イエラエ、デジタルフォレンジック調査が遂に始動!
※コロナウィルスの予防対策として、初めて座談会をオンラインにて実施しました。
イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第9回をお送りします。
川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。
イエラエ顧問として「川口洋の座談会シリーズ」を2019年に開始、サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(「川口洋の座談会シリーズ」)。
今回は、4月にイエラエセキュリティが新しくリリースするサービス「フォレンジック調査」について、立ち上げメンバー3人から顧問・川口洋が内容について詳しく聞きました。
これまでに遭遇したリアルなフォレンジック経験談や、「調査前にこれだけはやって欲しくないこと」まで、インシデント時の厳しい雰囲気を存分に感じられる座談会となっています。どうぞお楽しみください!
イエラエセキュリティ顧問/株式会社川口設計 代表取締役
川口 洋
2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、一般国民向け普及啓発活動などに従事2018年 株式会社川口設計 設立。Hardening Projectの運営や講演活動など、安全なサイバー空間のため日夜奮闘中。
株式会社イエラエセキュリティ 高度解析部 フォレンジック課 課長
神崎 智敬
2020年にイエラエセキュリティ入社。2014年よりフォレンジック調査、トレーニング講師、ツール検証、テクニカルサポートなどの業務に約6年従事。マルウェア感染の原因究明調査や不正アクセス、内部不正といった主要なインシデントのフォレンジック調査を経験してきた。ユーザの行動を追跡する調査が好き。最近はVRに興味を持っている。
株式会社イエラエセキュリティ
会川 尚太郎
2020年にイエラエセキュリティ入社。幅広い不正調査のサポート業務やセキュリティ関連セミナー講師に従事。現在は高度解析部にて調査業務やセキュリティ事故の収束支援業務に従事。最近はMac端末やモバイル端末の解析に特に興味を持っている。読書と料理が趣味。
株式会社イエラエセキュリティ
寺岡 良真
2020年にイエラエセキュリティ入社。学生ベンチャーを経てセキュリティに身を捧げるパケット工作員。システム開発からDFIRまで幅広く担当。セキュリティキャンプ2010卒業生。BlackHat 2016 Arsenal Speaker。様々なイベント活動を行う。主に関西で活動中。最近好きな芸人はサンドウィッチマン。
“この春、フォレンジック経験者が満を持してイエラエに集結”
川口洋(以下、川口):今回の座談会は、コロナウイルスの影響もありましてオンラインで開催しています。イエラエのフォレンジックサービスのスペシャリスト3人にお集まりいただきました。フォレンジックのいろんな話を聞いていきたいと思います。まずは自己紹介よろしくお願いします。イエラエに入社したキッカケや、好きなことを教えてください。
神崎智敬(以下、神崎):高度解析部フォレンジック課 課長の神崎智敬と申します。イエラエは2社目になります。前職で6年間、フォレンジックの実務をやっていました。調査以外にも、トレーニングや、フォレンジックツール販売代理店業務の営業同行、テクニカルサポート等をしておりました。
川口:フォレンジックを6年もやってるって、すごいですよね。
神崎:大体3年くらいで飽きてフォレンジックから離れていく人が多いですもんね。よく言われます(笑)。やっぱりフォレンジックが好きなんでしょうね。調べても出てこないことをやるのが好きなんです。
川口:そんなフォレンジック大好きな神崎さんが、前職を離れてイエラエに入社することになったきっかけは何ですか。
神崎:ある日Twitterを見ていたら、ある方が「イエラエでフォレンジックサービス立ち上げを募集してるよ」とツイートしてるのを見つけたんです。すぐにイエラエのホームページを見に行って、あ、もう、これは、応募したろと思って。5分後には応募していました。その後、1週間後には内定をいただきました。
川口:5分後!! は、はやいなぁ・・・。では会川さん、自己紹介をお願いします。
会川尚太郎(以下、会川):高度解析部フォレンジック課の会川 尚太郎と申します、よろしくお願いします。前職ではフォレンジックの調査を2年弱やっていました。訴訟支援等がベースになってる会社だった為、内部不正系の調査が多いところではあったんですが、一方で、内部不正系の調査の中でもよくわからないようなものを丸ごと振られることが多かったので、それらを3~6案件、並列して常にやっていました。
川口:馬車馬のように働いちゃうわけですね。
会川:クオリティが下がっちゃう部分もあるとは思うので、今後はマルチタスクであまりやらないようにしていきたいですね。一方で、前職では案件に加えて技術検証みたいなことも並行してやることも多かったので、時間に余裕を作った分でその部分のクオリティを上げていくことができたらと思ってます。
川口:イエラエと出会ったきっかけは何ですか。
会川:大学の研究室でグループ会社のレピダムに行ってる人がいたり、イエラエの話をしてる人もちらほらいたので前から会社は知っていました。今回転職活動を始めた時に、「そういえば今、イエラエってセキュリティのどの分野をやってるんだっけ」と思って、ホームページを見てみたところ丁度フォレンジックの募集があったので、脆弱性診断も調査も幅広くできるようになりたいと思って応募しました。
川口:好きなものはなんですか?
