SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

S&J三輪信雄のセキュリティ ニュースレター

ネット遮断についての考察


 年金機構のウイルス感染以来、感染したのでネット遮断、という対応が続いている。標的型攻撃によりウイルスに感染して、外部との通信が行われている場合、様々な情報が流出していることが考えられるので、さらなる感染を防ぐことと、外部への情報流出を防止するためにはネット遮断はやむを得ないという判断であろう。

ネット遮断は必要か?

 さらに、国会や報道等で「もっと早くネット遮断をするべきだった」と指摘された影響で、ウイルス感染したらまずネット遮断、という連鎖が続いているようだ。

 一方で、ネット遮断は稚拙な対応で、ちゃんとしたCSIRTがあればネット遮断など必要なかった、という意見もある。マルウェア解析やログ解析などの十分な技術があり、組織内のコミュニケーショッも潤滑に行え、リソースも十分に割り当てられているCSIRTがあれば、動揺せずに冷静に対処できたであろう、ということと思われる。

 今回は、ネット遮断について少し考察してみる。

 これまでに行われてきたネット遮断は、報道によると概ね以下のような経緯であるようだ。

  •  ウイルスに感染しているらしいことを外部組織から指摘される
  •  調査すると内部にウイルスに感染している端末があることが判明
  •  複数台の感染があるが、全体把握ができないためにとりあえずネット遮断

 上記において、全体把握ができればネット遮断は不要となる。そしてこれをCSIRTが行えばよい、とする意見をネットで見かける。それは本当だろうか?実際に、ウイルスに感染して、しかもそれが複数台である場合、全体に何台の感染があるか、について短時間に調査し判断できる組織はないだろう。外部への通信が行われている端末を特定するためには、プロキシのログを短時間に調査しなければならないが、これが出来るようにするためには、統合ログシステムやSIEMなどの専用のシステムが導入されていなければならないし、普段から検索や調査の訓練をしておかなければ、いざというときに調査することはできない。

 また、よくある誤解が調査を間違った報告に導いてしまうことがある。それは、

外部への通信(コールバック等と呼ばれる)をしている端末=ウイルスに感染している端末

 という思い込みである。しかし、現実には、外部組織から指摘された不審な通信をしている端末を隔離・駆除しても、さらに別の端末が不審な通信を開始してしまうことが少なくない。なぜなら、ウイルスに感染すると、組織内部で感染が広がり、それらの感染PCは相互に情報交換を行っていて、外部に通信をしているPCが駆除されると別なPCが外部に通信を始めるような動作をするからである。

 外部に通信している端末はいわば「運び屋」である。運び屋は見つかる可能性が高いので、もし見つかって駆除されたとしても、別なPCが通信を始めるように初めからプログラムされているのだ。従って、運び屋を見つけたからといって、それが全体把握になるわけではない。ウイルス感染の現場で「外部に通信しているPCを特定し隔離しました」という報告が行われることが多いが、残念ながらそれは運び屋を見つけただけで全体把握とは言えない。外部への不審な通信を行っている端末を探すことは、初動としては間違っていないが、先に述べたように、ウイルスに感染している端末の特定という意味では、不十分である。

 ログを高速に調査できるようにするためには、専用の機材が必要となることは先に述べたが、そもそも、プロキシのログを取っていない組織も少なくない。ファイアウォールのログを取っているから大丈夫、という組織もあるが、URLの詳細、特にGETかPOSTか、そして通信量、エージェントの種別などの情報を得るためには、プロキシのログの方が有用なことが多い。そして、初動の調査を行うためには、少なくとも1年分のログの保存と調査のできる機材と人材が揃っていなければならない。これが揃っている組織であれば、そもそも、外部組織からのウイルス感染の指摘など受けないだろう。

 また、プロキシログの調査だけでは、全体把握はできない。ADやパーソナルファイアウォール、ファイルサーバへのアクセスログ、PCの操作ログなど、多くのログを平常時から収集して分析できる機材と人材が必要である。これらの技術的な対応ができることがCSIRTの技術的な機能の一部であるが、ここまで揃っている組織は極めて少ない。

 従って、上記で指摘した誤解については、以下のように理解をすべきであろう。

 外部への通信(コールバック等と呼ばれる)をしている端末=ウイルスに感染している端末の一部(運び屋)

 このことを理解していない、調査できない組織であればネット遮断は当然の判断である。

次のページ
2つの視点

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
S&J三輪信雄のセキュリティ ニュースレター連載記事一覧

もっと読む

この記事の著者

三輪 信雄(ミワ ノブオ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7057 2015/07/21 12:32

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング