ネット遮断は必要か?
さらに、国会や報道等で「もっと早くネット遮断をするべきだった」と指摘された影響で、ウイルス感染したらまずネット遮断、という連鎖が続いているようだ。
一方で、ネット遮断は稚拙な対応で、ちゃんとしたCSIRTがあればネット遮断など必要なかった、という意見もある。マルウェア解析やログ解析などの十分な技術があり、組織内のコミュニケーショッも潤滑に行え、リソースも十分に割り当てられているCSIRTがあれば、動揺せずに冷静に対処できたであろう、ということと思われる。
今回は、ネット遮断について少し考察してみる。
これまでに行われてきたネット遮断は、報道によると概ね以下のような経緯であるようだ。
- ウイルスに感染しているらしいことを外部組織から指摘される
- 調査すると内部にウイルスに感染している端末があることが判明
- 複数台の感染があるが、全体把握ができないためにとりあえずネット遮断
上記において、全体把握ができればネット遮断は不要となる。そしてこれをCSIRTが行えばよい、とする意見をネットで見かける。それは本当だろうか?実際に、ウイルスに感染して、しかもそれが複数台である場合、全体に何台の感染があるか、について短時間に調査し判断できる組織はないだろう。外部への通信が行われている端末を特定するためには、プロキシのログを短時間に調査しなければならないが、これが出来るようにするためには、統合ログシステムやSIEMなどの専用のシステムが導入されていなければならないし、普段から検索や調査の訓練をしておかなければ、いざというときに調査することはできない。
また、よくある誤解が調査を間違った報告に導いてしまうことがある。それは、
外部への通信(コールバック等と呼ばれる)をしている端末=ウイルスに感染している端末
という思い込みである。しかし、現実には、外部組織から指摘された不審な通信をしている端末を隔離・駆除しても、さらに別の端末が不審な通信を開始してしまうことが少なくない。なぜなら、ウイルスに感染すると、組織内部で感染が広がり、それらの感染PCは相互に情報交換を行っていて、外部に通信をしているPCが駆除されると別なPCが外部に通信を始めるような動作をするからである。
外部に通信している端末はいわば「運び屋」である。運び屋は見つかる可能性が高いので、もし見つかって駆除されたとしても、別なPCが通信を始めるように初めからプログラムされているのだ。従って、運び屋を見つけたからといって、それが全体把握になるわけではない。ウイルス感染の現場で「外部に通信しているPCを特定し隔離しました」という報告が行われることが多いが、残念ながらそれは運び屋を見つけただけで全体把握とは言えない。外部への不審な通信を行っている端末を探すことは、初動としては間違っていないが、先に述べたように、ウイルスに感染している端末の特定という意味では、不十分である。
ログを高速に調査できるようにするためには、専用の機材が必要となることは先に述べたが、そもそも、プロキシのログを取っていない組織も少なくない。ファイアウォールのログを取っているから大丈夫、という組織もあるが、URLの詳細、特にGETかPOSTか、そして通信量、エージェントの種別などの情報を得るためには、プロキシのログの方が有用なことが多い。そして、初動の調査を行うためには、少なくとも1年分のログの保存と調査のできる機材と人材が揃っていなければならない。これが揃っている組織であれば、そもそも、外部組織からのウイルス感染の指摘など受けないだろう。
また、プロキシログの調査だけでは、全体把握はできない。ADやパーソナルファイアウォール、ファイルサーバへのアクセスログ、PCの操作ログなど、多くのログを平常時から収集して分析できる機材と人材が必要である。これらの技術的な対応ができることがCSIRTの技術的な機能の一部であるが、ここまで揃っている組織は極めて少ない。
従って、上記で指摘した誤解については、以下のように理解をすべきであろう。
外部への通信(コールバック等と呼ばれる)をしている端末=ウイルスに感染している端末の一部(運び屋)
このことを理解していない、調査できない組織であればネット遮断は当然の判断である。
