはIT社会で最も警戒すべきことだ。
実社会では、かぎを掛けていても盗難に遭うことがある。安全運転を心掛けていても交通事故に巻き込まれることもある。社会の中で行動している以上、自分だけが気を付ければ絶対に大丈夫などということはない。
ITでも同じだ。万全なセキュリティを施したと思っても、新たなセキュリティホールが発見されたり、新しい攻撃方法が開発されたり、防御不能な攻撃を受けることもある。常に高いセキュリティを保つことが必要なのはもちろんだが、攻撃を受けてしまった場合のことも考えておかねばならない。それは、実社会で保険に入るようなものだ。
そこで、攻撃を受けた場合の具体的な対策について、簡単に説明しよう。なお、ここでは侵入などの直接攻撃を取り上げる。DoS攻撃やメールアドレスの詐称などの間接攻撃に対しても、この説明はある程度参考になるだろう。
●何をすべきか
インシデント対策で行う事柄は次のとおりだ。
0.事前の検討
1.攻撃の検知
2.ネットワークの遮断
3.対策チームの招集
4.状況の確認
5.原因・弱点の調査
6.対策と復旧
7.社会に対する報告
ここでは事後処理を中心に説明する。だが、事前に検討しておくべきことがある。それを0とした。実際にインシデントが発生した場合は、1〜7の対策を取ることになる。
●具体的な対策は
0.事前の検討
前述のとおり、インシデントが発生した場合に的確な対策を行うためには、事前の準備が大切だ。心構えと体制が整っていれば、かなりの事態に対処することができる。攻撃を受ける前に、次のことを決定しておこう。
- 対策チームの編成
復旧にはシステムに精通した要員が必要である。おそらく組織の中で最も技術力の高い人々がチームに含まれることになるだろう。また、インシデントはいつ発生するか分からない。夜間や休日にも対応できるよう、人数を多めにしておくとよいだろう。 - 連絡方法
インシデントを発見した場合、どのように対策チームを招集するかを決めておく。夜間・休日の連絡方法も決めておく。
- 指揮系統
調査や復旧作業ではさまざまな判断が必要となる。その際、だれが判断して決定するのかが重要になる。意思の統一が取れなければ十分な対応はできない。新たな侵入口を作ってしまう可能性すらある。指揮者と指揮系統をはっきり決めておき、いざというときに混乱しないようにしたい。 - 優先順位
業務秘密の保持、サービスの継続、信用の確保などについて、何を優先するか決めておく。
最低でもこの4項目は決めておこう。そのほかの事項は指揮者が臨機応変に決定すればいいだろう。
蛇足だが、一般的なセキュリティ対策や攻撃方法、復旧方法などを日ごろから研究しておかなければ、いざというときに判断も対策もできないことはいうまでもない。
1.攻撃の検知
まず、攻撃の発見が重要だ。DoS攻撃やWebページの書き換えなどは、通信量や自サイトを監視していれば比較的早く発見できる。
しかし、攻撃者が侵入によって秘密情報の閲覧を行っており、目立った痕跡を残さない場合は発見が遅れる可能性がある。また、メールアドレスの詐称なども、事態を把握するのに時間がかかる。このような場合にどうすればよいかは別の機会に説明する。
なお、DDoS攻撃などの場合、通常のアクセスか攻撃かは、一般のオペレータには判断が難しいこともある。
第一報を受けた対策チームのメンバーが確認を取ることが重要だ。
2.ネットワークの遮断
攻撃を受けていることが分かった場合、まず行わなければならないことはネットワークの遮断である。攻撃は外部から受けていると思われるので、回線を切断してしまえばそこで攻撃はやむ。これで被害の拡大は防げる。
また、DDoS攻撃や、ほかのサイトのクラッキングの踏み台にされている場合などは、ネットワークがつながっていると最終目標に攻撃が持続されてしまう。
ほかのサイトに迷惑を掛けないためにも、急いで遮断する必要がある。
3.対策チームの招集
攻撃を受けていることが判明したら、指揮者に連絡し、次いで対策要員を招集する。
システムの重要性によっては、夜間や休日でも直ちに招集する必要があるだろう。
4.状況の確認
ここからが具体的な対応である。
まず、状況を把握する必要がある。システムは動作しているかどうか確認する。一見、正常に動作している場合でも、直ちにシングルユーザーモードやセーフモードに切り替える。ほかのプロセスがシステムの状態を変えてしまう可能性があるからだ。
次に、ハードディスクのバックアップを取る。調査の段階で内容を壊してしまわないためだ。また、後日警察に提出する必要が生じたときにも便利である。
バックアップ後にファイルの存在、システムログ、ファイルのタイムスタンプ、ファイルのサイズなどを確認していく。攻撃者によって何がなされたか、破壊や改ざんされたデータはないか、などを調べる。
侵入者がどのユーザーレベルまで権限を取得したかが分かれば、被害の程度が想像できる。一般ユーザーまでしか取得されていなければ、被害も小さくて済むこともある。しかし、
