マルウェア感染後の対処法を学ぶ“サイバー攻撃の防災訓練”とは：イベントレポートアーカイブ（3/3 ページ）

[土肥正弘，ドキュメント工房]

30人の受講者が9つのチームに分かれて議論しながら演習が進む

　さて、最初の通報を受けたときに状況をどう把握し、被害拡大防止や証拠保全のためにどのような対応をとればよいか。「CYDER」では、そのポイントを演習形式で実践的に学んでいく。

　インシデント発生から事後対応までを9つのステップに分け、各ステップでは「ディスカッション課題」または「ハンズオン課題」がグループ単位で課される。ディスカッション課題は、どう対応すべきかをグループ内で議論し、その内容を「CYDERANGE」に入力する。そしてチーム代表者が議論した内容を発表し、それに対してチューターが望ましい対応例を示す形式である。ハンズオン課題は、ログ調査、ディスクイメージ調査、マルェア解析ツールを使った調査および分析方法をチューターが実演する。それに沿って受講者それぞれが実機で実行し、結果を解答する形式である。

　それぞれのステップは以下の通りである

インシデント発生から収束までの一連の流れを9つのステップに分け、演習を行う

（1）インシデントの検知・連絡受付

（2）トリアージ（ログ調査）

（3）トリアージ（ヒアリング）

（4）対応方針の検討

（5）証拠保全（ディスクイメージ調査）

（6）証拠保全（マルウェア解析）

（7）発生原因の封じ込め・根絶／報告・公表

（8）復旧措置・報告書作成

（9）再発防止策の検討

「（1）インシデントの検知・連絡受付」のステップでは「外部SOCからC＆Cサーバと不審な通信が発生していると通報を受けたとき、CSIRT担当者であるあなたは何をすべきか？」という課題に対して、チームで議論した内容を発表する形式で進められた。そこで、あるチームが指名を受け、チームの代表者が議論した内容について次のように説明した。

　「プロキシサーバのログから不正通信端末のIPを確認し、DHCPサーバのログからMACアドレスを特定する。特定したMACアドレスの端末ユーザーに連絡し、LANケーブルを外す。セキュリティ業務の委託先業者に対応を依頼し、その後、上司に連絡する」

　それに対してチューターは「まず、通報がなりすましなどのいたずらではないことを通報メールに記載された連絡先ではなく、監視委託先業者の代表電話で確認する。その後、上司に第一報を報告すること。ファイアウォールやプロキシサーバの設定で当該通信を遮断すること。CSIRTで対応可能な範囲外は外部委託業者に協力を要請すること。その際は、社内で費用の了承を得ること」などそれぞれの対応の意味を解説しながら、望ましい対応例を示した。

　「（3）トリアージ（ヒアリング）」のステップでは、C＆Cサーバと通信していた端末を特定後、その端末の持ち主へヒアリングし、原因を絞り込む演習が行われた。ここでは「外部記録媒体の利用や不審メールを開封しメールに記載されたURLをクリックしたかどうか、OSおよびアプリケーションのセキュリティパッチ更新状況やアンチウイルスソフトの更新状況などのPC運用状態、端末に保存されている個人情報、HDDやファイルの暗号化の有無などを聞き取る」という内容が説明された。

　「（5）証拠保全（ディスクイメージ調査）」「（6）証拠保全（マルウェア解析）」のステップでは、フォレンジックツール「FTK Imager」を使ってマルウェアを突き止めたり、ネットワーク監視ツールを用いた通信パケット調査したりといった、実際に外部業者に委託する作業について、どのような作業を実施するのかが解説された。この他、実際にサンドボックス内でマルウェアを実行する演習もあり、個々の組織では環境の用意が難しい内容が含まれるものだった。

　最後に30分間の確認テストを済ませ、今回の演習は終了した。

　2018年度は初級向け「Aコース」が全60回、高度な「Bコース」は全40回開催される。受講費用については、一般企業は86,400円（税込）で受講可能だ。詳細はNICTナショナルサイバートレーニングセンターのWebサイトに記載されているため、受講を検討する際は事前に受講費用や開催地域、日程など詳細を確認してほしい。