見出し画像

第55話 会社がマルウェアに感染したら?

今回は、CIS Controls 17セキュリティ事故対応について考察する。

本来セキュリティ対策とは、保護、検出、対応、回復の機能までが含まれます。よくあるパターンは「保護と検出」だけの対応であったり、あるいは単純に復元するだけで終了とすることです。
しかし本来のセキュリティ対策は、事故の原因がどこにあったのかを解析して、被害が発生する前に対策しておくことです。事故の把握、原因解析、再発防止がなければ、システム管理者は永遠に「もぐら叩き」を続けることとなるだけです。
(CIS Controls 17)

ケース1:アンチウイルスが検出できたケース

マルウェアが企業のパソコンに感染しようとするときに起きることは次の3つのケースが考えられる。

ケース1:アンチウイルスソフトがマルウェアを検出する。(正常反応)
ケース2:アンチウイルスの設定が不適切で感染してしまう。(運用不適切)
ケース3:アンチウイルスが発見出来ず感染してしまう。(ゼロデイ)

ケース1は想定された正常のケースだ。一般的に次のステップで対応がとられることが多いだろう。

1,感染端末の駆除・復旧
・感染端末をネットワークから切り離し
・アンチウィルスソフトによりマルウェアを駆除する。

2,全PCの検疫・駆除・復旧
・マルウェアの感染経路を調査し
・他の社員に注意喚起をし
・全端末のアンチウィルスソフト検疫(全スキャン)を実施する。

3,ステークホルダーへの報告
・経緯をIPAに報告する。

発見のみで感染完了されない場合は、上記ステップで済む。
もし万が一、一台でも感染してしまうと、その後の対応は会社全体の業務に大きな影響を与える可能性がある。

ケース2:検出できなかったケース(運用不適切)

最近のマルウェアはステルス型が主流になりつつあり、ユーザに気づかれないように情報を窃取したり、同じ社内ネットワークに存在する社内サーバやPCに感染を拡大しようとするからだ。

画像1

ケース2:アンチウイルスソフトの運用が不適切の場合
・アンチウイルスソフトがインストールされていない。
・アンチウイルスソフト定義ファイルが最新ではない。

これは、せっかくアンチウイルスソフトの運用が適切であれば防げた被害であるのため残念なケースである。ゼロトラストFTAが提唱する「マルウェア感染第一防御」である。

この場合の対応は次のステップとなる。

1,感染端末の駆除・復旧
・アンチウイルスのインストールおよび定義ファイルを更新したあと
・感染端末をネットワークから切り離し
・アンチウィルスソフトによりマルウェアを駆除する。
・駆除出来ない場合は工場出荷時に戻す。
・アプリの再インストール及びバックアップデータからの復元を行う。

2,被害推定と復旧計画立案
・検出されたウイルス名からそのウイルスによる影響を調査する。
・当該マルウェアは社内サーバへの感染侵入可能性についても調査を行う。感染侵入の可能性がある場合は、検疫および駆除手段についても調査する。
・これらの情報から社内サーバやPC端末への検疫・駆除・復旧の計画を立案し、業務への影響を算出する。

3,ステークホルダーへの報告
・取引先や顧客に影響がある場合は業務停止に関する情報を報告する。
・IPAに感染を報告し復旧対応について助言をもらう。

4-1,全PCの検疫・駆除・復旧
・(VPN含む)社内ネットワークに接続する可能性のある全PCに対して、セキュリティパッチとアンチウイルス定義ファイルが最新であるかを確認。
・パッチと定義ファイルが最新の状態でフルスキャンを実行する。
・感染していたら駆除を行う。
・駆除が不可能な場合は、PCを工場出荷時に初期化し、バックアップデータから復旧する。

4-2,対象サーバの検疫・駆除・復旧
・対象となる全サーバの検疫・駆除を行う。
・駆除が不可能な場合は、PCを工場出荷時に初期化し、バックアップデータから復旧する。

5,再発防止
・マルウェア感染対策第一防御(セキュリティパッチと定義ファイル更新)が適用されていないPC端末が存在した原因を調査する。
・再発防止策を立案する。人的運用ルールではなく、ゼロトラスト(人を信用しない)システムによる再発防止が望ましい。

6,ステークホルダーへの報告2
・本事故で業務に影響があった取引先や顧客には復旧したことと、情報漏洩などの損害発生の有無について報告する。

これでわかるように、感染したマルウェアがもしステルス型の場合、感染が会社全体や取引先や顧客にまで大きな影響を与えることがわかる。
これを防ぐためには、少なくともマルウェア感染の第一防御(未対策端末は社内に接続させない)ことが重要であることがわかる。

ケース3:検出出来なかったケース(ゼロデイ)

この場合はアンチウイルスソフトでは発見が出来ない状態なので
・ネットワークログなどから特定のPCから攻撃者へのコールバック通信が発見される。
・ランサムウェアによるファイルのロックが発生しまっている。
などが考えられる。

「この「暴露型」手口の前提としては、ランサムウェアの発病前に被害組織のネットワーク内から情報窃取を行っておくことが必要です。つまり、サイバー犯罪者は事前にネットワークに侵入し、遠隔操作によって情報窃取を行った後にランサムウェアを発病させます。これらの活動の際には、ネットワークアカウントの認証情報窃取、ADサーバの侵害、セキュリティソフトの無効化など、これまで標的型攻撃で見られてきた内部活動と同様の巧妙な活動が見られています。また、ネットワークへの侵入手段としてもメール経由の侵入に加え、脆弱なRDPやVPNを経由した直接侵入の事例も目立っています。」
https://www.trendmicro.com/ja_jp/what-is/ransomware.html

最近のランサムウェアはこのように「ファイルのロック」が発生した時は、すでに、社内サーバや他PCへの侵入が発生している可能性がある。

少なくともゼロデイ期間は、マルウェアの情報も少ないため、出来るだけ速やかに、IPAの「J-CRAT/標的型サイバー攻撃特別相談窓口」に報告と相談を行うべきである。

検疫・駆除・復旧のステップは、ケース2とほとんど同じである。ただしゼロデイ期間はマルウェアの情報も少ないため、検疫および駆除にかかる工数は比べ物にならないほど時間がかかる可能性がある。

1,感染端末の駆除・復旧
2,被害推定と復旧計画
3,ステークホルダーへの報告
4-1,全PCの検疫・駆除・復旧
4-2,対象サーバの検疫・駆除・復旧
5,再発防止
6,ステークホルダーへの報告2

ゼロデイ被害を最小にするためには、第一防御だけでなく第二防御、第三防御も重要となる。

まとめ

・情報漏洩事故が発生した場合の対応は事前に立案しておくことは被害を最小にするためには有効。
・特にステルス型マルウェアの場合は、被害が全社に及ぶ可能性があるため。

【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。

この記事が気に入ったらサポートをしてみませんか?