情報漏洩体験セミナー2017が2017年4月21日(金)に開催されました。
このセミナーでは情報漏洩体験をテーマに、第1部では実際の「RAT(Remote Administration Tool)」と2台のPCによる情報漏洩を想定したデモンストレーションを行いました。メールの添付ファイルを実行することによりRATが実行され、攻撃者から遠隔操作が開始されました。離席している際にPC内の重要情報を盗む様子、その後キーロガーを使用しネットバンキングのパスーワードを盗む様子、最後にRAT自体を消去し、痕跡を消すという一連の流れを実際の環境で見て頂きました。
弊社代表は特別講師として、セミナー内第2部にて某企業A社と弊社のお客様B社における情報漏洩発覚から解決までを時系列で説明しました。インシデントレスポンスの実務を通して感じた『どんな作業がフォレンジックの妨げになるか』、『どんな準備をすれば解決が早まるか』についてをお話しさせていていただきました。
どんな初動対応をしているかを知ることで、『どんな準備を事前にすべきか』ということが分かります。その為インシデントレスポンスではどんな作業を初動対応で行うのかということを説明しています。某企業A社が公表した情報漏洩発生について、その原因と実際の対応手順、問題発覚から解決にいたる時系列を元にお話ししました。
A社における問題発覚から解決まで長期間要した原因として、その企業における情報セキュリティ方針やインシデント対応ガイドラインの準備が十分でなかったこと、A社が利用するセキュリティ機器についてそれらを管理する従業員が把握しきれていなかったことが挙げられます。
そのため、インシデントへの対応、上層部や外部の専門家への報告が遅れてしまい、結果情報漏洩発覚から解決まで約3ヶ月要しました。準備がしっかりできていて且つ【初動対応】について具体的に定義付けられていれば解決まで1〜2ヶ月は早まったのではないかということをお話しました。
一方B社において、情報漏洩発生の原因と対応手順及びその時系列を元に、お話しさせていただきました。
弊社で調査したところ、B社の共有サーバ内に、見覚えのないファイル「●●●.txt」が生成されており、「●●●.txt」にサーバ内の重要情報がコピーされていました。また合わせて外部へ約100バイトずつ複数回に分け、意図しない通信ログを発見しました。C&Cサーバへ重要情報が送信されていたことが分かりました。
B社が問題を検知してから解決までに10日要しました。
解決までに10日かかった原因としては、従業員がウイルス対策ソフトでフルスキャンをしたことでタイムスタンプが更新されてしまい、OSを再インストールしたことで原因究明に必要な情報が消去され、問題の特定に時間を要してしまったという、適正ではない初動対応が挙げられます。
もし、担当者様が問題発生時における『どんな挙動を発見したらウイルス感染と認定する』といったインシデントの初期判定基準が明確に定義付けられていたら、また明確なインシデント対応ガイドラインが策定されていたら、それら沿って行動するだけなので迷いなく行動し、解決までの時間が半減される可能性があったのではないかと思います。
では、情報漏洩含むインシデント発生において、スムーズな対応をとるためには何をすべきか。
先ほども述べさせていただいたように、インシデント対応ガイドラインを策定することが1つの大切な要素です。
操作と関係のない通信が発生する等の【どんな挙動を発見したらインシデントト認定】するといったインシデントの初期判定基準、その際に業務復旧を目的とするのか等の【どんな方針で動くか】、またフルスキャンをするのか、ネットワークからの隔離なのか等の【どんな初動対応をすべきか】、これらをあらかじめ定めたインシデント対応ガイドラインを策定することで問題に対しスムーズな対応や、原因究明、業務復旧に要する費用が削減されます。
これらを含む情報セキュリティ基本方針(ポリシー)を事前に策定することにより、問題解決のためのスムーズな対応や被害拡大防止に繋がるほか、方針策定にあたって様々なインシデントを想定することで、それらを回避しようするためのセキュリティ意識の向上が期待できるのではないかと思います。組織内でそういった話し合いをすると、自ずと【自分たちに必要なセキュリティ対策は何か】ということが見えてきます。【どんな種類のログを取得すべきか】、【どんなルールで権限を付与すべきか】、【どんなルールでウェブ閲覧のフィルタリングをすべきか】、といった計画的な運用をすることがインシデント発生時に自分たちを助けてくれます。弊社は社内向けのセミナーや、業界団体向けの研修も開催しておりますのでお気軽にご相談ください。