インシデントレスポンスのライフサイクル

インシデントレスポンスのライフサイクル

　さて、インシデントが起きたとき、例えば、内部関係者による情報漏えいのような事態を想定してみよう。内部関係者によって情報が持ち出され、それが名簿業者によって拡散し、それが利用されてしまってから対象の顧客から問い合わせが相次いで発覚した、ということから始まる。

　この事態の場合、最初から重大な事態であることが容易に想定できる。顧客情報漏えいは経営を揺るがす事態に発展することは経営者であればわかることだ。このような場合、インシデントである、ということから始まることになり、しかも、漏れてしまった情報は取り返しがつかないので、事態の把握が最初に行わなければならないことになる。どれだけ漏れたのかという漏えい規模、漏えいの経路が正確に調査されなければならないが、多くの場合、それがすぐにわかることはあまりない。ここで重要なことは「出来るだけ早く」「想定される最悪の事態をもとに行動する」ということになる。

　たとえば、最悪の事態を想定したくないので、その時点でわかっている範囲だけを報道発表する、というやり方では大抵の場合うまくいかない。連日のように修正発表をすることになり、その度に被害の範囲が広がり、結果的に顧客の不信感をあおり、かつ、マスコミに対するネタを提供し続けることになる。

　報道発表などを行いつつ、顧客に対する謝罪などを行い、犯人の特定は法的な対処を行い、事態が沈静化していき、通常の状態にもどっていく。そして再発防止策を検討し実施していく。

標的型攻撃のインシデントはどのようにして気づくのか？

　このようにインシデントレスポンスは、その発生から平常時に戻るまでのライフサイクルを持っている。

　では、標的型攻撃によるマルウェア感染の場合を考えてみよう。そもそも標的型攻撃によるマルウェア感染に気づくことが難しいことは前回も書いた。既存のウイルスワクチンでは検知できないからだ。では、どのようにして標的型攻撃のインシデントに気づくのだろうか？

　標的型攻撃によるマルウェア感染に気づくには、様々なケースがある。

• 　特定のPCの動作が異常に遅くなったり、不審な動作をする
• 　ウイルスワクチンによる定期スキャンで、同時に複数のウイルスが検知される
• 　何もしていないのに、ウイルスワクチンで何度もウイルスが検知される
• 　最新の降るまい検知型のマルウェア検知システムによって外部への不正な通信（コールバック）が検知される
• 　Active Directoryで不正ログインが多数記録される

　これらの事象は、「おや？」というものであり、インシデントとして取り扱われないものである。しかしながら、これらの「予兆」を見逃してはならない。これらが起きているときには、ひょっとするとマルウェアに感染して、活動している可能性があるからだ。従来のインシデントレスポンスの考え方だと、インシデントであることが容易に推測できることが前提であった。例えば、情報漏えいやホームページの改ざんなどである。

　しかしながら、マルウェアに関しては容易にインシデントであるかどうかはわかりにくい。そして、個人情報漏えいでない場合、会社としての対応が鈍いことが少なくない。日本の場合、個人情報漏えいには敏感であるが、マルウェア感染による情報流出などには経営者は鈍感である。

　マルウェア感染の予兆に類するものである場合、速やかに、「インシデントかどうかの判定」をしなければならない。少し言い方を変えれば「最悪の事態を想像して、その可能性がないかを速やかに分析する」ということだ。この想像力が欠如していることがとても多く、被害を大きく長期化させてしまう。

　あらゆる最悪の事態を想定して、その可能性をひとつひとつつぶしていく、という作業を毎日のように行うのが「今のCSIRT」の役割である。そして、不幸にしてマルウェア感染であって、外部に不正な通信を行っていたとしよう。プロキシやファイアウォールのログが残っていて、検索・分析ができることが前提ある。

　インシデントである、という判定がなされた場合、エスカレーションが行われなければならない。つまり、専門チームの登場である。当然ながら、この専門チームはプロでなければならない。まさか、マルウェア分析研修を受けたばかりの素人ではあってはならない。しかし、そのようなプロの専門家を雇っていることは、日本の場合ほとんどない。従って、外部のセキュリティ企業との連携が必要になる。

　プロの専門チームによって、分析が行われ、感染の範囲の特定、流出した情報の推測、感染経路などが次々に明らかになる。そして、感染が疑われるPCの回収が行われ、業務が正常化していく。これには数日から数ヶ月かかることになる。

　マルウェア感染による情報漏えいは、個人情報漏えいではないから報道発表しない、というケースがほとんどである。誰に漏れたかもわからないし、そもそも漏れたことが確定ではないし、悪用されてDMや勧誘の電話が届くこともないからである。稀にリスト型攻撃やアカウント乗っ取りなどに使われるが、原因が特定されることはほとんどない。機密情報が漏えいしたからと言って、それを報道発表する義務はないケースがほとんどである。

　ごく稀に、マルウェア感染の事実が漏えいしてしまい、報道されてから大騒ぎになることがある。その場合には、経営者自身がその事実を知らされていないことも多く、社内は大変混乱することになる。そのような事態も想定して、マルウェア感染があった場合、特に外部への不正な通信があった場合には、速やかに経営者に報告するべきであろう。場合によっては、取引先に関する情報が漏えいした場合には、報道発表ではなく、会社としての対応が必要になることもあるからだ。

　このように、マルウェア感染においては、インシデントレスポンスが曖昧な段階から始まり、その後も複雑な処理になる。そして、再発防止策の策定などを行いながら平常時に戻っていく。

　個人情報漏えいやマルウェア感染といった、どこにでも起こりうるインシデントレスポンスのライフサイクルにおいて、重要なことは「初動」である。個人情報漏えいであれば、範囲の特定や漏えい経路がいかに早く正確に把握できるかが、その後の経営的な影響を左右する。マルウェア感染であれば、予兆の見逃しによって感染台数の増大や長期化につながる。最悪の場合には「取引先に指摘されて発覚」することになってしまい、経営的な影響は計り知れなくなる。

　インシデントレスポンスは、短期的な対応のことばかりに注目が集まるが、初動や再発防止などのライフサイクル全般に関わるものであることを意識し、それぞれのフェーズについて、事前に検討を行い訓練の実施などを行うことが、いざというときの被害の最小化に役立つ。