コンテンツにスキップ

サイバーセキュリティ緊急時ガイダンス🔗

はじめに🔗

サイバーセキュリティの緊急事態が発生した場合、Secureworksインシデント対応チームが貴組織を支援します。効果的かつ効率的な対応を実現するためには、サイバーセキュリティの緊急事態が発生する前に、対応計画を策定し、テストしておくことが最善です。対応計画は、インシデント対応プロセスにおける技術的・非技術的なすべての要素を俯瞰し、役割や責任、そして各アクティビティを完了すべき緊急度を明確にします。

以下の推奨事項は、インシデント対応計画の策定やSecureworksへの支援依頼時の指針となります。

サイバーセキュリティ緊急時の兆候と指標🔗

サイバーインシデントにはさまざまな形態があり、サイバーセキュリティの緊急事態が進行中または発生したことを示す特定の兆候があります。単一の指標だけでサイバーセキュリティの緊急事態が発生した、または進行中であると断定することはできませんが、1つ以上の指標を観測した場合は、イベントをより詳細に調査する必要があります。

当初は運用上の問題と思われる事象に対応している際に、サイバーセキュリティの緊急事態が明らかになる場合もあります。そのため、これらの指標の有無に注意し、該当する問題やイベントをインシデント対応および分析リソースにエスカレーションして、適切な次のステップを判断することが重要です。

潜在的なサイバー脅威の指標ソースには以下が含まれます:

  • サイバーセキュリティソフトウェアおよびデバイス(例:IDS、IPS、DLP、SIEM、アンチウイルスおよびスパム対策ソフトウェア、ファイル整合性監視ソフトウェア、監視サービス)
  • ログ(例:オペレーティングシステムログ、サービスおよびアプリケーションログ、ネットワークデバイスログ、ネットワークフロー)
  • 公開情報(例:新たなエクスプロイトに関する情報、情報交換グループ、第三者組織、政府機関)
  • 組織内の人々
  • 第三者(例:お客様、サプライヤー、ITプロバイダー、ISP、パートナー、政府機関)

最も重要な観点として、サイバーインシデントに関する懸念は、システムおよび情報の機密性、完全性、可用性の確保に集約されます。以下は、それぞれの特性に対する代表的な指標です。網羅的なリストではありませんが、追加調査が必要となる指標の一例としてご参考ください。

サイバー脅威の指標や侵害の兆候には以下が含まれます:

  • ホストへの異常なトラフィックの発生
  • ネットワークまたはホストの侵入検知アラート
  • 第三者から組織に対し、ホストが何らかの攻撃活動に関与しているとの連絡(例:法執行機関、サービスプロバイダー、同業他社など)
  • 重要ファイルへの予期しないアクセス試行(例:保護されたファイルやネットワーク共有)
  • .zip、.rar、.tarなど、識別できないまたは予期しない圧縮ファイルの存在
  • 説明のつかないアカウント利用(例:通常は使用されないアカウントの利用、複数の場所から同時に利用されているアカウント、特定ユーザーからの予期しないコマンド、大量のロックアウトアカウント)
  • ハードウェアの一部または全部が紛失している(例:システムが開かれ、特定のコンポーネントが取り外されている)
  • ベンダーや第三者による事前承認やトラブルチケットなしでの環境への接続
  • グループからの「組織を侵害する」との脅迫
  • 不正または予期しないツール、アプリケーション、その他ファイルの存在
  • 異常な名前(バイナリ文字、先頭スペース、先頭ドットなど)を持つ新しいファイルやディレクトリ
  • システム構成の変更(プロセス/サービスの変更や追加、予期しないポートの開放、システムステータスの変更(再起動、シャットダウン)、ログや監査ポリシー・データの変更など)
  • ネットワークインターフェースがプロミスキャスモードに設定されている
  • 新しいユーザーアカウントやグループの作成
  • 重要ファイル、タイムスタンプ、権限の変更(実行ファイル、OSカーネル、システムライブラリ、構成ファイルやデータファイルなど)
  • 説明のつかないアカウント利用(例:通常は使用されないアカウントの利用、複数の場所から同時に利用されているアカウント、特定ユーザーからの予期しないコマンド、大量のロックアウトアカウント)
  • 異常なオペレーティングシステムやアプリケーションのログメッセージ
  • 不正な新規ハードウェア(例:攻撃者が不正なネットワークデバイスやリムーバブルメディアを接続)
  • アンチウイルスソフトウェアのアラート
  • システムの利用不可、不安定、異常な遅延に関するユーザーからの報告
  • 自動サービス/システム監視アラート
  • システムリソース使用量の大幅な変化(例:CPU、メモリ、ネットワーク帯域幅の利用率)
  • 説明のつかない接続の喪失
  • 単一ホストへの大量の接続
  • 非対称なネットワークトラフィックパターン(例:ホストへの大量トラフィック、ホストからのトラフィックが少ない)

対応チームへの推奨事項🔗

サイバーセキュリティの緊急事態が発生した場合、すべての関係者は以下を実施してください:

