レスポンス活動の網羅性を高めるための要求事項（後半）

投稿者：ASERT Japan名誉アドバイザー名和 利男

投稿日：2017/5/16

【攻撃への対処】

• 初度認識による対処

　攻撃の検知・認知によって、攻撃被害の拡大抑制や解決のための運用的・技術的対処の着手した際、どのような状況であったかを把握する必要がある。理由は、実際の対処活動を行った直後、着手する前に見積もった状況とは異なることが判明し、試行錯誤や手戻りが発生することが多い。また、現場の判断による対処の方向性、範囲、方法等の変更等も珍しいことではない。
　このような状況に着目した、次の事項を可能な限り把握することで、組織の外部からは見えにくい「初度認識」による見積もりの正確性や完全性の見極めることができる。

• 「実際の対処活動において、最初に関与した担当者と活動内容と、その後、追加的に関与することになった担当者と拡大した活動内容はどのようなものであったか？」

　状況の認識は、担当者のスキルや経験の違いや表現によって揺らぎが大きいため、実際の担当者とその活動に着目して確認することで、揺らぎの少ない事実確認をすることができる。

• 専門業者のアドバイス

　この段階で、外部のサイバーセキュリティ専門業者からアドバイスを受けることが目立ってきている。攻撃の被害を受ける組織は、システムを運用保守している業者に対応を任せていることが多いため、その業者の内部に専門的な知識を有する担当者が対応する傾向にあるが、最近は、その担当者でも対処が難しい場合が増えてきたため、外部のセキュリティ専門業者からのアドバイスを受けるようになってきている。
　このような状況に着目して、次の事項を可能な限り把握することで、外部のセキュリティ専門業者が求められている事項やあるべき姿を見極めることができる。

• 「誰が、どのような目的と期待を持って、どのような技術的事項について外部のセキュリティ専門業者からアドバイスを求めたか？」

　外部のセキュリティ専門業者にコンタクトした担当者を明確にすることで、被害組織のどの部署が技術的な判断能力を有しているかを見積もることができる。もし、システムを運用保守している委託業者が行った場合は、それが被害組織の契約上の都合であるか、或いは、専門業者からのアドバイスを活かすリテラシー能力が不足している可能性があるため、可能な限り把握することが重要である。

• 「外部のセキュリティ専門業者からのアドバイスは、実際の技術的な対処活動に役に立ったか？　もし、役に立たなかった場合、どのような理由が考えられるか？」

　外部のセキュリティ専門業者の観点では、被害組織のシステム構成やその運用形態を把握していないため、限定的な目的のための制約を受けた形での情報開示では、的確なアドバイスをすることが難しい。一方、被害組織の観点では、外部に社内の機密性の高い情報を伝えることに強い抵抗感があり、かつ、一般にサイバーセキュリティに関する知見や経験が豊富ではないため、セキュリティ専門業者が的確なアドバイスをするに十分な情報を提供することが難しい。その両者の格差を見極める必要がある。

• 専門業者への委託

　一般に外部のセキュリティ専門業者に対する委託は、その契約締結自体が不慣れであることに加え、どこまで専門業者に期待できるのかを見極めることすら難しい場合があるが、委託しなければ、対処活動が進まないという状況になることがほとんどである。
　次の点を可能な限り把握することで、実態解明や原因追求のために技術的事項を見極めることができる。

• 「外部のセキュリティ専門業者に委託した内容はどのようなものだった？ また、その結果は、対処活動の推進に役立つものであったか？」

　対処活動の全体からレビューすると、外部のセキュリティ専門業者に対する委託内容の位置付けや重要性が明らかになる。

• 「委託を受けたセキュリティ専門業者から報告された結果に基づく、対策の推奨事項により、どのような対処活動を行ったか？ また、その対処活動は、セキュリティ専門業者からの推奨されたこと全てと言ってよいか？」

　外部のセキュリティ専門業者からの推奨事項は、対応した領域の制限や、周辺情報の開示程度により、全てが的を得たものでないことがある。期待したことと大きな乖離があった場合、それが委託時の要求事項の適合性によるものなのか、残存している痕跡やログの不足によるものなのか、あるいは外部のセキュリティ専門業者の技術能力によるものなのかを見極める必要がある。

• 攻撃プロセスの見積もり

　被害組織、運用保守している業者、さらには、外部のセキュリティ専門業者を巻き込んだ対処活動過程のいずれかの段階において、攻撃プロセスを見積もることが出来る。見積ることが難しい場合は、攻撃に関する挙動によって残された痕跡やログ、さらには、システム運用上の脆弱な経路を見出すことができない場合であることが多い。
　次の点を可能な限り確認することで、技術的対処の着眼点を把握することが出来き、攻撃対処を促進させるポイントの見極めることができる。

• 「対処活動の中で、攻撃プロセスの見積もりをつけることができたのは、どのタイミングであったか？ その見積もりをすることができた決定的根拠はどのようなものであったか？」

　見積もりは、対処活動を実際に行っている担当者のスキルや経験に依存することが多いが、対処活動の初期段階における「システムに対する技術的調査」により、得られた痕跡やログの分析結果の積み上げの過程の中で、攻撃プロセスの全体像を推定することができる。したがって、そのような調査結果である痕跡やログを確認することで、対処活動に必要な事項の見極めに繋がる。

• 調査・分析対象の選別

　攻撃プロセスを見積ることが出来ると、必然的に「踏み込んで調査すべき対象」や「外部のセキュリティ専門業者に委託すべき対象」が炙りだされる形となるが、見積ることができない場合は、現場対処の担当者の知識や経験則によって選別される事になる。
　次の事項について可能な限り把握することにより、攻撃に関わる挙動において、もっとも認知しにくいところを見極めるのに役立つ。

• 「セキュリティ技術に詳しい者や外部のセキュリティ専門業者に対して、さらなる調査や分析を依頼や委託をする場合、どの領域にするかを決めた根拠や理由はどのようなものであったか？」

　この根拠や理由そのものが、認知しづらい攻撃に関わる挙動となる。しかし、これは、現場対処の担当者に知識や経験に依存するための注意が必要である。

• 簡易フォレンジック

　攻撃対処における現場担当者は、事象発生直後に、攻撃に関する挙動の痕跡やログ等を消失させないよう、自力で簡易的なフォレンジックを行う場合がある。この対処レベルや対象範囲は、担当者のスキルや経験に大きく依存する。
　次の事項を可能な限り把握することで、被害組織における独自の攻撃に対する技術能力を見極めることに役立つ。

• 「現場の担当者は、攻撃に関する挙動の痕跡やログを消失させないことを目的として、メモリダンプやハードディスクの物理的コピー等のスナップショットの取得を行ったか？ もし行っていた場合、実施のための判断基準等はどのようなものか？」

　最近のサイバー攻撃は、既存のセキュリティ対策を回避する技術が向上しているが、この一つに、攻撃に関わる挙動が検知されにくいように痕跡やログが極力残らないよう配慮が見られる。そのため、攻撃に関わる挙動を把握するに役立つ情報が残っていることが強く期待できるメモリ上のデータを外部記媒体のファイルとして保存する（メモリダンプ）手法や、使用し続けることで痕跡情報が上書きされることを避けるためにハードディスクの物理コピーを行うのが、一般的になってきている。一部の現場の担当者は、実態解明を目的として、このような簡易的なデジタル・フォレンジックを行っていることがあるため、この活動のため判断や流れを把握することで、今後の攻撃対処のあるべき姿を検討することができる。

• フォレンジック

　攻撃に関わる挙動の分析をするには、本格的なデジタル・フォレンジックを行う必要があるが、これは、多くの場合、外部のセキュリティ専門業者が行っている。主な調査は、フォレンジック調査においては、高度なツールを使いこなすだけではなく、攻撃に関わる挙動を予測した上で、ファイルやフォルダにおける不自然なところの調査や、不正に利用された通常プログラムや不正プログラムの実行の痕跡を見つけ出す調査、さらには、攻撃のために行われたネットワークのログ等の確認である。
　次の事項を可能な限り把握することで、攻撃に関わる挙動の分析手法の重要ポイントを見極めることができる。

• 「本格的なフォレンジック調査において、具体的に取られたとった技術手法はどのようなものだったか？ また、その手法をとった判断理由は何か？」

　本格的なフォレンジック調査において取られた技術的手法を把握することによって、攻撃に関わる挙動によって残された痕跡やログの所在を見積もることができる。この痕跡やログ等が偏在化している箇所が、ガイドラインあるいはツールに落とし込めることができる領域となる。

• ログ分析

　最近のサイバー攻撃は、通常通信に見せかけた形で、外部のホストと高頻度で通信を行う。そのため、何かしらの手段で入手した、攻撃に関わる挙動の存在を特定することできる情報（IPアドレス、ホスト名、Eメールヘッダー、ポート番号、プロトコル等）を基にして、ログ分析することが多い。外部から入手する場合もあるが、被害組織に特化した攻撃特性を持つ場合は、それが期待できないため、内部のシステムをフォレンジック調査して得られた情報を基に、ログ分析を行う場合がある。
　次の事項を可能な限り把握することで、攻撃に関わる挙動の全容解明の重要ポイントを見極めることができる。

• 「攻撃対処の一環として、ログ分析を行ったか？ 行った場合、十分なログ分析を行うことができたか、或いは、ログ分析に何かしらの制約はあったか？」

　ログは、被害を受けたシステムの設計した者、開発・構築をした者、運用保守をしている者の考え方やコストの制約等の都合により、ログが保存されている期間が大きく異る。また、保存されていても、データ処理可能な状態に戻すために長時間を要する場合もある。

• 「ログ分析を行う上で、利用した”攻撃に関わる挙動を特定することが期待できる情報” は、どこから入手したものか？」

　組織内部からの入手元として考えられるのは、システムに対するフォレンジック調査結果以外に、IDS／IPSやウィルス対策サービス等からのアラートなどがある。一方、組織の外部からは、他のCSIRTチームや契約しているセキュリティサービスを提供するベンダーからや、独自にオープンに共有されているブラックリスト等がある。いずれの情報が利用されているかを把握することで、組織の構造や特性を把握することかができる。

• マルウェア／不正コードの解析

　ウィルス対策サービス、フォレンジック調査、ログ分析等によって、システムに感染していたマルウェアや不正コードを特定することができることがある。その後、システムにおいて、それらがどのような挙動を発生させたのか、或いはこれから発生する可能性があるのかを解明する必要が出てくる。
　次の事項を可能な限り確認することで、攻撃に関わる実際の挙動を特定するための要件の一部を見極めることができる。

• 「マルウェアや不正コードの所在は、どのような情報で特定することができたかのか？」

　既知のマルウェアは、ウィルス対策ソフトで自動的に削除されるが、未知のマルウェアは、振る舞い型検知や通信ログと不正通信先リスト（ブラックリスト）との突き合わせによって判明する場合が多い。

• 「マルウェアや不正コードの解析によって、新しく判明した事実で、どのような対処活動の推進が見られたか？」

　このマルウェアや不正コードの解析により、外部から入手したブラックリストにはない、不正な通信先が判明することがある。

• 相関的な分析・統合

　大規模で長期間に渡るサイバー攻撃が仕掛けられていた場合、複数の攻撃に関わる挙動が混在することが多いいため、サンプリングとして抽出した端末やサーバに対するフォレンジック調査だけでは、攻撃の全体像の見積りすらできないことがある。この場合、近い関係にある領域で別々に行ったログ分析、フォレンジック調査、マルウェア解析のそれぞれの結果に対して、相関的な関連性を見いだし、統合及び連結した上で、あらためてに分析を行う場合がある。
次の事項を可能な限り把握することにより、大規模で長期間に渡るサイバー攻撃に対する対処活動の最善策の見いだしに役立てることができる。

• 「攻撃実態の解明にあたって、分析及び調査活動を複数に分けて行ったか？ もし行っていた場合、どのようなスキルや経験を持った人物が、その相関及び統合の作業を行ったのか？」

　サイバー攻撃対処に関する分析や調査は、それを行う人物のスキルや経験に依存するところが非常に大きいため、分析や調査の結果に、統一的な構成や粒度を期待することはできない。つまり、複数の分析や調査の結果を相関及び統合する作業は、どのようなスキルや経験を持った人物が行うかによって、得られるものは大きく異なってしまう。そのため、その人物のスキルや経験を注目して、得られた結果を眺めると、現実的な知見を得ることができる。

• 技術的対策の立案

　攻撃に関する挙動を見いだすことを目的とした分析及び調査を直接的かつ主体的に行った人物が、最も正しい技術的立案を行うことができる。しかし、実際には、その分析及び調査の結果報告を受けた組織内の構成員が、技術的対策な立案をすることができる。
　次の事項を可能な限り把握することで、分析及び調査を伴う対処活動の最善策を見極めることに役立つ。

