ここから本文です

セキュリティベンダーが解説する「事故対応を外注するなら、絶対に守ってほしいこと」

@IT 8月26日(金)7時10分配信

 情報セキュリティ事故が起きたとき、証拠となるPCやデータを確保し、事故原因や被害状況を特定するために分析を行います。状況によっては、自組織の技術担当だけで分析することが難しいこともあるでしょう。そのようなときは、PCやウイルスの分析を行う専門の情報セキュリティベンダーへの支援依頼を検討します。

 このとき、前回取り上げたように、証拠となるデータを消去したり、不適切な証拠保全を行ってしまったりすると、費用を払って情報セキュリティベンダーに解析依頼を出しても良い結果が得られない可能性があります。そこで今回は、情報セキュリティベンダーにPCやデータの解析依頼を出す場合の考慮事項と、証拠のコピーを自組織で行う場合の具体的な方法について解説します。

●セキュリティベンダーが欲しい証拠とは?

 情報セキュリティベンダーにコンピュータの解析依頼を出す場合、具体的にどのような「証拠」が必要なのでしょうか? デジタルフォレンジック技術を利用した分析を行うのであれば、以下のようなさまざまなデータが分析対象となります。

○情報セキュリティベンダーが分析する証拠の例
・メモリ内のデータ
・ディスクの物理コピー
・サーバやネットワーク機器のログ
・通信パケットデータ

○情報セキュリティベンダーによる分析項目の例
・メモリ内の記録や残留データ
・データのタイムスタンプ(時間情報)
・削除済みデータ
・解析対象となるOS構成ファイル
・レジストリ内の情報
・ブラウザのアクセス履歴
・「ゴミ箱」内の痕跡
・OSが自動的に作成するさまざまなキャッシュデータ
・エラーデータが格納されたダンプファイル
・ハイバネーションファイル(「休止状態」時に自動で作成されるファイル)

 このうち、例えばメモリ内のデータは、OSをシャットダウンすると消去されるため、「揮発性情報」と呼ばれます。メモリ解析によって、必ずしも事故対応の決定打となる情報を得られるわけではありませんが、メモリにしか痕跡が残らないような被害を受けた場合、OSのシャットダウンで証拠が消えてしまいます。

 そのため、コンピュータが起動している状態で証拠となるコンピュータを確保できた場合は、電源を落とさずにメモリ内のデータを維持することを検討します。加えて、そのままでは被害が広がる可能性がある場合は、コンピュータをネットワークから切り離します。厳密にはネットワークからの切り離しによってもメモリ内の情報は変化し、一部が消失してしまうのですが、被害拡大の防止を目的としている場合は必要な対処です。

 なお、ネットワークから切り離すコンピュータがサーバ系で、ログのローテーション(ログファイルのバックアップと初期化の自動処理)が行われている場合には、注意が必要です。ネットワークから切り離した状態でコンピュータを長時間放置してしまうと、ローテーション機能によってログが消えてしまう可能性があるからです。システムの特徴を把握した上で、場合によってはメモリデータを諦めて、OSのシャットダウンを検討してください。

 ウイルス感染事故で解析に困るのは、証拠となるウイルスの検体や、ウイルス感染によって作成された痕跡が消えているケースです。例えば、PCのユーザーが、ウイルス感染したPCのOSを再インストールしてしまい、解析ができないことがあります。ウイルスの種類や感染原因が特定できれば、事後対処としてOSの再インストールを行いますが、分析を行わずにOSを再セットアップしてしまうと、ウイルス検体はおろか他の証拠もほとんどが消えてしまいます。その結果、感染原因や被害内容が分からなくなり、ウイルス感染の再発や二次被害の拡大など、さまざまな影響が出ます。

 「証拠保全」の観点からは、PCをネットワークから切り離した状態を維持し、分析に携わらない担当者には、基本的にPCに一切触れないよう周知しましょう。情報セキュリティベンダーへの依頼に時間がかかったり、分析に着手するまでに時間がかかったりする場合は、証拠取得のフローやベンダーの指示に従って、自らメモリ内のデータを取得してOSをシャットダウンするか、メモリ内のデータを諦めてシャットダウンすることも検討しますが、基本的にベンダーに解析依頼を出すまでは、PCには一切触らないのが大原則です。

●証拠保全に利用できるツール

 メモリやディスクのコピーを取得する際には、フリーツールを利用するのも手です。本連載では、メモリのコピーを取得するための「DumpIt」と、ディスクのコピーを取得できる「FTK Imager」を2回に分けて紹介します。解析に必要なデータの取得に使われるツールは幾つかありますが、今回紹介するものはデジタルフォレンジック用に開発されたものです。特に「FTK Imager」を使ってディスクのコピーを取得すると、ディスク全体の物理コピーを取得することができます。

 物理コピーの場合、削除済みのデータやファイルシステムに割り当てられていない領域も含めて、全てのコピーを取得できます。もし、物理コピーではなくファイルコピーしか取得しないツールを使った場合、サイバー攻撃によって残された全ての痕跡がコピーされず、適切な分析結果を得られない可能性があります。従って、インシデントレスポンスを前提に証拠を入手するためには、適切なツールを使う必要があります。

 多くの情報セキュリティベンダーは、PCの解析に加えて、証拠となるメモリやディスクのコピーも行ってくれます。証拠の取得を自組織で行おうとして作業に失敗し、全ての証拠が消えてしまった場合は目も当てられません。自組織での対応が難しい場合は、証拠となるコンピュータに一切触れずに全てを任せたほうが、適切な分析結果を得られる可能性が高くなります。ただし、証拠取得のうち、特にディスクのコピーには時間がかかりますので、情報セキュリティベンダーが解析に着手できるまでの時間を短くするために、自組織でコピーを取得しておくのは、事故対応の1つと考えられます。

●「DumpIt」

 さて、ここからはComae Technologies(旧MoonSols)が公開している「DumpIt」(http://www.moonsols.com/wp-content/plugins/download-monitor/download.php?id=7)を紹介します。「DumpIt」は、非常に簡単にWindowsPCのメモリ内データについて、丸ごとコピーを取得できるフリーツールです。USBメモリなどに入れておき、調査対象のPCに接続して、USBメモリ上に保存されたツールを起動します。

 Comae Technologiesは、法対応のためのデジタルフォレンジック支援や、PC解析に利用できるさまざまなツールを公開している会社。現在は公式Webサイトのトップページからは「DumpIt」をダウンロードできないが、今後再びフリーツールとしてダウンロードできるよう公開していくとのこと。

 「DumpIt」は、物理メモリ内のデータを全てコピーします。例えば、PCに2GBのメモリが搭載されている場合、2GBのデータのかたまり(メモリダンプといいます)を取得できます。このメモリダンプを解析することで、プロセスの一覧や通信ポートの一覧などを閲覧できます。また、PCへのサイバー攻撃が行われた際、犯人が実行したコマンドの一部を見つけられることもあります。ただし、メモリダンプの解析時には「Volatility」などのメモリダンプ調査ツールを使うため、ツールの使い方や解析に関するノウハウが必要となる点と、必ずしも良好な結果が得られるわけではない点には注意する必要があります。とはいえ、DumpItのようなツールは、有効な証拠保全の1つとして覚えておくとよいでしょう。

 また、今回取り上げた「DumpIt」によるメモリ保全と、次回取り上げるFTK Imagerのツールを使って、メモリとディスクの両方を保全するフローを整備しておくことで、事故発生時の業務停止といった損失を最小限にすることもできます。ウイルス感染などの疑いがある場合に、長い間PCを回収したままにしていると、本来のPC利用者に代替PCを渡せない場合、業務が止まってしまいます。いち早く業務に戻ってもらうためには、分析に必要な証拠をできるだけ素早く入手し、PCのOSを再インストールして、利用者にPCを返却する必要があります。こうした場合に、これらのツールが役に立ちます(ウイルスの中には、BIOSレベルで感染するものもあり、その場合はファームウェアのアップデートや、ウイルスの種類に応じた駆除手順を踏まないと消去できないことがあるので注意してください)。

 このようにして、入手したメモリダンプとディスクのコピーデータを情報セキュリティベンダーに解析依頼とともに渡し、感染したPCには復旧作業を施して返却することで、インシデントレスポンス対応と業務復旧を並行して進めることができます。

 以上、本稿では事故対応に備えた証拠保全について解説しました。これを参考に、事故が起きたときの対応フローを整備しておき、担当者への教育を実施しておくとよいでしょう。そのとき重要になるのは、ツールの使い方ももちろんですが、前回取り上げた証拠保全意識です。フローの内容を机上で確認するだけでなく、ウイルス感染が起きたと仮定して、PCのメモリやディスクの保全作業を訓練してみることで、作業上の注意点や自分のミスしやすいポイントが明らかになります。いざというときに証拠を誤って消してしまうようなことがないよう、担当者には定期的な訓練を義務付けましょう。

●著者プロフィール 富田一成:株式会社ラック セキュリティアカデミー所属。保有資格、CISSP、CISA。情報セキュリティ関連の研修講師や教育コンテンツの作成に従事。「ラックセキュリティアカデミー」(ラック主催のセミナー)の他、情報セキュリティ資格セミナーなどでも研修講師を担当している。

最終更新:8月26日(金)7時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]