会川:好きでもあり嫌いでもありという、好悪混じった複雑な感情があるのは最近のAppleの端末ですね。Appleの端末って、暗号化の機能の追加とか、仮想化の機能とか、ファイルシステムが新しく出たりとか、結構な速度で入れ替わりがあるんですが、何がどうなってるかってところまで解析した記事って、なかなかないんですね。開発速度も早すぎますし、運用の仕方も含めて特殊なものが多かったりする。相談できる相手も非常に少ないので、実機として案件の中に出てくるとちょっと困ることが多いんです。
ただまぁ、事前準備で色々実験しながら実際に検証してみると面白い部分が結構あって、そこは楽しい部分なので純粋に好きです。
川口:その辺の話、色々ネタを用意しといてください(笑)。では寺岡さん、自己紹介よろしくお願いします。
寺岡良真(以下、寺岡):高度解析部フォレンジック課の寺岡良真です。フォレンジックの経験自体は浅くて、前職で2年弱やっていました。セキュリティの業務としては診断をやったり、対策製品の導入やサポート、少しペネトレーションテストなどもしていました。変な案件をよく担当していたのですが、ユニークな仕事だったので面白かったですし、楽しんでやっていましたね。
私自身は大学の頃からセキュリティエンジニアになりたいなと思っていたんですが、周りにそんな人が全くいなかったので「あいつ変なことやってるやつ」って思われてセキュリティ好きな友達がいませんでした(笑)。ひとりでAVTokyoに参加したり、セキュリティ・キャンプにも参加したりしていましたね。実は、2010年のセキュリティ・キャンプで初めてCTFをやった時に、パスワード解析でアクロバティックな解析をしたのを褒められて粗品を頂いたんです。それが解析と全然関係ないフォレンジックのTシャツでした(笑)。そんなこともあって、フォレンジックをやってるのはなんとなく縁を感じます。
イエラエに入社したきっかけですが…ノリですね(笑)。去年、牧田さん(イエラエセキュリティ代表取締役社長)ととある「ワニの肉を食べるパーティ」でお会いする機会がありまして。その時は転職する気は全然無かったのですが、何度かお話をしたことで転職しようかなって思うようになりまして。あまりに適当なノリだったので関係者にはドン引きされました。
川口:そんなところで転職してくる人を捕まえてくる牧田さんもすごいですね。
寺岡:「ワニの肉を一緒に食べた仲」というのはポイント高かったかもしれません。
川口:イケてるエンジニアを捕まえたいときはワニの肉を食わせろということですね。
寺岡:ワニの肉おすすめです(笑)。ちなみに肉は淡泊な感じでしたね。
川口:結構みんなノリで転職して来てますね。ノリで「行こう」って思える会社なのはいいことだと思います(笑)。ちなみに皆さん、普段はどこのオフィスにいらっしゃるんですか?
神崎:僕は毎日、神田の本社に出勤しています。
会川:私は家が7割、神田出社が3割という感じですね。
寺岡:僕は関西なんです。ただ、実はまだ事務所が無くて…。フォレンジックの最初の仕事は大阪オフィスを探すことです(笑)。関西は全部で3人程メンバーが予定されているので、集まりやすい場所ということで大阪で探しています。3人とも大阪の人ではないんですけどね。
川口:これから大阪オフィスができるんですね!
寺岡:できたらぜひお越しください。たこ焼きを焼いてお待ちしています(笑)。
“インシデント原因究明から「何かおかしい」不安解消まで幅広く対応”
川口:ここからは2020年4月にイエラエが新しく始めるサービス「フォレンジック調査」について、皆さんにどんな感じなのかをお聞きしたいと思います。資料があると伺っているので、見せてもらってもよろしいですか。
神崎:こちらが、イエラエの営業がお客さんへお見せしている「フォレンジック調査」に関する営業資料です。フォレンジックを全く知らない人にも説明できる内容にしたいと思っていますので、資料に関する突っ込みはどんどん頂いてブラッシュアップしていきたいと思っています。
川口:これはイエラエの新サービスなんですよね。
神崎:はい、イエラエ自体が脆弱性診断やペネトレーションテストをメインでやっているんですが、フォレンジックの引き合いも元々あったようで、今回サービスを立ち上げることになったと聞いています。その辺の熱い想いは是非牧田さんに聞いていただければと思います(笑)。
川口:「フォレンジック」って、調べる内容自体はいろいろ書いてあると思うんですけど、実際には何を起点としてどういうフローで調査してくれるのかっていうのが気になるところだと思うんですよね。「インシデントが起きたらイエラエを呼んでくださいね」ってところから始まる想定なんでしょうか。
神崎:「デジタルフォレンジック」はインシデントの原因を調査するものです。インシデントが発生している最中からインシデント発生後まで対応します。「今、マルウェアが動いちゃってるのでどうにかしてください!」とか「サイバー攻撃を受けているんです」という、いわゆるインシデントレスポンスは、寺岡さんがとてもやりたいということで、サービスに入れています。
川口:なるほど。インシデントであるかどうかハッキリわからないけど「何かちょっとおかしいな」という段階での相談は受けてくれるんですか。
神崎:そうですね。内部不正系はその形が多いと思います。いろいろ疑いがあるけど確証がない、という時にフォレンジックを行って、マルウェアに侵入されてないかだとか、情報漏洩していないか等をフォレンジックの視点で調べたりします。確実に起きたといえない状況でも、ご相談いただければと思っています。
川口:インシデントのハンドリングみたいなところって、事が確定したら調べるのは皆やると思うんですけど、「あれ? これひょっとして怪しいかも」「不安だな」ってときに相談したいニーズがあると思うんですよね。
神崎:3人とも前職でそういう相談もあったので、需要はあると思っています。
川口:インシデントが起きた後ではなくて、起きる前からフォレンジック対応できるいうのは、皆さんの経験を聞いてようやくわかりました。
神崎:案件に寄りますけど、できると思いますね。気付いていないだけでインシデントを抱えているケースは少なくないと思います。
寺岡:インシデントが発生してるかな、してないのかな、くらいのところから、間口は広くとりたいと思っています。
川口:資料を見るとインシデントが発生した後にフォーカスしているサービスなのかと思いきや、意外と幅広く対応できそうですね。相談を受けてから結果を出すまでに、何日位かかるものなんですか。
神崎:フォレンジックベンダ=調査する側からの提案ベースでは、今日明日ですぐにヒアリングに行き、その後2~3日中に契約をして調査に入るパターンが多いです。お客さん次第ですが、金額が折り合わなかったり、緊急の場合は予算が無くて失注したり、社内フローで稟議通すために1〜2週間くらい後に受注したりということもありますね。
川口:普段契約結んでないところから呼ばれて調べに行くと、契約書を作るのも大変ですね。
神崎:緊急対応が多いですし、お客さんも早く状況を知りたい、何とかしたいケースが多いので、基本的には雛形のNDAを結んで「やりましょう」となることが多いですね。
“3人張り付きで1ヶ月対応も…メンバーが体験したインシデント対応事例”
川口:皆さんが過去に対応した不正アクセス、マルウェアの事例ってお話し頂けますか。インシデントの特徴とか。
神崎:私が一番印象に残っているのは4年前のリオ五輪のときですね。日本で作った卓球台のデザインがかっこいいと世界で話題になったのを覚えてる方もいるかもしれませんが、その時にSEOポイズニングがあったんです。(参考:リオ五輪の卓球台を生んだ、デザイナーの「思想」)
日本人も含めてGoogleやYahoo!で卓球台を検索する人が多くなった時期がありました。詳細はぼかしますが、一般的なキーワード「メーカー名(スペース)卓球台」で検索すると、一番上にSEOポイズニングされたサイトが出てきて、そこにアクセスするとマルウェアに感染する、という事例がありました。
Google検索するとWebサイトの説明が2行くらい出ると思うんですが、そのスニペットの部分もかなり巧妙に作られていました。フォレンジック調査でインシデントの原因を調べると、だいたい「この運用や環境ならインシデント起こるよね」って思うことが多いんですが、この件はすごい巧妙で、セキュリティの専門家でも引っかかるなって思いましたね。時流にも乗ってましたし、マルウェア感染に関する特徴的なインシデント事例だと思いますね。
この件は、かなりセキュリティ対策をしっかりしている大企業さんから「アラートが上がって駆除はしたけど感染原因が分からない」ということで、感染源調査と、本当に何も被害が起きてないかを調べて欲しい、という依頼があって調査しました。実際には、アンチウイルスソフトが自動で駆除していたので問題は無かったんですけど、「本当に大丈夫なのか」という不安が大きかったみたいです。この件に限らず、駆除されてはいるものの、同じような不安を抱えたままのお客様は結構いらっしゃると思います。
川口:アンチウイルスソフトが反応した「そのファイル」が、最初にダウンロードされてしまったファイルなのか、暴れ途中のファイルなのか等、細かい事は分からないですから不安ですよね。寺岡さんは、印象に残ってるフォレンジックはありますか。
寺岡:どの案件も印象に残っていますが、いちばん厳しかった案件は、手口が大がかりで、サプライチェーン系の攻撃の余波を受けたケースですね。フォレンジックというよりはインシデントレスポンスに近いですが。
海外にも拠点を置かれている会社さんのインシデントでして、いろいろ調べていくうちに海外のとあるソフトウェア会社の製品がサプライチェーン攻撃を受け、更新ファイルにマルウェアを仕込まれて、その更新が一斉に発生したことで製品を使ってるユーザー全体が感染した事件と関係していることがわかりました。感染拡大の方法自体は古い手法ではあったのですが、感染力が強かったので飛び火してきたというものですね。
川口:サプライチェーン系の攻撃ってやっかいですね。
寺岡:更新ファイルって、どうしようもないですよね。自動配布されてますし。マルウェアも最初はアンチウイルスソフトが反応しなかったんですが、アンチウィルスベンダーが対応したのか途中から反応するようになって、それでインシデントが発覚したケースですね。
川口:事件が発生した初期段階ではアラートが出ないけど、途中からアラートが出るわけですね。それはやっかいですね。
寺岡:そうです。そこで「どうしたらいいか分からない」ということでご依頼頂いたかたちです。感染は古い手法なんですけど、マルウェア自体は結構な頻度でアップデートされていて、その時もたまたまアップデートされた直後だったこともあり、アンチウイルスでの検出が難しかったのかなと思います。
川口:そういうケースは、アンチウイルスソフトで反応してくれるだけマシなんですかね?
寺岡:そうですね。でも、アンチウイルスソフトで検知できるのって、インシデント全体のわずかな部分ですから、そこから他に飛び火したもの含めて難儀しました。
川口:ウイルスが1個見つかってもそいつだけじゃないってことですね。ゴキブリのように1匹見つけたら30匹いると思えと。
寺岡:特に最近は、ファイルレスのタイプの攻撃も発生するので、痕跡自体がファイルに残らなくて追いにくいというところがあり、対応の難易度は高めですね。そのウイルスもインシデント対応中にもう1回アップデートが発生しまして、古いウイルスがまだがいる環境と新しいウイルスがいる環境で二重に対応が必要になったりしました。
川口:こちらが対応している間に、敵も進化していくわけですね。
寺岡:そうです。見えていない箇所の対応も含め、刻々と変化する攻撃に対応していく必要があります。時間がかかる部分もあるのですが、業務が止まってしまうのでということで、急ぎで対応を進めました。
川口:それって、何人で何日位、対応したんですか。
寺岡:その時は入れ替わりもありましたが、だいたい3人位が対応していました。インシデント対応にはフローがあるのですが、状況の把握をして、被害拡大の封じ込めと根絶をしてと、1か月くらい対応をしていましたね。
川口:1ヶ月・・・!
