このサイトは企業・組織の情報セキュリティ担当者が、情報セキュリティ対策を推進していく上で、疑問に思っていること、困っていることに対して、種々の情報や解決策を提供することを目的としてします。
第2章 インシデント対応方法(1/2)
第2章 インシデント発生後の対応方法
1.日常の監視・検知活動
2.インシデント毎の対応フロー
3.インシデント発見時の応急措置及び禁止措置
4.初動調査とインシデントとしての判定
(2/2へ続く)
1. 日常の監視・検知活動(アラートの検知と一時的対応方針含む)
JPCERT『高度サイバー攻撃(APT)への備えと対応ガイド』の第3章インシデント対応プロセスでは、まずAPTの検知を最初のステップとして記載しています。実際にはインシデントが発生していても、それを検知できなければ長期間放置することになり何の対応もできませんので、サイバー攻撃などの検知が最初のステップとなります。
同ガイドによれば、「現実のケースでは、外部からの情報でインシデントが発覚することが多い」としながら、「有用なシステムソリューションを導入し、インバウンドとアウトバウンドの通信について適切なシグネチャを設定した上で、常時分析・監視を行うことで、攻撃や疑わしい通信を検出することが可能となる」と記載しています。具体的に攻撃を検知するきっかけは、「ファイアウォールやプロキシなどの通信ログ、特に、内部から外部へのアウトバウンド通信や内部システム間の通信を分析した際にインディケータ情報と一致する通信があった場合や、端末の振る舞い検知型のウイルスチェックソフトで異常を検出した場合」などを挙げています。また、「通常とは異なる時間帯にログオンしたり、異なる場所で同時にログオンするなどのユーザ認証が行われた時間に矛盾がないか等のモニタリングもAPT の検知には有効である」としています。
JPCERT『高度サイバー攻撃への対処におけるログの活用と分析方法1.1版』の「4.1.1.定期的に行うログ分析」では、「Firewall で採取された通信ログ(成功・失敗) について、通信の発生時刻や、通信プロトコル、通信元、通信先は妥当か」、「Web プロキシサーバで採取されたログの中に、次のような通信を示唆するものがないか」についての分析方法を記載しているので参考にしてくだたい。
定期的な通信(定期的に発生するHTTP 通信を抽出するログ分析)
就業時間帯以外の時刻(出勤前、帰宅後、打合せ中、外出中など) の外部への通信(業務時間外に発生するHTTP 通信を抽出するログ分析)
外部に異常に大量のデータを送出する通信(大量のHTTP 通信を抽出するログ分析)
ただし、チェックすべきログの量は膨大で複数の機器のログを組み合わせて総合的に分析する必要があるため、通常はSIEMなどの監視用のソフトウェアを入れたり、SOCなどに監視業務をアウトソースするケースが多いと思われます。そのような仕組みの監視の中で通常とは異なる不審な動きを検知した場合は、システムの担当者などによる初動調査を実施し、インシデントが発生しているのか判断します。
2. インシデント毎の対応フロー
インシデントが発生した場合は、インシデントが発生してからどのように対応するかを検討し、対応していたのでは、迅速な対応ができず、間違った対応により被害拡大を招くことにもなります。従って、あらかじめ想定される主なインシデントシナリオ毎に対応フローと役割分担を作成しておき、インシデント発生時はそれに従って対応することが必要となります。あらゆるインシデントシナリオに対する対応フローを作成することは困難で、あまり意味がありませんが、主なインシデントシナリオ毎の対応フローを作成しておけば、それを基本に応用する形で対応することが可能になると思われます。
例えば、不審メールを受信したという事象を検知した場合は、その受信者を全て特定し、添付ファイルなどをクリックしてないか確認し、添付ファイルをクリックした場合は、マルウェアに感染していないかの調査を行う、添付ファイルなどを解析するなどの措置を誰がどのように行うのか予め決めておきます。
ウイルス対策ソフトウェアがマルウェアを検知した場合は、感染端末における活動の痕跡を確認する、振る舞いによる検知の場合はマルウェアを解析する、などの措置を誰がどのように行うのか予め決めておきます。
SOCの監視活動などにより、外部との不審な通信を検知した場合は、不審な通信を行っている端末を特定する、不審な外部の通信先を遮断する、当該端末のマルウェア感染の有無を調査する、当該端末において他に不審な通信が発生していないか確認する、などの措置を誰がどのように行うのか予め決めておきます。
