近年一般のニュースでもセキュリティ・インシデントの発生が報道されることが増加しており、どんな組織でも被害を受ける可能性がある身近な脅威として考慮しなければならない状況です。
今回は、15年以上にわたりセキュリティ・インシデントの解決を支援してきた筆者に特別寄稿いただき、実際に対応した事業停止を伴うような大規模ランサムウェア感染事例を元に、セキュリティ・インシデント発生時にお客様が直面する問題と、対処の考え方などを、#5,#6の2回にわたって特別解説します。
#5
セキュリティ・インシデント発生!その時
被害の拡散抑止
事業停止!その時何を優先すべきか?
対応方針の決定
調査開始!その時起こること
調査範囲と対象
#6
調査の進め方。そこで起こる問題。
調査における3つの問題
インシデントの終了宣言。困難な終了の定義。
「終了」を定義する3つのポイント
大規模ランサムウェア感染を認知すると、組織のあちこちからサービスが利用できない、PCが停止した等の状況連絡が次々に報告され、非常に困難な状況に陥りますが、迅速に対応しなければなりません。
重要なのは「初動」としての被害拡大抑止です。
被害拡大抑止は時間との闘いになるため、迅速な決定と実行が必須ですが、一方で、正確な状況も把握できない段階での実行はためらわれるところです。よってこの段階で豊富なインシデント対応経験を有するインシデント対応ベンダーからアドバイスを得られるように準備しておくのは重要なポイントとなります。
筆者が対応した複数のランサムウェア感染事例では、感染が始まる(インシデントの認知)数ヵ月前から不正アクセスが始まっており(インシデントの始まり)、それらの事案の全てでVPNもしくはRemote Desktop Serviceを介したリモートからの不正アクセスが事故発生以前から生じていました。
このような背景から、ランサムウェア感染では、被害拡大防止としては次の2点の実行を検討してください。これは筆者の対応経験から得られたものです。
1. Windowsドメインにログオンをしない。可能な限りPCを起動しない。
2. VPNやRDPを遮断し外部から接続できないようにする。
Windowsドメインにログオンする際の仕組みを悪用し、ログオンするたびにランサムウェアのダウンロードおよび実行をするように仕組まれていた事例があります。
加えて、不正アクセス経路として利用される可能性が高い外部からのVPNやRDP接続を遮断するため、これらのサービスを遮断することが重要です。
大規模ランサムウェア感染の場合、ほとんどのケースでは復旧を最優先事項とし、調査を待たずに復旧に着手するケースをよく目にします。
しかし、次の2つの理由から、復旧と同じくらい根本原因の把握と対処が重要です。
1. 根本原因を取り除いておかないと、再度攻撃されてしまう危険性が非常に高く、同様の被害がまた発生する危険性が残される。
2. 復旧が一段落すると、経営層の興味は原因に移り、「で、原因は何なの?」という質問が飛んでくる。
1も重要ですが、組織的には2も同じように重要です。
2の質問は、再発防止策の策定や対外的な説明に必要な情報を得るために発せられるものです。
その時、「復旧を優先したので調査対象が失われており調査はできません」と答えても納得はされません。
悪い言い方ですが、経営層は「とにかく復旧しろ!」と強く言ってきますが、「調査するな!」とは言いません。
「なぜ分からないのだ!」と問い詰められることは確実です。
筆者のチームメンバーの一人もそんな現場を何回も目にしてきました。
では、調査が進むまで復旧を止めなければならないのでしょうか?
いいえ。それは違います。
調査方針と復旧方針のバランスを計画し、平行に進められるように計画するのです。
筆者は被害組織のCSIRT責任者や経営層とディスカッションし、調査と復旧を同時並行させるようリードをしています。
問題は、被害組織の中でそのような計画のアレンジができる人材もしくはチームがいるのか?という点です。それはCSIRTがやる、という回答が一般的でしょう。
しかし、経営層からの「復旧を早くしろ!」の圧力に対して、CSIRTが異を唱えることができるでしょうか?
それはかなり難しく、経営層の意図に沿った対応になるのがほとんどです。
インシデント対応専門ベンダーから第三者目線で経営層へのアドバイスをする、などが有効な方法となります。
調査と復旧を並行に実施する計画を無事に立て、段取りをアレンジしていざ開始!となった際にも次の問題が生じます。
1. 誰に調査を依頼するのか?
2. 調査範囲や調査対象を何にするのか?
多くの場合、ランサムウェア等の被害が発生しているサーバーやPCを被害組織が選定し、フォレンジックベンダーに調査を依頼するパターンでしょう。
しかし、インデント対応ベンダーである筆者の目から見ると、ここに問題があります。なぜそれが調査対象となったのか、という点です。
多くの現場では、「感染が確認されたホストとそのホストと同じセグメントの複数のホストを調査対象とする」等のように決め打ちして開始するケースが多いようです。
しかし、対応経験を有する人の目から見た場合「侵入経路を想定してVPNも調査対象とすべき」などの判断があります。
つまり、何を調査するべきか、という点も自組織だけで決めず、経験を有するベンダーのアドバイスを受けることは、短期間で調査を実施するためには重要なポイントです。
本稿では、インシデント発生後にお客様の多くが直面する数々の課題のうち、初動からインシデント対応の方針と経営者意向、調査範囲と対象の選定についてのポイントを解説しました。
次号では、更に調査開始後起こり得る3つの問題と、終息宣言の3つの定義について解説します。
本稿がいざインシデント対応に陥った際の参考になれば幸いです。