寺岡:数ヶ月、半年とかではなかったのですが、どうしてもある程度時間はかかりますね。
川口:専門家が1ヶ月間も戦わないといけないって、大変ですね。
寺岡:そうですね。CSIRTやブルーチームなどがいれば連携できるのですが、まだまだセキュリティの体制が無かったり、セキュリティ担当者がいなかったりする企業は多いです。そういった体制がないと、焦って「どう対応したらいいか分からないけどサーバーやネットワークを止める」みたいな対応をされたりしてしまします。この、良かれと思った対応によってセキュリティ関連ではない別のインシデントが発生してしまうこともありまして、意図せず長期化につながったりします。
川口:それは大変ですね。ゾッとします。
寺岡:インシデントが起きると、担当者の方々は何日か寝ずに対応されていたり…。我々のような支援する側の人間は途中から入りますが、最初から対応に関わってる方々は本当に大変です。そういう人たちをサポートしないと!と常に心に留めています。
“アンチウィルスソフトを盲信するべからず。ログを取ってログを見る大切さ。”
川口:皆さんにお伺いしたいんですが、普通の人ってアンチウイルスのアラートが出てきたら、「とりあえずウイルススキャンを全PCにしておこう」って判断をしがちな気がします。技術的にはかけない方がいい気がするんですが、「ウイルススキャンするな」って普通のユーザーには言いにくいですが、その辺はどうしたらいいですか。
神崎:アンチウイルスソフトによるところもあるんですけど、フルスキャンしても出てこないマルウェアも意外とあるんですよね。製品にもよりますし、最新版にアップデートしてない場合もありますし。
調査してるとアラートが出ました、調べてみたら別のマルウェアが出ましたって、インシデントが続くのは、フォレンジックしていると日常的にあります。放置するよりはフルスキャンした方が安全ですが、フルスキャンやったら安心とは思わないで欲しいですね。
川口:ただCSIRTもなかったら、ウイルススキャンするしか方法ないんじゃないですかね。
寺岡:それしかないと思います。状況にもよりますが、「誰かのPCからちょっとウイルスが出た」くらいだったら、普段の運用上よくあるケースなのでインシデント感はないんですが、結構な台数で発生した場合はインシデントと判断されるケースがあります。全社的に広がってる感があると、「まずいことになってるぞ」っていう気持ちになるんだと思います。
川口:ウイルス対策ソフト以外の方法で、おかしいことに気づくきっかけって他にあったりするんですか。万能な方法じゃなくてもいいんですが。
会川:IPS(Intrusion Prevention System:不正侵入検知防止システム)・IDS(Intrusion Detection System:不正侵入検知システム)などの出口対策系はやっておいてほしいかなと思います。
神崎:IPSのアラートは相当沢山出るので、そこでインシデントをハンティングしていくというのはかなり難易度が高い気もしますが。
会川:ただ、ログすら取ってないと後追いで調べるのも難しいので、何かしらは導入しておいて、ログはちゃんと取っておいた方が良いかなと思います。フォレンジックは何もないところから始まることが多いので(笑)。
川口:調べに行ったけどログが全然無くて途方に暮れた経験がある人っていますか?…あ、3人ともそうですか(笑)。ログが無かったら、調べてくれって言われても調べられないですもんね。
会川:まぁ、あらゆる手段を使って不正の痕跡を引きずり出すという感じですね。
川口:僕が聞いたケースだと、突然サーバーが再起動したのでおかしいと思ったという話があります。そういうケースは……? あ、皆さんうなずいてますね(笑)。
寺岡:サーバーの再起動もそうですし、「何か変なファイルが出来てた」とか、「自分が操作していないのに勝手に動く」などで遠隔操作を疑われるケースとかですね。攻撃者は普通、そんなわかりやすいことしないんですけどね(笑)。
ただ、サーバー系であれば突然トラフィック量が増えるとか、サーバーのリソースがめちゃくちゃ使われてたりとか、そういうのが夜中や朝方に発生したりとか。そういうときに、IPSとかではないんですけど、死活監視やリソース監視のところで発掘できるケースはあります。
川口:普段のリソースをちゃんと見てるだけで分かることもあるわけですね。
寺岡:そうですね。顧客情報をデータベースから盗まれたといった場合は、ある程度の転送量が発生するので、そこの転送ログも並行して見たりします。
川口:「転送ログを見ましょう」とか、「リソースのグラフを気にしておきましょう」っていうのを、確認しておくべき項目リストみたいに出せるといいですね。
