ここから本文です

セキュリティ事故対応に不可欠な「証拠」を消してしまう、3つのダメな行動

@IT 7月12日(火)6時10分配信

 前回、情報セキュリティ事故に対応する「テクニカル担当者」の役割を紹介しました。今回は、テクニカル担当者に求められる「証拠保全意識」について、具体的な注意点とともに解説します。

 情報セキュリティ事故の原因や被害を特定するためには、サイバー攻撃の痕跡を正しく収集し、分析することが不可欠です。テクニカル担当者は、この痕跡が消えてしまわないように、証拠となるPCやファイルをしっかりと“保全”しなければなりません。証拠の収集と取り扱いは、事故対応において最も重要なポイントです。

●最も大切なのは「証拠保全意識」

 情報セキュリティ事故対応に携わる担当者として、まず身に付けておきたいのが「証拠保全」の意識です。攻撃や被害の痕跡を誤って消してしまえば、事故後の調査や分析ができなくなります。そうなると、再発防止策を立てたり、被害者への対応を検討したりすることもできません。組織として情報セキュリティ事故への適切な対応を行うためには、分析が可能な状態で証拠を保全し、収集することが不可欠なのです。

 これは、自社で分析を行うときはもちろん、セキュリティベンダーに調査を依頼するときにも必要な考え方です。不用意にシステムやコンピュータ上のデータを触ってしまうことで証拠の状態が変化し、セキュリティベンダーによる分析が困難になることがあるからです。場合によっては、証拠を維持するために「何もしない、何も触らない」という判断をすることも必要になります。こうした証拠保全の意識は、インシデントレスポンスにおいて最も重要であると言っても過言ではありません。

 情報セキュリティ事故の発生時に証拠となるデータには、下記のようなものがあります。

<証拠となるデータの例>
・攻撃を受けたコンピュータのHDD内のデータ
・メモリ内のデータ
・ディスク上の時間情報
・コンピュータやネットワーク機器上のログ
・OSの構成ファイル
・コンピュータウイルス本体

 証拠保全は、コンピュータの世界における「デジタルフォレンジック」に関連する言葉です。本来のデジタルフォレンジックは、裁判の際に、法廷に証拠として提出するためのデジタルデータの収集・分析手法や、法廷にデータを提出するための手続きなどを指します。デジタルデータは、もともと改ざんが容易で欠損も起こりやすいため、証拠となるデータが正しいことを保証する方法が考えられたのです。

 この中で「証拠保全」とは、法廷への提出を前提として、証拠となるディスクの完全なコピーを取得したり、作業記録を作成したりするといった、適切な証拠を得るための一連の手続きのことを指します。日本では、このデジタルフォレンジックの技術を、インシデントレスポンスに活用する例が増えてきています。

 ただし、インシデントレスポンスを目的にする場合は、法廷への提出を前提としたような、厳密なデジタルフォレンジックや証拠保全は求められません。しかしながら、証拠が消えてしまうと、先に述べたような「原因や被害の特定ができない」といった問題が発生します。事故対応に関わる担当者は、この証拠保全の考え方に倣い、証拠となるデータが消えたり書き換わったりしてしまわないように、適切に収集する必要があります。

●要注意! 証拠を消してしまう危険な行動3つ

 証拠となるデータを消してしまう行動は、大きく(1)テクニカル担当者による判断ミスや操作ミス、(2)インシデント対応に携わらない社員による操作、(3)攻撃者が仕掛けたわなの発動によるデータ消失の3つに分けられます。以下で、それぞれのケースについて詳しく説明します。

(1)テクニカル担当者による判断ミスや操作ミス

 攻撃により作成/改ざん/削除されたファイルの痕跡を、分析担当者が誤って消してしまうというミスが、実際にしばしば発生しています。その理由はさまざまです。マウスやキーボードの単純な操作ミスもあれば、深夜時間帯の疲労からくる操作の誤り、あるいは、そもそも操作対象のPCやデータを証拠と認識していないことによる見落としや、間違った思い込み(後述)による削除などもあります。

 まず、PCを分析したり、ディスクをコピーしたりする作業を深夜に行うときには、操作ミスに十分注意しましょう。また、疲労の他にも、担当者が作業に慣れてくるとミスが増える傾向があります。特に、事故発生時にディスクのコピーを取得するときはよく注意してください。取得元のディスクとコピー先のディスクを入れ違えてしまうなどのミスにより、証拠データが全消去されてしまうといった事態に陥る危険性があります。誤ってデータを削除してしまっても、他の証拠でカバーできればよいのですが、替えがきかないデータの場合は、特に細心の注意を払わなければなりません。

 証拠の取得作業や分析作業のうち、定型化できるものはコマンド手順書を用意しましょう。ベテランの担当者であっても、コマンド手順書を手元に用意し、参照しながら操作を行います。また、作業はできるだけ2人以上で行うようにし、1人をキーボードの操作担当、もう1人をコマンドの確認担当にするといったように、ミスを減らすための体制をとりましょう。

 それから、「不審なファイルを消去すれば、サーバが直るかもしれない」といった思い込みにより、ファイルを自ら消してしまうこともあります。冷静に考えればあり得ないように思える行動であっても、緊急時になると、焦りのあまり行ってしまうことがあります。不審なファイルやデータを見つけたときは、まずバックアップを取得するなど、データを復元できるようにしておきましょう。また、どのような作業を実施したのかを記録しておくことも大切です。

(2)インシデント対応に携わらない社員による操作

 事故対応の準備として、事故対応に直接関わらない担当者に周知を行うことも重要です。例えば、サーバが動作不良を起こしており、調査したところ、「サーバ上に不審なファイルが作られていることが分かった」といった場合、情報セキュリティ事故である可能性を考慮して、ファイルを消してしまわないように慎重に作業を進める必要があります。不審なファイルが、攻撃者によって作られたもの(=証拠)かもしれないからです。サーバ調査に当たる担当者が証拠保全を意識していなければ、こうした証拠となり得るコンピュータ上のファイルを消してしまう可能性があります。

 また、証拠保全意識のない担当者は、ファイルを新たに作成してしまったり、OSの再起動、最悪の場合にはOSを再インストールしてしまったりすることもあります。ディスク上に保存されたデータには時間情報が存在し、ファイルを作成した時間や最終更新時間などが残っていますが、コンピュータの操作によって時間情報が変わってしまうと、正しい分析結果が得られなくなります。OSを再起動するだけでも、キャッシュファイルの内容は変化してしまいます。セキュリティベンダーによるデジタルフォレンジック分析を検討している場合には、自組織の担当者がこうした操作を行わないように、日ごろから注意を促しておくことが重要です。

 インシデント対応に直接関わらない社員であっても、システム操作を行う権限のある社員には最低限「不用意にシステムに触らない」という意識を持たせましょう。また、一般の社員に対しても、例えば「ウイルス感染に気付いたときには、ウイルスの検体や、検知時のメッセージを消さない」といった操作ルールを作成し、周知しておきましょう。

(3)攻撃者が仕掛けたわなの発動によるデータ消失

 まれに、攻撃者がサイバー攻撃に成功した後、“わな”を仕掛けるケースがあります。例えば、「テクニカル担当による調査を避けるために、特定のコマンドが実行されたことをトリガーにして、ディスク上のデータを全て消去する」といった仕組みを準備しておくような場合です。

 また、攻撃によって現れる兆候を隠蔽(いんぺい)するためのツール「ルートキット(rootkit)」をインストールするケースもあります。ルートキットがコンピュータ上で動作していると、分析担当者が調査のためのコマンドを入力しても、“ニセ“の情報が表示され、攻撃の兆候が陰蔽されてしまいます。その結果、攻撃者はシステム管理者に見つかることなくサーバを乗っ取り続けることができます。

 このようなケースに備えて、セキュリティベンダーがコンピュータの調査をする際には、基本的に、被害を受けたコンピュータのOSを通じて直接調査をすることを避けます。代わりに、別途用意した分析用OSを起動し、被害に遭ったコンピュータのディスクを読み込む方法をとります。こうすることで、攻撃者のわなが自動的に発動したり、ルートキットが動作したりすることを回避できます。

 インシデント対応に関わる担当者は、わなが仕込まれている可能性を考えて、どの程度の準備を行うかを検討してください。自分たちでどこまで対応できるかは別として、こうしたケースがあることを知識として知っておき、意識することは大切です。特にルートキットに関しては、攻撃者にコンピュータの管理者権限まで乗っ取られると、全ての機能を使用されてしまう可能性があります。このようにルートキットが用いられた場合には、被害を受けたコンピュータのOSを直接利用して調査しても正しい結果が得られない可能性があることを、分析に携わる担当者には周知しておきましょう。

 以上、今回はインシデントレスポンスの最重要ポイントである「証拠保全」について解説しました。次回は、セキュリティベンダーに解析依頼を出す場合と、自社の担当者が証拠保全を行う場合のそれぞれについて、具体的なツールの紹介とともに説明する予定です。

●著者プロフィール:富田一成 株式会社ラック セキュリティアカデミー所属。保有資格、CISSP、CISA。情報セキュリティ関連の研修講師や教育コンテンツの作成に従事。「ラックセキュリティアカデミー」(ラック主催のセミナー)の他、情報セキュリティ資格セミナーなどでも研修講師を担当している。

最終更新:7月12日(火)6時10分

@IT