株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.6. ダメージコントロールと被害の対処への備え

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

標的型攻撃により組織内ネットワークが侵害された場合、まずは被害拡大を防ぐと共に被害範囲の確認と復旧を行うことになります。以下、組織内における基本的な初動対応について概要を説明します。
なお、具体的な実施方法は、本資料改訂版において増補する予定です。

通信の制限・遮断

組織内の被害範囲をこれ以上拡大させないため、組織内からのインターネットへの接続を制限します。
攻撃者グループは、インターネット上に配置した複数の攻撃拠点となる拠点サーバと、組織内に侵入したプログラムとを通信させることで様々な悪意ある操作を遠隔から行っています。

攻撃者グループの指令サーバへの通信を遮断する

すでに判明している指令サーバ、または不審な通信先と考えられるサーバとの通信を、インターネットとの境界部分で遮断します。一般的にはファイアウォールとプロキシサーバの両方でインターネットとの通信を遮断します。抜け道があり、遮断が効いていない経路が無いかも確認します。
組織外部からの連絡内容から、すでに個人情報が漏洩している、組織内に広く・深く侵入されているなど、被害状況が深刻なケースでは、部分的な通信遮断ではなくインターネットとの接続を完全に遮断することで更なる被害拡大を防ぎます。その場合、事業への影響を事前に見積もっておき最小となるような、遮断可能時間やホワイトリストの定義等を行っておくと同時に、誰がどのような判断で実施するか実際に影響は見積もり範囲か、遮断によってあぶりだすことが可能な他の感染パソコンの特定等の訓練を行っておくことが望ましい。

電子メールの制限

Webへのアクセスを遮断するだけでなく、電子メールなどについても遮断を検討する必要があります。
昨今の標的型攻撃では、メールサーバに関連した認証情報が盗まれ、(被害者に)成りすました電子メールを送る、内部情報を電子メールで外部の攻撃者グループへ送る、といったことが行われる可能性もあるため、Web以外の通信についても送信遮断を確認してください。その場合、当然のことながら最低限の連絡に必要な経路は事前に考慮しておくべきです。

被害状況を確認するのに必要な情報(準備)

組織内の被害状況を確認するには各種ログの調査が必要になります。被害範囲や原因を調査する前に、必要なログが消えてしまわないように確保します。
 

被害機器の隔離

攻撃者グループの指令サーバと通信を行っていた機器を特定・隔離するため、プロキシサーバのログを確認します。
すでに判明している指令サーバのアドレスと通信を行っていた機器をプロキシログから特定し、該当機器はネットワークから隔離します。

アカウントパスワードの変更

侵害された機器で利用していたアカウントのパスワードは全て変更します。
OSのログオンパスワードだけでなく、電子メールソフトやWebブラウザなどで保存していたアカウント情報やパスワードについても変更を行います。特にVPNなどを利用するためのパスワードを保存しているケースでは、それらのパスワードも変更が必要です。

被害機器のコピー(証拠の保全)

侵害された機器は、まずネットワークから隔離し、ウイルススキャン等の処置をする前に、完全なコピーを取得し、調査はコピーに対して実施します。

被害機器(コピー)に対するウイルス対策ソフトによるスキャン

調査対象の機器に、ウイルスが存在しているかを確認します。ウイルスが存在するディレクトリなどが特定できていない場合には、コピーに対して複数のウイルス対策ソフトによるスキャンを実施し、ウイルスが存在するか確認します。この場合、いつも使用しているウイルス対策ソフト以外の検知率の高いソフトをセカンドオピニオンとして利用することも効果的です。

ウイルス対策ソフト以外の検出方法

自動実行に登録されているプログラムが正規のアプリケーションであるかを確認します。マイクロソフト社が提供するAutoRunsツールなどを利用することで、自動起動に登録されているファイルを確認し、正規ファイルであるかを判断します。

ウイルス検体の取り扱い

自組織で利用しているウイルス対策ソフトでは検知できず、それ以外のウイルス対策ソフトでウイルスを検出できる場合があります。その場合、特定できたウイルスを確保し、自組織で利用しているウイルス対策ソフトベンダへ提供しパターン作成を依頼します。

ウイルスの通信先確認

侵入したウイルスの特定はできているものの、通信先である指令サーバのアドレスが判明していない場合は、ウイルスが通信を行う指令サーバのアドレスを確認します。

情報漏えいの確認

被害機器を特定できた後、事前に確保したコピーを利用して攻撃者グループによる情報の持ち出しがなかったかを確認します。基本的には遠隔操作されたPCやそこから不正操作されたPCはフォレンジック調査を行い攻撃者が組織内から集めたファイルの残骸等を探し、被害内容を推測します。

業者への調査依頼

標的型攻撃に対する対応は、組織内だけでは困難なケースがあります。専門業者を利用することで、一般的に次の作業について協力を依頼することができます。

  1. インシデントのハンドリング(初動対応の指示)
  2. 被害機器のコピー作成(証拠保全:イメージ取得)
  3. プロキシサーバのログ調査
  4. 被害を受けた機器の詳細なデジタル・フォレンジック調査(原因・影響範囲)
  5. ウイルスの解析(通信先の特定など)
  6. 監視機器の緊急設置

監視機器の臨時設置

一般的なIDS(侵入検知システム)とは別に、標的型攻撃に特化した監視装置を(一時的にでも)設置し、一定期間監視する方法もあります。

報道発表の判断

標的型攻撃により、個人情報の漏洩が明確になっている場合などは、広報・法務部門などが協力し、記者会見およびプレスリリースについて検討します。
また、平行して警察にも相談し、捜査に必要となる協力を行っていきます。プレスリリースを出す際は、正確に情報提供する必要があります。しかし、発表時点では調査中の箇所も多くなることから、過去の他企業の事例などを参照しつつ、継続的な対応を行っていきます。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top