昨今、人々を取り巻く環境は、もはやコンピューターのみならず、あらゆるデバイスからクラウドまでが脅威に晒されています。マカフィーは、2017年4月にインテルから分社化し新生マカフィーとしてスタートする際に、私たちの家族、社会、そして国家の安全を護るために進化を続けることを誓いました。私たちはサイバー脅威から護るための製品やソリューションの技術面の進化と同時に、インターネットやさまざまなデバイスを利用する、ひとりひとりのセキュリティに関する知識や関心の向上を促進することも、大変重要な役割だと考えています。そのような啓発活動の一環として、マカフィーでは、毎年明星大学情報学部の公開講座に協力させていただいています。
2018年は、9月9日日曜日に、明星大学のキャンパス内にて、通算 第4回目となる公開講座が開催されました。今回のテーマは「はじめてのデジタルフォレンジックス演習」。当日集まられた皆さんで、実際に情報漏洩の演題を解決するミッションに挑みました。
デジタルフォレンジックスとは、データのコピーや改ざんなどの痕跡収集や、故意に削除された情報を復元することで、サイバー攻撃によりコンピューターや携帯電話などのデバイス上で行われた操作やファイルの痕跡を明らかにすることです。
はじめに、明星大学情報学部情報学科の丸山一貴准教授より、この公開講座の成り立ちや今回の開催主旨、当日のスケジュール等が説明されました。続けて「サイバー攻撃への備え、インシデントレスポンスの観点から」というテーマで、サイバー攻撃の段取り、インシデントレスポンスについて、またどのように備えるべきか、という流れでレクチャーが開始されました。
まず、「毎年だいたいこの講座のはじめにこれをお見せするのですが」と、“サイバーセキュリティ基本法第二条”をみなさんに見ていただきながら、スタート。
この条項には、電子的磁気的な情報、つまりコンピューター等で取り扱う情報について、滅失や棄損などを防ぎ、中身を書き換えられてしまわないよう安全に保たなければならない、複数のコンピューターやストレージ、またネットワークなどそれらすべての安全性信頼性を適切に維持しなければならない、ということが記されています。
「この条文の良いところは、適切に維持、導入時点で適切なだけでなく、新たに発覚した不具合に対応するアップデートの適用や、運用上の変更がセキュリティを損なわないことを確認するなどして、適切に維持することが重要である、とされている点です」と、この第二条に先生が注目された点を添えられ、さらに「適切な維持を阻むものとしては、犯罪者による攻撃や社内からの内部犯行などが相当し、そういった犯行が首尾よく行われてしまった場合、セキュリティの分野では“インシデント”という風に呼ばれる状態になります」と続けられました。
目次
サイバー攻撃のプロセス
サイバー犯罪者は、攻撃を繰り返し仕掛けます。セキュリティの壁に阻まれるので繰り返し攻撃するわけですが、いくら強固なセキュリティでも100%阻むというのは難しく、少しの隙間(脆弱性)を見つけては入り込みます。とはいえ、入り込めたとしてもすぐに重要なデータにたどり着くかというとそう簡単ではないため、内部に侵入したら、悪さをするプログラムはまずはじめに外部とやり取りできる通信経路を確保した上で攻撃を進めるような動きをします。何等かの形で阻まれたとしても、すでにその頃には他に移動したり途中までの状況を外に持ち出したり出来るようにしておくのです。
「このように、対策をしたとしても100%防ぐことは現実的に難しく、入って来られた後見つけた時にはすでに遅い場合があるため、インシデントを検知した時点で、何が起こっているのか、それに対してどんな対応をしなければいけないのかということを考えなければいけないわけです。」と丸山准教授。
これらは企業向けに感じられるかもしれませんが、一般消費者向けでも同様です。例えばソーシャルメディアで考えると、友人から送られてきた投稿以外にもさまざまな情報が流れてくるため、無意識に触ってしまった情報にウィルスが隠されていたりすることもあり得るわけです。
なりすましの巧妙化ということで言うと、ヤマト運輸を騙ったメールが記憶に新しいかもしれません。IPAなどでも伝えられていることですが、もっともらしい宛先やシグネチャであれば、信頼してしまいがちだと言われています。また“請求”、とか振り込みに関する件名のメールも、信じてしまいやすい例です。実名まで調べてもっともらしいメールを送ってくる可能性もあるため、そういったことが起こりうる、というのを前提に備えなければならないのです。
このように見ていくと、完全に攻撃を防止することは現実的に不可能だと考えられます。それを前提に考えたときに、セキュリティに関する事件・事案に対応を行うという意味合いの“インシデントレスポンス”が必要となるわけです。
インシデントレスポンス
事案が発生したときにどういうことをケアしなければならないのかというインシデントレスポンスについては、2018年は大型台風や地震などの自然災害が多く、国民全体の災害に対する意識が高まっていることなどから、災害時の考え方に共通する部分も多いセキュリティと災害対策を対比させながら解説されました。
