fbpx

- デジタルフォレンジック・
インシデントレスポンス支援 -

インシデント対応とサイバー攻撃の痕跡調査

インシデントレスポンスおよびインシデント対応とは、ランサムウェアなどのウイルス感染、不正アクセス、情報漏えいなどのセキュリティを脅かす事象(サイバーインシデント)に対し原因究明と対応策の検討やサービス復旧などを適切に行う一連の活動のことを指します。

サイバーインシデント発生時から終息までの流れ(インシデント発生・インシデント発覚・初動切り分け・初動対処・調査・被害調査・原因調査・対策/対応・終息)
インシデント発覚から終息までの流れ

アンチウィルスソフトやEDRなどのセキュリティ機器でアラートを検知した、社内や取引先からサイバー攻撃についての通報があった、自社のWebサイトが改ざんされているのを発見した、ランサムウェア感染により社内の情報が暗号化されてしまったなどサイバー攻撃の兆候や被害が見られるときはあせらず弊社にご相談ください。 インシデントの切り分け・初動対応・被害状況や原因の調査・インシデントの対策と再発防止までインシデントハンドリングを包括的にご支援します。

目次

デジタルフォレンジックとは?

フォレンジックとは「法的に有効な」という意味を持ち、IT分野では主にコンピュータ犯罪におけるデジタルデバイスに記録された情報の回収と分析調査を行うことを指します。

デジタルフォレンジックは「デジタル鑑識」とも呼ばれ最高裁や警視庁でも行われる正式な捜査手法です。

サイバー攻撃被害を受けたときに原因や犯人の特定などを目的としてデジタルデータを扱うPCやサーバ、クラウド、オンプレミスのネットワーク機器、携帯電話、USBメモリやSDカードなどの記憶媒体を対象に調査を行いサイバー犯罪や被害に関連する証拠を収集します。

デジタルフォレンジックの目的


サイバー攻撃の被害状況把握と原因究明・再発防止策の策定のため


ランサムウェア感染(マルウエア感染)や不正アクセス、Webサイトの改ざん、在職中の社員や退職者による不正な情報持ち出しなどセキュリティインシデントにはいくつか種類がありますが、どのインシデントも被害拡大防止や再発防止のために被害状況や被害範囲の調査は欠かせません。

特にランサムウェアなどコンピュータウィルスに感染させられた場合は感染経路の特定に加えて内部ネットワークへ侵入された痕跡がないか、侵入された可能性がある場合は横展開され被害範囲が拡大していないか調査することを推奨します。


法的措置・訴訟準備のため


情報セキュリティに関わる事故により自社が責任を問われることになった場合や、不正者を訴えたい場合にもデジタルフォレンジックが必要です。 例えば従業員による内部不正や不正アクセスによって大量の個人情報が企業から漏えいする事案が度々ニュースになっていますが、このときに漏えい経路やどの程度の規模の情報が漏えいしたか、また不正者や責任の所在はだれにあるのか説明する責任が企業にはあります。

また不正者を民事訴訟で訴えたい場合は不正行為の証拠としてデジタルフォレンジックの調査結果を裁判所に提出します。

フォレンジック調査事例


ランサムウェア感染調査(不正アクセス・ハッキング)


ランサムウェアおよびマルウェア感染のフォレンジック調査では、PCやサーバなどのログを解析しコンピュータウィルスに感染した原因や感染の影響範囲を調査します。 Emotetなど特定のランサムウェアは流行り病のように定期的に感染拡大することがあります。

現在ランサムウェアに感染している兆候が見られなくてもアンチウィルスソフトやEDRなどのセキュリティ製品で検知できていないだけで実はコンピュータウィルスに感染していたということもありますので、客様のネットワーク全体を対象に広範囲にプロアクティブなフォレンジック調査を希望をされる場合はスレットハンティング(広域ファストフォレンジック)の実施を検討ください。またスレットハンティングはすでにランサムウェア感染が判明している場合に同じネットワーク内に同一のランサムウェア感染端末がないか確認する方法としても有効です。

