- デジタルフォレンジック・
インシデントレスポンス支援 -

インシデント対応とサイバー攻撃の痕跡調査

インシデントレスポンスおよびインシデント対応とは、ランサムウェアなどのウイルス感染、不正アクセス、情報漏えいなどのセキュリティを脅かす事象(サイバーインシデント)に対し原因究明と対応策の検討やサービス復旧などを適切に行う一連の活動のことを指します。

アンチウィルスソフトやEDRなどのセキュリティ機器でアラートを検知した、社内や取引先からサイバー攻撃についての通報があった、自社のWebサイトが改ざんされているのを発見した、ランサムウェア感染により社内の情報が暗号化されてしまったなどサイバー攻撃の兆候や被害が見られるときはあせらず弊社にご相談ください。 インシデントの切り分け・初動対応・被害状況や原因の調査・インシデントの対策と再発防止までインシデントハンドリングを包括的にご支援します。

目次

• デジタルフォレンジックとは？
• デジタルフォレンジックの目的
• フォレンジック調査事例
• 調査費用について
• デジタルフォレンジックの流れ
• デジタルフォレンジックの注意点

デジタルフォレンジックとは？

フォレンジックとは「法的に有効な」という意味を持ち、IT分野では主にコンピュータ犯罪におけるデジタルデバイスに記録された情報の回収と分析調査を行うことを指します。

デジタルフォレンジックは「デジタル鑑識」とも呼ばれ最高裁や警視庁でも行われる正式な捜査手法です。

サイバー攻撃被害を受けたときに原因や犯人の特定などを目的としてデジタルデータを扱うPCやサーバ、クラウド、オンプレミスのネットワーク機器、携帯電話、USBメモリやSDカードなどの記憶媒体を対象に調査を行いサイバー犯罪や被害に関連する証拠を収集します。

デジタルフォレンジックの目的

---

サイバー攻撃の被害状況把握と原因究明・再発防止策の策定のため

---

ランサムウェア感染(マルウエア感染）や不正アクセス、Webサイトの改ざん、在職中の社員や退職者による不正な情報持ち出しなどセキュリティインシデントにはいくつか種類がありますが、どのインシデントも被害拡大防止や再発防止のために被害状況や被害範囲の調査は欠かせません。

特にランサムウェアなどコンピュータウィルスに感染させられた場合は感染経路の特定に加えて内部ネットワークへ侵入された痕跡がないか、侵入された可能性がある場合は横展開され被害範囲が拡大していないか調査することを推奨します。

---

法的措置・訴訟準備のため

---

情報セキュリティに関わる事故により自社が責任を問われることになった場合や、不正者を訴えたい場合にもデジタルフォレンジックが必要です。 例えば従業員による内部不正や不正アクセスによって大量の個人情報が企業から漏えいする事案が度々ニュースになっていますが、このときに漏えい経路やどの程度の規模の情報が漏えいしたか、また不正者や責任の所在はだれにあるのか説明する責任が企業にはあります。

また不正者を民事訴訟で訴えたい場合は不正行為の証拠としてデジタルフォレンジックの調査結果を裁判所に提出します。

フォレンジック調査事例

---

ランサムウェア感染調査(不正アクセス・ハッキング)

---

ランサムウェアおよびマルウェア感染のフォレンジック調査では、PCやサーバなどのログを解析しコンピュータウィルスに感染した原因や感染の影響範囲を調査します。 Emotetなど特定のランサムウェアは流行り病のように定期的に感染拡大することがあります。

現在ランサムウェアに感染している兆候が見られなくてもアンチウィルスソフトやEDRなどのセキュリティ製品で検知できていないだけで実はコンピュータウィルスに感染していたということもありますので、客様のネットワーク全体を対象に広範囲にプロアクティブなフォレンジック調査を希望をされる場合はスレットハンティング(広域ファストフォレンジック)の実施を検討ください。またスレットハンティングはすでにランサムウェア感染が判明している場合に同じネットワーク内に同一のランサムウェア感染端末がないか確認する方法としても有効です。

スレットハンティング(広域ファストフォレンジック)の詳細はこちら

Emotet緊急対策ページ

ブログ「猛威を振るうマルウェアEmotetについて」

---

Webサイト改ざん調査

---

改ざんされたWebページは閲覧したユーザに損害を与える仕掛けが仕込まれていることやほかのサイバー攻撃の一部として利用される場合があり、 Webコンテンツの書き換えだけでなく水面下でWebサーバやwebサーバと連動している個人情報などのデータが抜き取られていた事例もあります。

また早急に復旧しようとバックアップから改ざん前のデータに復元してもすぐにまた改ざんされてしまうという事が多々あります。 被害を封じ込め復旧させる為にはまずは一時的な公開の停止やネットワーク遮断等を実施し、 Webページの改ざんを引き起こしている事象を把握した上で原因を排除していく必要があります。

---

社員や退職者による情報持ち出しの調査

---

企業の情報漏えいはサイバー攻撃によるものだけではありません。

例えば営業秘密情報の漏えいに関して言えば、全体の1/4は社員によるものとの報告もあります。 特に退職者が転職先への手土産として会社の重要情報を持ち出すという構図が多く見受けられます。 また他社に派遣していた社員に情報持ち出しの疑いがかかるというケースもあり、 派遣先への説明責任が発生するなど社内だけの問題に留まらなくなります。

社員による情報漏えいが疑われる場合は、情報の共有をできるだけ小さく押さえ、痕跡が残りそうな機器を推測し、 迅速に調査対象となる情報を確保する必要があり、弁護士や警察への連絡、本人からのヒアリング等は適切なタイミングで段階を踏んで行動する事が重要です。

---

社内のハラスメントや横領・着服の調査

---

ハラスメント行為や横領・着服に関する調査は社員による情報持ち出しの調査と同様に 本人からのヒアリング等は適切なタイミングで実施することが重要です。

特にハラスメントが疑われる場合は事前に本人と面談することが多く、 証拠隠蔽のため面談後すぐにパソコンを初期化されてしまうこともあります。 横領や着服に関しても同様に不正行為を行った後すぐにデータを改ざんや 上書きしたり消去するなどして証拠を隠蔽する傾向があります。

このようなケースでは消去されたデータの復元を試行したり本人の私物のパソコンやスマートフォンなどの デジタルデバイスから証拠となる痕跡がないか調査するといったアプローチが考えられます。

※私物のデジタルデバイスの調査には本人の同意が必要です。

---

ビジネスメール詐欺調査(BEC)

---

ビジネスメール詐欺は上司や部下、同僚、取引先や顧客へのなりすまし、あるいは乗っ取ったメールアカウントからメールを送ることで、 メールの受信者を騙す犯罪行為です。

ビジネスメール詐欺の多くは金銭目的で例えば経営者や騙り社内の経理担当者を偽の振込み先に誘導して振り込ませる、 あるいは自社の経理担当者を騙り取引に偽の請求書と振込先を送って入金させるといった被害が報告されています。

昨今のビジネスメール詐欺ではメールの内容に不自然さがなく普段やり取りしている相手ではないことに気が付きにくくなっています。 また実在するドメインと一文字違いのドメインを取得するなどその手口は巧妙化しています。 被害者が頻繁にメールでのやりとりをする立場の場合は調査用のログが流れやすいため、気が付いた時点で早急に保全作業を開始する必要があります。

調査費用について

JNSA（NPO法人日本ネットワークセキュリティ協会）が公開しているインシデント損害額に関する調査レポートには次のような記載があります。お見積を希望される場合は被害端末の台数やデータ容量なども合わせてご教示ください。

PCとサーバー数台程度の調査であれば、初動対応およびフォレンジック調査を合わせて概ね300～400万程度の金額が必要となります。しかし、マルウェア感染の範囲が拡大した場合など、大規模な被害を受けたときは、フォレンジック調査の対象となる端末数が増加し、ネットワーク内の挙動等の調査も必要になるため、その費用は数千万円～に及ぶ場合もあります

JNSA（NPO法人日本ネットワークセキュリティ協会） 「インシデント損害額調査レポート　2021年版 」から引用

デジタルフォレンジックの注意点

何かの異常が発見された時点でそれは現在進行形で”何かが行われている、もしくは被害が拡大している最中である可能性が高いといえます。 例えばWebサイトが改ざんされ、閲覧者にマルウェアを感染させるタイプの攻撃だった場合、時間経過とともに被害者数は増えることとなります。

また、メールサーバに不正ログインされ、IcedIDやEmotetをばらまく踏み台として使われていた場合を例にとれば、時間経過とともに送信されるメールの数も増えることになります。閲覧者が増える、また送信されたメールが増えれば、実際に被害を受けるお客様も増えます。 このような被害を最小限に抑えるためには迅速かつ的確に緊急的処置を行う必要があります。