このように対応フローと役割分担を決めたら、各担当者が割り当てられた各タスクをどのように実施するのかについて手順を作成し、確実に実施できるようにしておきます。
以下に、想定される主なインシデント毎の対応例をいくつか記載します。
2.1 不審なメールの受信を検知した場合
不審なメールの受信を検知するのは、似たような不審なメールを多数受信することによりシステムで検知する場合もあれば、不審なメールを受信したユーザからの連絡によってわかる場合もあります。そのような場合は、当該不審メールを受信した全てのユーザを特定し、不審メールの添付ファイルか本文中のURLリンクをクリックしていないか確認し、当該不審メールを削除します。もし、添付ファイル又はURLリンクをクリックしていることがわかった場合は、マルウェアの感染が疑われるため、2.2の対応を行います。
2.2不審メールの添付ファイルか本文中のURLリンクをクリックした場合
不審メールの添付ファイルか本文中のURLリンクをクリックしたと連絡があった場合は、以下のとおり対応します。
①不審メールの添付ファイル又はURLリンクをクリックした時刻がわかっているのであれば、マルウェアをダウンロードするための通信が走っていないか、プロキシサーバ又はファイアウォールのログを確認する。
②マルウェア感染の有無を確認するため、PC 永続化設定調査、PC 外部通信調査、PC 実行痕跡調査、PC感染頻出箇所調査を行う(「4.初動調査とインシデントとしての判定」参照)
③マルウェアの感染が確認された場合、当該PCにおけるマルウェアの活動状況などを調査し、感染原因、他のPC、サーバなどへの影響を確認する。また、マルウェアの解析を専門事業者などに依頼する。この段階になると高度の専門的知識知識と経験がないと調査が困難なほか、適切な対応が実施できず被害を拡大させてしまうことが考えられるため、外部のインシデント対応専門事業者に支援を依頼することが必要になります。
④他のPC、サーバへの感染拡大が確認された場合、調査対象をそれらのPC、サーバへ拡大し、調査を続ける。
⑤調査により攻撃の概要をある程度把握した段階で、攻撃の拡大、進行のおそれがある場合は、それを食い止めるための封じ込め対策を実施する。
2.3 振る舞い検知型のウイルス対策ソフトウェアがマルウェアを検知した場合
マルウェアの感染が疑われる事象を検知した場合は、以下のとおり対応します。
①当該端末のユーザに連絡し、感染の原因となることや不審な動きなどがなかったか、ヒアリングを行う。
②マルウェア感染の有無を確認するため、PC 永続化設定調査、PC 外部通信調査、PC 実行痕跡調査、PC感染頻出箇所調査を行う(「4.初動調査とインシデントとしての判定」参照)。
③以下、2.2③以降と同じ。
2.4 SOC等が外部との不審な通信を検知した場合
SOC等から、外部との不審な通信が発生している旨の連絡が入った場合は、以下のとおり対応します。
①SOC/MSS事業者から不審な通信が発生しているとの連絡が入る
②FW、Proxy Serverのログ、DHCPのログから発信元端末を特定する。
③ウイルススフルキャンの実行によりマルウェア感染がないか確認。ウイルススフルキャンで検知しない場合、マルウェア感染の有無を確認するため、PC 永続化設定調査、PC 外部通信調査、PC 実行痕跡調査、PC感染頻出箇所調査を行う(「4.初動調査とインシデントとしての判定」参照)。
④以下、2.2③以降と同じ。
3.インシデント発見時の応急措置及び禁止措置
インシデントの発生が疑われる事象を発見した時の応急措置としてよく言われるのは、マルウェアの感染が疑われる端末がある場合は、感染が他の端末やサーバに広がらないよう、ネットワークケーブルを抜くということがよく言われます。最近は仮想端端末を使用している組織も多いため、物理的な端末のケーブルを抜いても何の効果もないのですが、仮想端環境ではマイクロセグメンテーションといって、仮想端端末ごとにネットワークを分離し、他の端末に感染が広がらないようにするというソリューションもあります。
インシデントの発生が疑われる事象を発見した時のすぐに実施しなければいけない応急措置と同じくらい重要なこととして、発見時にしてはいけないことがあります。例えば、慌ててPCをシャットダウンしてしまうと、メモリなどの揮発性データが消えてしまい、調査のための重要なデータをなくすということが考えられます。
JPCERT『高度サイバー攻撃への対処におけるログの活用と分析方法1.1版』の「4.1.2.異常事象の報告に対応して行うログ分析」では、システム管理者がしてはならない行為とその理由について、以下のとおり記載しています。