Emotet緊急対策ページ

ブログ「猛威を振るうマルウェアEmotetについて」


Webサイト改ざん調査


改ざんされたWebページは閲覧したユーザに損害を与える仕掛けが仕込まれていることやほかのサイバー攻撃の一部として利用される場合があり、 Webコンテンツの書き換えだけでなく水面下でWebサーバやwebサーバと連動している個人情報などのデータが抜き取られていた事例もあります。

また早急に復旧しようとバックアップから改ざん前のデータに復元してもすぐにまた改ざんされてしまうという事が多々あります。 被害を封じ込め復旧させる為にはまずは一時的な公開の停止やネットワーク遮断等を実施し、 Webページの改ざんを引き起こしている事象を把握した上で原因を排除していく必要があります。


社員や退職者による情報持ち出しの調査


企業の情報漏えいはサイバー攻撃によるものだけではありません。

例えば営業秘密情報の漏えいに関して言えば、全体の1/4は社員によるものとの報告もあります。 特に退職者が転職先への手土産として会社の重要情報を持ち出すという構図が多く見受けられます。 また他社に派遣していた社員に情報持ち出しの疑いがかかるというケースもあり、 派遣先への説明責任が発生するなど社内だけの問題に留まらなくなります。

社員による情報漏えいが疑われる場合は、情報の共有をできるだけ小さく押さえ、痕跡が残りそうな機器を推測し、 迅速に調査対象となる情報を確保する必要があり、弁護士や警察への連絡、本人からのヒアリング等は適切なタイミングで段階を踏んで行動する事が重要です。


社内のハラスメントや横領・着服の調査


ハラスメント行為や横領・着服に関する調査は社員による情報持ち出しの調査と同様に 本人からのヒアリング等は適切なタイミングで実施することが重要です。

特にハラスメントが疑われる場合は事前に本人と面談することが多く、 証拠隠蔽のため面談後すぐにパソコンを初期化されてしまうこともあります。 横領や着服に関しても同様に不正行為を行った後すぐにデータを改ざんや 上書きしたり消去するなどして証拠を隠蔽する傾向があります。

このようなケースでは消去されたデータの復元を試行したり本人の私物のパソコンやスマートフォンなどの デジタルデバイスから証拠となる痕跡がないか調査するといったアプローチが考えられます。

※私物のデジタルデバイスの調査には本人の同意が必要です。


ビジネスメール詐欺調査(BEC)


ビジネスメール詐欺は上司や部下、同僚、取引先や顧客へのなりすまし、あるいは乗っ取ったメールアカウントからメールを送ることで、 メールの受信者を騙す犯罪行為です。

ビジネスメール詐欺の多くは金銭目的で例えば経営者や騙り社内の経理担当者を偽の振込み先に誘導して振り込ませる、 あるいは自社の経理担当者を騙り取引に偽の請求書と振込先を送って入金させるといった被害が報告されています。

昨今のビジネスメール詐欺ではメールの内容に不自然さがなく普段やり取りしている相手ではないことに気が付きにくくなっています。 また実在するドメインと一文字違いのドメインを取得するなどその手口は巧妙化しています。 被害者が頻繁にメールでのやりとりをする立場の場合は調査用のログが流れやすいため、気が付いた時点で早急に保全作業を開始する必要があります。

調査費用について

JNSA(NPO法人日本ネットワークセキュリティ協会)が公開しているインシデント損害額に関する調査レポートには次のような記載があります。お見積を希望される場合は被害端末の台数やデータ容量なども合わせてご教示ください。

PCとサーバー数台程度の調査であれば、初動対応およびフォレンジック調査を合わせて概ね300~400万程度の金額が必要となります。しかし、マルウェア感染の範囲が拡大した場合など、大規模な被害を受けたときは、フォレンジック調査の対象となる端末数が増加し、ネットワーク内の挙動等の調査も必要になるため、その費用は数千万円~に及ぶ場合もあります

