インシデント対応
インシデントとは、ここでは情報セキュリティのインシデントへを指し、インシデント対応とは、組織内でインシデントが発生した場合に、初期段階で適切な調査と対応の判断を行うことで、被害の範囲を最小限に留めるための行動です。
インシデントの調査は、攻撃の確認、感染の確認、被害の把握、有効な対策の確認の4つのフェーズに分かれ、それぞれで調査の目的や対象が異なります。
| フェーズ | 攻撃確認 | 感染確認 | 被害把握 | 対策確認 |
| 調査目的 | 攻撃の有無? | 感染の有無? | 通信先?通信元? 被害範囲? 情報漏えい? |
有効な対策? |
| 調査対象 | メール 不審ファイル |
PC(初動調査) Proxyサーバ Firewall |
メールサーバ Proxyサーバ DNSサーバ Firewall PC/サーバ ADサーバ ファイルサーバ |
Proxyサーバ Firewall DNSサーバ |
標的型攻撃には特性があり、痕跡が残りやすいとされる箇所をWindowsOSの標準コマンドを使って情報収集を行います。それらは次の4つがあるとされています。
- 永続化と偽装
- 外部通信
- 実行痕跡
- 感染頻出箇所
永続化と偽装
攻撃者は多くの場合、RAT(Remote Access Tool)を利用して外部ネットワークからリモートアクセスし、対象PCで様々な操作を行うことで情報収集し、ネットワーク経由で横移動します。そして、後から再度ネットワークに侵入できるよう仕掛けを残します。
永続化とは、PC端末などに感染させた状態を維持するため、RATやダウンローダなどのツールをOS起動時に自動起動するようPCの設定を変更することです。WindowsOSでは次のような箇所が永続化に利用されます。
- 自動起動レジストリ
スタートアップ起動プログラム
サービス起動プログラム - スタートアップフォルダ
- ログオンスクリプト
- タスクスケジュール
永続化の際に、フォルダ名やファイル名などを偽装し、利用者から発見されにくいように工夫します。次のような偽装が行われます。
- 正規のアプリケーションに似せたフォルダ名、ファイル名、サービス名を使用する。
- Windows標準の正規プログラムなどを利用する。
従って、以下のような点に注する必要があります。
- 意図しないプログラムが起動する設定になっていないか?
- 覚えのない設定がいつのまにか追加されていないか?
- インストールした覚えのないアプリケーションがないか?
- 実行ファイルが配置された場所に不自然な点がないか?
外部通信
攻撃用に送り込まれたマルウェアから、攻撃者が準備したC2サーバ(Command & Controlサーバ)へ通信させることでネットワーク接続を確立します。このとき、例えばHTTPやHTTPSなどの利用することで、正規通信に紛れ込ませるという手法を取ります。
PC端末での調査の場合、以下が調査の調査の対象となります。
- PCのリゾルバが残しているDNSキャッシュ
- プロキシサーバ、ファイアウォール、DNSサーバ
- ネットワーク接続情報
これらのログや出力結果に不審な通信先がないかを確認することで、C2サーバとの通信を発見されることがあります。
実行痕跡
マルウェアの実行痕跡は、アプリケーションの動作記録としてのログだけでなく、実行の手掛かりとなればよいため、以下のものが利用されます。
- イベントログ
- アプリケーションの固有ログ
- アプリケーションの実行記録
- ウィルス対策ソフトの検知ログ
- ファイル等のタイムスタンプ
特にアプリケーションの実行記録として、代表的な実行痕跡は以下のものがあります。
- PreFetch Files
- 最近使ったファイル
- 最近使ったOffice ドキュメント
- AppComPatCache
- UserAssist
- RunMRU
- TypedURL
感染頻出箇所
感染頻出箇所とは、マルウェアが配置されやすい(攻撃者が利用しやすい)フォルダです。特に管理者権限ではない一般利用者権限でも、環境変数でアクセスし易い箇所がそれにあたります。
感染頻出箇所の特定フォルダを、サブフォルダや隠しファイルまで含めて表示させ確認する必要があります。感染頻出箇所の例は以下になります。
- C:\Users\%USERNAME%\AppData\Local\Temp
- C:\ProgramData
- C:\Users\%USERNAME%\AppData\Roaming
- C:\Users\%USERNAME%\AppData\Local
- C:\Users\Public