寺岡:良いと思います。実際、死活監視はやられてるところは多いので、そこで見つけられれば特に何か新しく入れる必要もないので普段の運用にも組み込みやすいと思います。
川口:「このファイルを見ろ」とか、「この画面を確認しろ」、っていうのが分かるのは大事だなと思います。
寺岡:「7つの◎◎!」とか、「3つの◎◎!」とか言えるといいんですけど、絶対フォレンジックだと収まらないですね(笑)。
川口:「イエラエのフォレンジックチームが考える7つのポイント」みたいなのを出しましょうよ。
寺岡:課長、出しましょうよ。
神崎:7つ!? 出そうと思えば出せますけど、7つじゃ収まらない気がします…
川口:100でもいいんじゃないですか。絞るんじゃなくて、「ありとあらゆる思いついたやつ全部書きました!」みたいな。
寺岡:これ見れば大丈夫、みたいなやつですね。
川口:そうです。「気になった時にはこれを見ようよリスト」でもいいと思います。ほとんどの会社さんは知らないことばかりな気がします。
神崎:そういうところになかなか手が回らない、どこを見ていいか分からない、という場合もあると思うので、チェック項目みたいなのを作って公開するのは良いかもしれませんね。
“フォレンジック前に「これだけはやらないで欲しい」事とは”
川口:「やった方が良いこと」っていうのは割と出てくると思いますけど、依頼や相談する前にこれはやらないでほしいことってありますか。「これは困るから止めて」っていう。
神崎:難しいですね。フォレンジックやってる人だと「証拠保全のために触らないでくれ」っていう人が多いと思うんですけど、個人的には、感染被害を抑えるためにLANを切ったりウイルススキャンかけたりする事もあると思うので、一概に「触るな」とは言いきれないところがあります。「余計なことはしないでまずは相談してください」という気持ちです。
川口:とにかく早く連絡くださいってことですね。
神崎:そうです。
会川:内部不正系でもインシデント系でもどっちでもあるのが、「会社の情報が漏れてる可能性があるから、ファイルを消しておきました」というパターンですね。それやられると何が消されたのかも分からなくて、データの復元から始まることになってしまいます。
川口:これは人のこと笑えないですね。僕、初めてインシデント対応をしたのは20年前位なんですが、大学の研究室が侵入されていて、研究室全員のパスワードを書いたファイルがサーバーの中にあったんですよね。不正アクセスされてから1年半以上経ってから見つけたんですが。
その時焦ってしまって、咄嗟に「このままじゃまずい!」と思って、そのディレクトリのファイルを消しちゃったんですよね。消した後に、証拠として残しておかないといけなかったかな、って後から思いました。だから、人のことを責められないです。
寺岡:そこの判断を20年前に出来てたら、相当すごいですよ。歴戦の勇者だと思います。
川口:素人が焦ったらこうなるんだな、っていうのはそれで痛感しました。
神崎:結構な割合でそういう消し方をする人が多いですね。そうなるとやることが単純に増えるので、なるべくそのままにしてほしいですね。
川口:消すかどうか、止めるかどうかは、電話1本してから決めてほしいと。
寺岡・会川・神崎:そうですね。
寺岡:僕は、PCのシャットダウンをして欲しくないですね。メモリが飛んじゃうので、調べるときに辛いです。最近だと容量が何テラバイトという大容量のパソコンがありますが、調査は急ぎのことが多いので、HDDをまるまる調べていくという手段だと時間がかかりすぎるんです。メモリの情報を見ていけると痕跡が追いやすいですし、ファイルレスマルウェアもメモリにしかいないので、最悪、LANは抜いてもいいですけど、電源は落としてほしくないなと思います。
川口:今どきはメモリをけっこう調べるんですね。
寺岡:調べますね。残ってないケースも結構ありますけど、関連していろいろログを見れたり、アイテムが多い方が調査にとっては有利なので、そのあたりは重要になります。
川口:メモリ大事なんですね。これも気にしてほしいことリストに入れときましょう。
寺岡:キャッチーな感じで出したいですね。
川口:入社したばかりの、余裕がある今のうちにやっておきましょうよ。
神崎:イエラエのことよく知らないままサービス立ち上げ業務をやっているので、余裕は無いですけど(笑)。
寺岡:依頼が来るたびに、項目が増えるかもしれませんね。
川口:フォレンジックの依頼が来始めたら、そんな時間取れないかもしれないですよ。不正アクセスやマルウェアに関するフォレンジックサービス、これから頑張ってください。ありがとうございました。