管理者権限を奪われた場合や、どこまで権限を取得されたか分からない場合、すべての情報が盗まれたと考える方がいいだろう。
5.原因・弱点の調査
システムログが改ざんされていない場合は、その内容から攻撃者の侵入経路、侵入後の行為などがある程度分かることがある。
ログが改ざんされている場合でも、システムが動作しているならば、ほかのマシンからポートスキャンを行うなどして弱点を探ることができるかもしれない。
また、侵入の手口には多少流行があるので、そのとき話題になっている方法を試したり、過去に注目された方法を試してみると、ふさぎ忘れていたセキュリティホールを発見できるかもしれない。
侵入の手口が分からなければ対策を立てることができず、再侵入を防ぐこともできない。
自分たちで調べても分からないときは、警察(警視庁ハイテク犯罪対策総合センター)やIPA/ISECなどの公的機関に相談してみるのも一案だろう。
6.対策と復旧
手口が判明したら、システムの復旧と再侵入への対策を立てる。セキュリティホールのあるソフトウェア、機器、サービスなどの使用を停止する。これらの開発元に確認し、対策が取られていればバージョンアップなどを行う。すでにサポートが終了している場合などは、別のソフトウェアや機器で置き換えできないかどうか検討する。
手口が判明しない場合は、システムを復旧できたとしても再度攻撃に遭う可能性が高い。一般的なセキュリティを見直し、再設定する程度のことしか対応方法がないかもしれない。システムの弱点を診断するサービスを行っている業者などもあるので、それを利用して確認するとよいだろう。
システムの状態を復旧した後、サービスを再開する前にすべてのユーザーやサービスのパスワードを変更する。
侵入によって、すべての秘密情報が攻撃者に知られた可能性がある。パスワードなどは、まったく違うものに変更しなければ、簡単に再侵入されてしまう。
このようにして、システムの復旧と再攻撃に対する備えが整ったら、ネットワークを接続してサービスを再開する。
7.社会に対する報告
たとえ短時間であっても、システムが停止した場合にはその旨を世間に報告すべきである。攻撃されたことが周知であるのに、それについて一言も説明しないサイトも多いが、そのような行為は信用を落とすだけである。何が起きたのか、どう対策したのかを、ある程度説明しなければ、ITに詳しい人々からは敬遠されてしまうだろう。
一般市民はそのようなことを気にしないが、マスコミに指摘されると問題が大きくなる可能性もある。いまのところ、マスコミによるそのような指摘はない。だが、最近の傾向では、インターネットの掲示板で話題になったことが新聞やテレビで報じられるケースが多い。将来、社会に対する報告がないと、マスコミに指摘されるようになるかもしれない。
報告はいつまで掲示すればよいのだろうか?
インターネットのように、ダイナミックに情報のリンクが作られていく世界では、重要な情報は削除すべきではない。だれが、いつ、どこから参照するか分からないのである。常識的には1カ月も掲示すれば十分と思われるが、マスコミによって報道されてしまったり、インターネット上で話題になってしまった場合は、削除せずに半永久的に掲示しておいた方がいいだろう。「都合の悪いことはすぐに消す」というイメージを世間に与えないことが大切だ。
●最も大切なことは
インシデント対策とは、予想外の事態の発生を想定することだ。どのような攻撃を受けるかは事前には分からない。分かっていれば防げる。それができれば苦労はない。
一見矛盾しているようだが、そうではない。
日本人は形式論理に弱い傾向がある。インシデント対策は、「それ以外の時」の行動規定である。C言語などでいえば、if文のelseブロックやcase文のdefault:ブロックだ。集合論のベン(フェン)図でいえば、丸の外側である。
日本人はこういった部分に思考が及びにくい傾向がある。
「想定していない事態も起こり得る」ということを意識することが大切だ。
| Profile |
| 橋本 晋之介(はしもと しんのすけ) 1965年生まれ。長岡技術科学大学大学院修士課程修了(電気電子システム工学専攻)。NEC子会社に勤めた後、1994年(有)ケイワーク(http://www.k-work.co.jp)設立に参加。はじめのうちはなかなか経営が安定しなかったので執筆業に手を染め、現在に至る。熱烈なKawasaki Racing Team のファンで全日本ロードレースや国内で開催されるロードレース世界戦はたいてい観戦している。交通費と応援グッズ購入費が足りなくなり@ITで連載を始めた(爆)。最近では電子出版事業も手がけている。http://www.aswe.jp |
 |
セキュリティのつぼ |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