JNSA(NPO法人日本ネットワークセキュリティ協会) 「インシデント損害額調査レポート 2021年版 」から引用

デジタルフォレンジック・
インシデントレスポンス支援の

流れ

 
  1. 01

    ヒアリング

    インシデント発生時の状況をヒアリング

    インシデント対応支援やフォレンジック調査は緊急を要することが多く、時間がたつとデータの改変が発生する恐れがあります。システムの状態など極力短時間でヒアリングし、早急に調査を着手いたします。

    1. 初動対応のアドバイス
      インシデント発生時から現在までの状況をヒアリングし、初動対応の方針をアドバイスします。
    2. 調査対象の把握
      対象となるシステムのログの提供可否や暗号化、USB接続制限など、物理的なセキュリティの有無を確認し、解析対象を決定します。
  2. 02

    データ収集・証拠保全

    エンジニアの現地派遣によるオンサイト保全作業

    パソコン、スマートフォン、各種サーバ等のデジタルデータの証拠能力を失わないよう収集し、保全します。

    1. エンジニアの現地派遣によるオンサイト保全作業、または端末の受領によるオフサイト保全作業
      調査対象端末内のHDDをイメージコピー(完全コピー)し、証拠保全用と調査分析用のHDDを作成します。また、オリジナルHDD(原本)と証拠保全用HDD(写し)の同一性検証を行います。
      フォレンジック専用のイメージコピー装置を使用することで、端末受領時からデータの変更がないように原本への書き込み(改ざん)を防止した状態でコピーを取得します。
  3. 03

    調査・解析

    保全したデータの調査解析

    証拠となり得る情報を見つけ出すために、コンピュータ以外にも様々な機器の中にある情報を調査・分析した上で原因を特定します。

    1. エンジニアによる証跡の調査・ログ分析
      収集・保全したデータに対して各種ファイルシステムやログ、データ形式に応じた調査を行います。当社ではバックボーン・得意分野の異なるフォレンジック専任エンジニアをアサインし、目的に応じた調査を実施することで、インシデントの種別ごとに異なる解析を素早く的確に進めることができます。
    2. 解析したデータのタイムライン化
      第三者機関視点でのフォレンジック調査の結果をご報告します。調査結果に基づいた再発防止策のご提案なども記載します。詳しくは、調査報告書のサンプルをご請求ください。
    3. 削除データの復元・復旧
      調査対象者や外部からの攻撃によって、調査対象のデータは削除や改ざんされている可能性が高いため、データの復元や復旧を実施したのち調査を行います。目的に応じて複数の手法でのデータ復元を実施することにより調査の精度を向上します。

デジタルフォレンジックの注意点

何かの異常が発見された時点でそれは現在進行形で”何かが行われている、もしくは被害が拡大している最中である可能性が高いといえます。 例えばWebサイトが改ざんされ、閲覧者にマルウェアを感染させるタイプの攻撃だった場合、時間経過とともに被害者数は増えることとなります。

また、メールサーバに不正ログインされ、IcedIDやEmotetをばらまく踏み台として使われていた場合を例にとれば、時間経過とともに送信されるメールの数も増えることになります。閲覧者が増える、また送信されたメールが増えれば、実際に被害を受けるお客様も増えます。 このような被害を最小限に抑えるためには迅速かつ的確に緊急的処置を行う必要があります。

調査レポートサンプル
デジタルフォレンジック
第三者機関視点でのフォレンジック調査の結果をご報告します。 調査結果に基づいた再発防止策のご提案なども記載します。 詳しくは、調査報告書のサンプルをご請求ください。

デジタルフォレンジック・インシデントレスポンス支援の
よくある質問

QMacに対応していますか?
A対応しています。
QAWSやGCP、Azure、Salesforceなどのクラウドに対応していますか?
A対応しています。
Q裁判の証拠に使えますか?
Aご相談ください。

デジタルフォレンジック・
インシデントレスポンス支援について
もっと詳しく知りたい方はこちら

その他のサービス一覧

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断の結果や行うべき対策がわかる

診断レポート・資料請求
RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか