Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ネット遮断についての考察

2015/07/21 12:23

 年金機構のウイルス感染以来、感染したのでネット遮断、という対応が続いている。標的型攻撃によりウイルスに感染して、外部との通信が行われている場合、様々な情報が流出していることが考えられるので、さらなる感染を防ぐことと、外部への情報流出を防止するためにはネット遮断はやむを得ないという判断であろう。

ネット遮断は必要か?

 さらに、国会や報道等で「もっと早くネット遮断をするべきだった」と指摘された影響で、ウイルス感染したらまずネット遮断、という連鎖が続いているようだ。

 一方で、ネット遮断は稚拙な対応で、ちゃんとしたCSIRTがあればネット遮断など必要なかった、という意見もある。マルウェア解析やログ解析などの十分な技術があり、組織内のコミュニケーショッも潤滑に行え、リソースも十分に割り当てられているCSIRTがあれば、動揺せずに冷静に対処できたであろう、ということと思われる。

 今回は、ネット遮断について少し考察してみる。

 これまでに行われてきたネット遮断は、報道によると概ね以下のような経緯であるようだ。

  •  ウイルスに感染しているらしいことを外部組織から指摘される
  •  調査すると内部にウイルスに感染している端末があることが判明
  •  複数台の感染があるが、全体把握ができないためにとりあえずネット遮断

 上記において、全体把握ができればネット遮断は不要となる。そしてこれをCSIRTが行えばよい、とする意見をネットで見かける。それは本当だろうか?実際に、ウイルスに感染して、しかもそれが複数台である場合、全体に何台の感染があるか、について短時間に調査し判断できる組織はないだろう。外部への通信が行われている端末を特定するためには、プロキシのログを短時間に調査しなければならないが、これが出来るようにするためには、統合ログシステムやSIEMなどの専用のシステムが導入されていなければならないし、普段から検索や調査の訓練をしておかなければ、いざというときに調査することはできない。

 また、よくある誤解が調査を間違った報告に導いてしまうことがある。それは、

外部への通信(コールバック等と呼ばれる)をしている端末=ウイルスに感染している端末

 という思い込みである。しかし、現実には、外部組織から指摘された不審な通信をしている端末を隔離・駆除しても、さらに別の端末が不審な通信を開始してしまうことが少なくない。なぜなら、ウイルスに感染すると、組織内部で感染が広がり、それらの感染PCは相互に情報交換を行っていて、外部に通信をしているPCが駆除されると別なPCが外部に通信を始めるような動作をするからである。

 外部に通信している端末はいわば「運び屋」である。運び屋は見つかる可能性が高いので、もし見つかって駆除されたとしても、別なPCが通信を始めるように初めからプログラムされているのだ。従って、運び屋を見つけたからといって、それが全体把握になるわけではない。ウイルス感染の現場で「外部に通信しているPCを特定し隔離しました」という報告が行われることが多いが、残念ながらそれは運び屋を見つけただけで全体把握とは言えない。外部への不審な通信を行っている端末を探すことは、初動としては間違っていないが、先に述べたように、ウイルスに感染している端末の特定という意味では、不十分である。

 ログを高速に調査できるようにするためには、専用の機材が必要となることは先に述べたが、そもそも、プロキシのログを取っていない組織も少なくない。ファイアウォールのログを取っているから大丈夫、という組織もあるが、URLの詳細、特にGETかPOSTか、そして通信量、エージェントの種別などの情報を得るためには、プロキシのログの方が有用なことが多い。そして、初動の調査を行うためには、少なくとも1年分のログの保存と調査のできる機材と人材が揃っていなければならない。これが揃っている組織であれば、そもそも、外部組織からのウイルス感染の指摘など受けないだろう。

 また、プロキシログの調査だけでは、全体把握はできない。ADやパーソナルファイアウォール、ファイルサーバへのアクセスログ、PCの操作ログなど、多くのログを平常時から収集して分析できる機材と人材が必要である。これらの技術的な対応ができることがCSIRTの技術的な機能の一部であるが、ここまで揃っている組織は極めて少ない。

 従って、上記で指摘した誤解については、以下のように理解をすべきであろう。

 外部への通信(コールバック等と呼ばれる)をしている端末=ウイルスに感染している端末の一部(運び屋)

 このことを理解していない、調査できない組織であればネット遮断は当然の判断である。

※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 三輪 信雄(ミワ ノブオ)

    日本の情報セキュリティビジネスの先駆けとして事業を開始し、以降情報セキュリティ業界をリードしてきた。ITセキュリティだけでなく物理セキュリティについても知見があり、技術者から経営者目線まで広い視野を持つ。 政府系委員も数多くこなし、各種表彰、著書・講演も多数。2009年から総務省CIO補佐官を務め...

バックナンバー

連載:S&J三輪信雄のセキュリティ ニュースレター

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5