①マルウェアを含むと疑われる不審なファイルを、聞きかじりの知識や我流で削除する(筆者注:本来は隔離して調査を行うべき)
(影響/理由)複数のファイルを使用し動作するマルウェアの場合、一部のファイルが削除される
と情報が断片的となって、マルウェアの機能を特定できなくなるなど、専門家によ
る調査が困難になる
②手当たり次第にPC やサードパーティ製品などの設定(ログインパスワードを含む)を変更する
(影響/理由)設定の変更がマルウェアによるものかどうかを判断できなくなり、専門家による調
査が困難になる
③感染が疑われるPC の調査のために、新たなセキュリティ対策製品(当初からインストールされて
いたものと異なるウイルス対策ソフトやツールなど)をインストールし実行する
(影響/理由)マルウェアの痕跡が失われ、専門家による調査が困難になる
インシデントの発生が疑われる事象を発見した時にどのような応急措置を実施すべきか、どのような措置はしてはいけないかは、各企業、各組織のシステム環境によって異なるため、各環境に応じて、それらの措置を定め、関係者全員に周知することが必要です。
4.初動対応として実施すべき調査(インシデントの発生が疑われる場合の調査)
インシデントの発生が疑われる事象を検知した場合、それがインシデントであるかどうかの初動調査を行う必要がありますが、この初動調査はどのように行えば良いのでしょうか。
独立行政法人情報処理推進機構(以下、IPAという。)『サイバーレスキュー隊(J-CRAT)技術レポート 2017 インシデント発生時の初動調査の手引き~WindowsOS 標準ツールで感染を見つける~』は、インシデントの初期段階に、システム管理者が実施すべき「初動調査」について具体的な手順を解説しています。
同レポートでは、標的型攻撃の全体像として、調査目的別に様々な調査項目を表にまとめていますが、このうちマルウェア感染の有無や被害をある程度把握することを目的として、PCに対して最初に行うべき以下の調査を「初動調査」として提案し、実施方法について解説しています。
PC 永続化設定調査
PC 外部通信調査
PC 実行痕跡調査
PC 感染頻出箇所調査
以下の解説は、同レポートからの抜粋です。
(1)PC 永続化設定調査
攻撃者は多くの場合、RAT(Remote Access Tool)を利用する。外部ネットワークからリモートアクセスし、その PC で様々な操作を行うことで情報収集、情報窃取し、ネットワーク経由で横移動していく。しかし、攻撃者は、感染直後にすべての攻撃活動を完了させるとは限らない。そこで、感染させた状態を維持しておくため、RAT やダウンローダーといったツールを OS 起動時に自動的に起動するよう PC の設定を変更する。これを永続化という。標的型攻撃のマルウェアに感染していた PC を調査すると、殆どの場合でなんらかの永続化設定が見られる。
WindowsOS ではおおよそ以下の設定箇所がある。
• 自動起動レジストリ
スタートアップ起動プログラム
サービス起動プログラム
• スタートアップフォルダ
• ログオンスクリプト
• タスクスケジューラ
このような設定箇所に、意図しないプログラムが起動する設定になっていないか、覚えのない設定がいつのまにか追加されていないかをチェックすることで不審点を調べることができる。
また、永続化されたマルウェアは多くの場合、フォルダ名やファイル名、サービス名などを偽装する。利用者から発見されにくいようにするための工夫である。その手法は以下のようなものである。
• 著名なアプリケーションと同じ、または似せた名称をフォルダ名、ファイル名、サービス名に使用する。
• Windows の正規ファイルと同じ、または似せた名称をファイル名に使用する。
また、マルウェアの起動時に偽装を行うケースもある。例えば、以下のような手法がある。
• Windows 標準の正規プログラムを利用する。
• 正規アプリケーションの一部のプログラムを利用する。
このような方法だと、起動中のプログラム名は正規ファイルとなるため、マルウェアが起動していても利用者は気付きにくい。
偽装を見破るのは難しいが、自身がインストールした記憶がないアプリケーションがないか、実行ファイルが配置された場所に不自然な点がないか、といった観点で不審点を洗い出していく。
(2)PC 外部通信調査
攻撃用に送り込んだマルウェアから、攻撃者が準備した Command & Control サーバ(以降C2 サーバ)へ通信をさせることで、そのネットワーク接続を確立させる。そして多くのマルウェアはその接続時に使うポートは、組織で一般的に許可されるポート、例えば HTTP や HTTPS、DNS のようなものを利用することで、正規通信に紛れ込ませるという手法をとる。このため、PC が行った外部通信の中に、C2 サーバとの通信が紛れ込んでいないかを調べることが必要となる。
本レポートでは、PC を対象とした調査を想定しているため、PC の DNS リゾルバが残している「DNS キャッシュ」を評価の対象とする。
ただし、マルウェアによっては、IP アドレスで直接通信先が指定されている場合や、インターネット接続がない場合には通信をしないこともあるため、必ずしも DNS キャッシュに記録が残るわけではない。
情報収集時に、もしネットワークを抜線していない状態で実行できる場合は、調査時のネットワークの状態を出力する「ネットワーク接続情報」もあわせて取得する。
これらのログや出力結果に、意図しない通信先、不審な通信先がないかを確認することで、C2 サーバとの通信を発見できることがある。
不審な通信先が発見されたら、外部通信記が残っている可能性のあるプロキシサーバやDNS サーバ、Firewall といった機器上のログ調査もあわせて行うことで、攻撃痕跡や感染の範囲など、より具体的に把握することにつながる。
(3)PC 実行痕跡調査
マルウェア、またはマルウェアを内包したファイルを実行したかどうかを調査することは、重要な情報になる。
実行痕跡は、単に動作したアプリケーション上の動作記録としてのログだけでなく、実行を示唆するものであればよいため、様々な箇所の記録が活用できる。以下に例をあげ る。
• イベントログ*
• アプリケーション固有ログ*
• アプリケーション実行記録
PreFetch Files
最近使ったファイル
最近使った Office ドキュメント
AppComPatCache
RecentFiles
UserAssist**
RunMRU
TypedURL
• ウイルス対策ソフトの検知ログ*
• フォルダ、ファイルのタイムスタンプ
これらのうち、本レポートで取り扱うのは、*および**以外のものとする。*印のもの は、各種情報を記録することを目的にしたログであり、それらの調査は各アプリケーションの製品情報が必要であるため、対象外としている。初動調査の結果によって、より詳細の調査に進む場合は、これらのログ調査を行ってほしい。また、**印のものについては、本レポート公開時に適切な解析ツールが発見できなかったため、記載していない。
アプリケーション実行記録については、今回は「実行したアプリケーションを把握しやすい」と思われる代表的なものをあげている。
代表的な実行痕跡
実行痕跡 内容と方法
Prefetch Files アプリケーション起動時の各種情報をファイルとして保持。
C:\Windows\Prefetch フォルダにファイル名-フルパスハッシュ値.pf として作成される。
ファイル名取得と更新日による実行判断と実行日付が推測できる。
さらに、pf ファイルそのものを解析すると、起動時の読み込みファイル
や実行回数等を確認できる。128 個保存される。
最近使ったファイル エクスプローラー経由で「使った」ファイル名から
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
フォルダにファイル名.lnk ファイルが作成される。開封判断に利用できる。
最近使った Office ドキュメント
Office ドキュメントを「使った」ファイル名から、
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recent
フォルダにファイル名.lnk ファイルが生成される。
AppCompatCache アプリケーション実行時のキャッシュ情報としてレジストリに保持している。
フルパスを含む実行ファイル名、最終更新日、サイズ、ファイルの実行可否
が記録される。1024 個保存される。
UserAssist エクスプローラー経由で実行したプログラム情報をレジストリに保持している。
RunMRU 「ファイル名を指定して実行」で実行したプログラム情報をレジストリに保持
している。
TypedURLs InternetExplorer でアクセスした直近の URL が保持されている。
25 個から 50 個が保存される。
必ずしも、同一の情報が記録されるわけではないが、アプリケーションが実行された痕跡は、このような箇所に残されている可能性がある。これらは、バイナリでの出力やエンコードされているものもあるため、それらの評価は、解析ツールで、可読性のあるテキストに出力してから行う。
フォルダやファイルのタイムスタンプは、マルウェアの実行時に意図的に操作されることも多いため、考慮にいれる必要がある。しかし、例えばエラー時に生成されるファイルのように、OS の機能によって間接的に生成されるものは、その最終更新時間などが感染時間を推測する要素になる。
攻撃によく使われるツール
標的型マルウェアに感染した PC では、複数のマルウェア、ツールが発見されることがある。権限奪取や設定変更に使われるツールの名前を知っておこう。ここでは、比較的よく利用されるものをあげる。そして、これらのうちの多くは正規ツールである。これらの実行痕跡があり、意図して実行したものでなければ、何らかの攻撃である可能性も考えられる。
攻撃によく使われるツール
ファイル名 機能など
PowerShell.exe WindowsOS 標準。高機能なスクリプト言語。近年特に攻撃での利用が多い。
wmic.exe WindowsOS 標準。WindowsOS の管理基盤アーキテクチャ WMI(Windows Management
Instrumentation)にアクセスするためのコマンドラインツール。
at.exe WindowsOS 標準。スケジュール作成コマンド。
リモートコンピュータでのプログラム実行にも利用できる。
schtasks.exe WindowsOS 標準。タスクスケジューラのタスクを操作するコマンド。
リモートコンピュータでのプログラム実行にも利用できる。
Psexec.exe Windows Sysinternals に含まれるリモートシステムでのプログラム実行ツール。
組織内で感染を拡大する「横移動」によく使われる。
wce.exe 著名なハッキングツール。Windows Credential Editor の略で、ログオン中のパスワード
を出力する。
Mimikatz.exe 著名なハッキングツール。メモリ上に保持されているアカウントの認証情報にアクセ
スし、各種クレデンシャル情報を奪取する。管理者権限の奪取によく使われる。様々
な形態があり、PowerShell 版も存在する。
gsedump.exe 著名なハッキングツール。パスワードハッシュを出力する。
(4)PC 感染頻出箇所調査
マルウェアが配置されやすいフォルダは存在する。攻撃者が利用しやすいフォルダと言い換えてもよい。特に管理者権限がないユーザーが権限を有し、環境変数でアクセスしやすい箇所がそれにあたる。
感染頻出箇所
環境変数等 実フォルダ例
%TEMP% C:\Users\%USERNAME%\AppData\Local\Temp
%PROGRAMDATA% C:\ProgramData
%ALLUSERSPROFILE% C:\ProgramData
%APPDATA% C:\Users\%USERNAME%\AppData\Roaming
%LOCALAPPDATA% C:\Users\%USERNAME%\AppData\Local
%PUBLIC% C:\Users\Public
マルウェアに感染した端末を調査すると、これらのフォルダにマルウェアやツールが配置されることが多い。これらのフォルダの共通点は、「一般利用者権限、またはログインユーザー」に対して多くの権限が与えられていることだ。そのため、この場所を利用すれ ば、標的型攻撃の主な感染源となっているメールによる攻撃でも成功する可能性が高い。マルウェアの動作を確認すると、そのファイルを開いたときに%TEMP%にマルウェアが一旦生成され、%PROGRAMDATA%以下に偽装したフォルダにコピーし、そのファイルを永続化設定に定義するといった例も多い。
上記(1)から(4)の解説の出典:IPAという。)『サイバーレスキュー隊(J-CRAT)技術レポート 2017 インシデント発生時の初動調査の手引き~WindowsOS 標準ツールで感染を見つける~』
以上が、同レポートが提案する「初動調査」の内容ですが、具体的な実施方法については同レポートで詳しく述べていますので、ご参照ください。
上記の初動調査の結果、マルウェアの感染や活動が確認された場合は、インシデントとして判定し、CSIRTが招集され、CSIRTリーダーの指揮、監督の下、その後の調査、被害拡大防止、封じ込め及び根絶、復旧などの措置を実施することになります。
CSIRTの構成員には、組織内のシステム担当、セキュリティ担当、法務担当、広報担当などがあてられますが、インシデント被害状況の調査や原因究明など、組織内の要員だけで対応できない場合は、外部のインシデント対応専門事業者に委託して調査を実施します。