• 「対処活動の最終段階となる技術的対策は、誰が立案したか？　また、その立案内容は、分析及び調査の結果から必然的に求められる技術的対策内容と比較して、過不足等はあるか？」

　外部のセキュリティ専門業者が行った分析或いは調査の結果は、難しい概念や専門用語が多く、被害組織の構成員にとっては理解しづらいことが多い。このリテラシーのギャップにより、分析・調査の結果が求める技術的対策の誤解釈してしまい、再発防止のための立案内容に反映されない場合がある。また、マネージメント層の理解不足や予算・人材の不足等の都合により、立案内容に組み入れることができない場合もある。

【再発防止】

• システムの運用変更

　APT攻撃対処の完了後、実態解明で明らかになった「攻撃経路に利用された箇所」を塞ぐ目的で、運用の変更を行うことが多い。逆に、システムの運用変更を行ったところをリサーチすることにより、攻撃経路で利用される箇所であるということができる。
　次の事項を可能な限り把握することで、APT攻撃に利用された箇所を見極めることに役立つ。

• 「APT攻撃を受けた後、再発防止の観点で、どのようなシステムの運用を変更したか？」

　再発防止の観点といえども、運用上の制約から、すべての「攻撃経路に利用された箇所を塞ぐ」ことができない場合もある。そのため、何かしらの理由等により、変更できなかった箇所も把握することが必要である。

• システムの改修

　運用の変更では、攻撃の再発を防止できないケースもあり、その被害が深刻であればあるほど、システムの部分的な入れ替えや追加等を行うことがある。また、システムの運用を変更することが難しい等の理由により、技術的な措置として行う場合もある。
　次の事項を可能な限り把握することで、APT攻撃に利用された箇所を見極めることに役立つ。

• 「APT攻撃を受けた後、再発防止の観点で、どのようなシステムの技術的措置や改修を行ったか？」

　例えば、脆弱性が発見されることが少ないアプリケーションを利用したシステムへの変更や、変更管理が少なくて済むパッケージ製品等の導入を行う場合がある。また、大胆にシステムを入れ替える場合もある。

• セキュリティ対策の変更

　システムの運用変更や改修を行っても、攻撃を再発防止できないと判断された場合、既存のセキュリティ対策を見直す。例えば、セキュリティ関連規則の一部変更、セキュリティ製品の新規導入、セキュリティ運用の一部変更等となる。
　次の事項を可能な限り把握することで、既存のセキュリティ対策では防ぐことが難しい箇所を見極めることに役立つ。

• 「APT攻撃を受けた後、既存のセキュリティ対策について、大きく見直したポイントはなにか？」

　既存のセキュリティ対策のうち、どの部分がAPT攻撃に弱いのかを把握することが期待できる。特に多いのは、システムに対する不正挙動を検知するための仕組みである。

• 「APT攻撃を受けた後、再発防止の観点で、どのようなセキュリティ対策を追加或いは変更をしたか？」

　追加或いは変更した機能や仕組みのうち、「状況認識の不足等の理由により、実装されていなかった部分」と「セキュリティ対策に努力をしていたが、完全に想定外であった部分」の二極に分かれることが多い。APT攻撃は、システム運用者の状況認識の不足を期待したと思われる挙動も含まれているため、どちらも重要となることに役立つ留意すべきである。

• 対策組織の変更

　システムの運用変更や改修、そして、セキュリティ対策の変更だけでは、変化の多いAPT攻撃を防御することが難しいと判断し、サイバー攻撃対処のための専属的な組織や体制を整備し、CSIRTやSOC等の活動特性を持たせることが目立ってきた。
　次の事項を可能な限り把握することで、現実的なCSIRT体制のあり方を見極めることに役立つ。

• 「APT攻撃を受けた後、再発防止の観点で、どのような対応体制の見直しや整備を行ったか？」

　セキュリティ対策組織は、既存の組織の役割や責任の拡充、分散していた対策組織の統合や連携強化、或いは新規に組織設置等の場合があるため、APT攻撃受ける前のセキュリティ対策組織の状況を把握する必要がある。

なお、著者は6月7日（水）より開催される「Interop Tokyo」で下記の講演を行います。
「リオでは実際何が起こったのか？ トウキョウは 2020年に向けて何を準備すれば良いのか？」
https://reg.f2ff.jp/public/session/view/4900