  • 冷静さを保つ。
  • 事前に策定された計画やプロセスに従って対応する。インシデントコマンダーを任命し、意思決定やインシデント対応、事業継続、危機管理における内部・外部活動の監督権限を明確にすることを検討する。
  • 適切な対応を可能にするために、必要な内部および外部サポートのレベルを継続的に評価し、必要に応じて追加のリソースを動員する。
  • 外部支援を依頼する準備として以下を実施する:
    • 影響を受けたシステムの特性(オペレーティングシステム、アプリケーションの詳細、ビジネス上の目的など)を特定する。
    • ネットワーク図、ログ、マルウェアサンプルを提供する
    • ネットワークパケットキャプチャ、ネットワークフローログ、関連するフィッシングメールなどのアーティファクトを収集する
    • デジタルメディアをフォレンジック的に適切な方法で保全する
    • 実施したアクションを記録する
  • すべての対応参加者の活動、意思決定、アクションアイテムを追跡するため、内部プロジェクトマネージャーを任命することを検討する。
  • 法的特権およびワークプロダクトドクトリンによる保護を、内部または外部の法務顧問を通じて全体のエンゲージメントに適用することを検討する。
  • 保険請求を行う場合は、顧客や第三者の要件を考慮し、法的保全通知やアクションの適切な手配を検討する。
  • 第三者組織にインシデント対応結果を提示する必要がある場合は、彼らの立場、目的、責任に関する懸念を考慮する。
  • インシデントが収束するまで、24時間365日体制のサポート要件をカバーするためのスタッフスケジュールや勤務交代を検討する。
  • 侵害されたシステムの電源を切る、稼働を維持する、またはネットワークから切断する必要性について議論する。また、バックアップや再構築のオプションも確認する。
  • 影響を受けたシステムのフォレンジックコピーを作成するための緊急メンテナンスウィンドウの必要性を判断する。

Secureworksは、エンゲージメント期間中にデジタルフォレンジック分析のために物理的に収集する必要があるデジタルメディアイメージについて、証拠保全文書(チェーン・オブ・カストディ)を提供します。

Secureworksは、デジタルメディアイメージの転送方法として、メディアの消去、返却、または法務顧問やアーカイブサービスなどの希望する第三者への移送などのオプションを提供できます。

Secureworksスコーピングコール準備🔗

サイバーインシデントは、完全な情報や事実が揃っていない段階でも報告される場合があります。できる限り多くの情報を収集することで、貴組織への支援を迅速に進めることができます。サイバーセキュリティの緊急事態が疑われる場合、以下の質問への回答が、Secureworksからの適切な支援を受けるための行動方針決定に役立ちます。

  1. サイバー侵入活動の兆候や症状(例:「何がきっかけで気づきましたか?最初の指標は何でしたか?誰がいつ問題を発見しましたか?」)。
  2. サイバー侵入活動の兆候や症状の発生源(例:「Secureworks SOCから報告を受けました。アンチウイルスソリューションがマルウェアの存在を警告しました。」)。
  3. 現在のステータス(いずれかを選択):
    • 重大:ビジネス停止、データ流出の確認、重要インフラの侵害
    • 高:ビジネスへの支障、データ流出の疑い、重要インフラの侵害疑い
    • 中:未解決の過去のサイバー侵入
    • 低:デューデリジェンス分析または対応済みの過去のサイバー侵入の分析
  4. 影響を受けた資産の種類(例:システム、ネットワーク、データ)とオペレーティングシステムおよびアプリケーション情報
  5. 既に実施した対応アクション
  6. ネットワークおよびデータフローのトポロジー(以下を含む):
    • 影響を受けたシステムの論理的な場所(例:ICS/SCADA、ITAR、PCI、重要インフラのエンクレーブ)
    • 他のネットワーク資産への/からのアクセス可能性(例:インターネット、データセンター、ICS/SCADAゾーン、その他重要資産、影響を受けた資産への/からの許可プロトコル)
  7. 影響を受けたサイトの所在地(都市/州/国の情報)

レッスン・ラーンド(教訓抽出)プロセス🔗

インシデント対応ライフサイクルにおけるレッスン・ラーンド(教訓抽出)フェーズは、しばしば見落とされがちですが、インシデント対応において最も重要な側面の一つです。教訓を記録し、実行に移すことは、将来のインシデントの回避や影響の最小化に不可欠であり、インシデント対応計画の中で明確に定義されているべきです。

インシデント対応計画には、教訓抽出の実施タイミング(例:どのくらい早く実施すべきか)、教訓抽出を担当する責任者、必要に応じたインシデント対応計画の更新プロセスを定義してください。

ご要望があれば、Secureworksの事前対応サービスの一環として、Secureworksが貴組織の教訓抽出プロセスを実施することも可能です。これは、第三者の独立した視点を提供する上で有益となる場合があります。

教訓抽出プロセスでは、インシデント発生時のメモやその他のドキュメントが不可欠です。そのため、インシデント期間中にメモやドキュメントを記録しておくことが重要です。

組織が独自に教訓抽出プロセスを実施する場合、以下のような質問を検討してください:

  • 何が、いつ発生したのか?
  • インシデント対応において、スタッフや管理職はどの程度うまく対応できたか?文書化された手順は遵守されたか?十分だったか?
  • どの情報がより早く必要だったか?
  • 復旧を妨げるようなステップやアクションはあったか?
  • 次回同様のインシデントが発生した場合、スタッフや管理職は何を変えるべきか?
  • 他組織との情報共有はどのように改善できたか?
  • 今後同様のインシデントを防ぐためにどのような是正措置が取れるか?
  • 今後同様のインシデントを検知するために、どのような前兆や指標に注意すべきか?

出典: NIST SP 800-61R2: Computer Security Incident Handling Guide