株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.7. 被害からの復旧手段の確保

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

標的型攻撃により侵害された機器を特定できた場合には、それらの機器の復旧処理を行います。(後から調査可能なように必要なデータのコピーを取得してから復旧します)
また、組織内ネットワーク全体についても安全を確認し、潜伏しているウイルスが存在しないかを確認します。

復旧のポイント

組織内ネットワーク全体に関する復旧に向けた確認ポイントは次の3点です。

  1. 組織内ネットワークにウイルスが残っておらず、指令サーバとの通信が無いことを確認する。
  2. 正規アカウントの認証情報を悪用し、ウイルス以外の方法(例VPNなど正規のログイン方法)で組織内ネットワークへ侵入されていないことを確認する。
  3.  外部でホスティングしているサーバ(例 Webサーバ、メールサーバ等)に、脆弱性が無いか、正規アカウントの認証情報を悪用したアクセスが無いことを確認する。

OSの再インストール

侵害された機器はディスクのフォーマットとOSの再インストールを行い初期化します。

アプリケーションを最新の状態へ

利用するアプリケーションについても、脆弱性が無い最新バージョンへのアップグレードを行います。

データの復元

侵害された機器の記憶装置を初期化した上でOSを再インストールした後、バックアップからデータをリストアします。この際、再びウイルスがリストア[25]されてしまうことが無いように、復元するデータについては複数種類のウイルス対策ソフトによるスキャンを実施します。

侵害原因への対処

標的型攻撃による侵入経路・原因を特定します。侵入経路や原因が明確ではない場合、再度の攻撃を防ぐことができず、同様の被害が発生する可能性があります。

侵害原因となる箇所の対処

標的型攻撃による侵入経路の一つとして、自組織のWebサーバや関連組織のWebサーバを改ざんし、ウイルスを送り込むケースがあります。
これらのWebサーバに脆弱性が無いか、コンテンツ改ざんやウイルスが置かれていないかを確認します。

継続的な不審ログオンの監視

侵害された機器で利用していたアカウントについては、パスワード情報の変更後も一定期間は不審なログオンが無いかをセキュリティログなどで監視します。

ネットワーク通信の監視と確認

復旧を行ってから一定期間後、安全性を確認するためにネットワーク上を流れるパケットをキャプチャし、不審な通信が発生していないかを確認します。
また、プロキシログについても指令サーバとの通信を疑わせるログが無いかを確認します。

Active Directoryの完全性を復旧する

標的型攻撃によりドメインの管理者権限が奪われ、Active Directoryサーバ(ドメインコントローラ)も含めドメイン全体が被害を受けているケースでは、Active Directoryの再構築を含めて完全性を復旧する計画を立てる必要があります。

手順書・訓練への反映

事案の収束が確認できた後、一連の対応について手順書の作成・改定を行います。
標的型攻撃は日々変化するため、手順書の内容も定期的な見直しを行うと共に、手順書に記載されている内容に沿った作業が実施できるか、実地での訓練も定期的に実施します。

通信環境の復旧

「2.4. 被害拡大の防御策の実装」で通信やサーバなどの停止を行っていた場合、本項の回復作業を完了した時点で、通信を復旧させます。

事業の回復

事業の回復を試みます。復旧された全ての機器を動作させ、事業責任者の確認の下、事業の再開を行います。

企業の信頼性の回復

標的型攻撃による被害の内容を、警察の捜査などに影響が出ない範囲で可能な限り詳細な情報を公開し、真摯に事件と向き合っていることを知っていただく取り組みを行います。顧客の懸念を全て受け止め、真摯に正直に対応することにより、信頼を回復します。

  • [25] 情報を元の状態に戻すことです。通常は機器の故障からの復旧時に行いますが、ウイルスは自己を再感染させるために行います。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top