火災や自然災害の場合、発生するとまずは安全な場所に避難し、けが人を救護したり消防署や警察へ連絡します。一方でセキュリティの場合、火災や自然災害のように目で見てわかるとは限りません。そのためそもそも何が起きているかを知る、ということから始まります。そのためセキュリティでは何か起きたら警告が出るような仕組みが必要になり、また警告が出た場合はどんな状況かを分析し、実際に問題が起こっていると判断したら“インシデントが発生”と認定、対策が必要だということを関係者に知らせる、ということが必要になります。
また、火災や自然災害による事故などの場合は、犯人が証拠を隠滅する場合はあるものの、基本的には何がどのように起きたかというような証拠が残ります。ところがコンピューターの場合、比較的簡単にデータを消すことができるため、得られているデータをきちんと保全するというのが大変重要です。消防や警察が“Keep out”と書いた黄色いテープを張るのと同様です。
次に、火災や自然災害の場合は消火や沈静化後、現場をじっくりと何が原因だったのかなどを調査し、またけが人や被害状況を確認して治療や修繕を行います。そして元の生活に戻すように片付けたり修復したり、といったプロセスがあります。セキュリティの場合は、保全した証拠を分析し、その分析結果を文書にまとめ社内外に報告し、“発生した事案、被害状況、どのように対応したか“などをきちんと共有する必要があります。
インシデントに対応した後、同様の事案が起きないためにはどうしたらよいか、あるいは起きたときにどのように対処するかに備えるために、証拠を分析しレポートにまとめる、というのが重要な作業のひとつなのです。
この講座の初回2015年度と前回2017年度は、実際に事案が発生した瞬間にどのようにして見つけて対応するか、という部分について講座を実施しました。2016年度と今回は、その場の対応が終わった後に原因を究明し報告するフォレンジックスについて取り上げています。
対応後、どのように備えるべきか
事前の準備
備えるための事前の準備については、何事かがあったときに対処する、いわば消防団のような役割が必要になります。社員全員が対応するわけにはいきませんので、各部門やチームなどから参加してもらい、その対策チームを組みます。そのチームメンバーでどのような対処手順が必要かとあらかじめ準備し、それに従って訓練をしたり、従業員にこういうことがあるから気を付けなければならない、といったようなことを教育をしていくことも必要になります。
もう1点準備として、この後の演習で扱っていただくコンピューター上の記録、これをログといいますが、このログがとても重要です。このログに基づいて何が起きていたかを分析し、データを抜き去った攻撃者がいるということを実証する、どのような被害を受けたのかを確認する手がかりになるのです。仮に個人情報が流出したとなると、お客様に情報が漏えいしたことを伝え、お詫びや対応とともにお客様自身に対応いただくべきことなども伝えることになります。
なお、ログについては、コンピューターなどの中のデータや情報に注意が行きがちですが、物理的なアクセスも重要です。すごく重要なデータを強固なセキュリティで保護していても、それが誰でも入れる部屋に置いてあるのでは意味がなく、特定の担当者のみ入室可能な鍵のかかった場所に置き、入退室の記録なども管理しなくてはなりません。
例えば、ICカードなどで入室を記録し、監視カメラでカードの悪用なども確認します。メールの送受信やWebのアクセス、どんな操作が行われたかなども記録をします。リモートワークなども一般的になった関係で、VPNやSSHなど遠隔からアクセスに対応する仕組みを導入しアクセス管理も必要です。さらにこれらの記録を収集し、定期的に中身をチェックする(監査する)というのを組み合わせることによって意味を持ってくるわけです。
教育と訓練
従業員に向けては、“Do’s and Don’ts”ー推奨することとやってはいけないことを伝え、メールに添付されたファイルをすぐに開いてはいけない、などの基本的なことから始まり、インシデントが起きてしまった場合のプロセスについてなども含め教育します。また何か事案が起きた際の対処方法についてマニュアルを用意し、必ず目を通してもらうようにすることも重要です。
事案が起きてからマニュアルを見たのでは、そんな時間も心の余裕もありませんので、事前に見ておいてもらい、発生時にはなるべくスムーズにいくようにします。それを確認するために、避難訓練や防災訓練のように事案が発生したと想定し、経営者や責任者、各部門の管理者、対策チームのメンバーが集まり、従業員にも参加してもらうなどして訓練を行います。確かめてみると実際にはうまく行かないところなどがあり気づきがあります。また攻撃手法も情報システムも進化しアップデートされますので、訓練も定期的に行いマニュアルを修正して更新をかけていくということも重要です。
備えるための環境や体制への投資
ログの記録や報告書の作成、監査等の業務は専門家が必要になりますが、経営者・管理者の立場としては、セキュリティの環境や人材の確保について、自社で採用や購入するか、外部で調達するか、トレードオフの考え方が必要になります。どうバランスを取っていくかということを経営者・管理者の視点で判断しなければなりません。
事案が発生した際にも、それを収めようとするとビジネスに影響する、ビジネスの継続を優先すると・・・など、インシデントの程度や深刻の度合によって経営的な判断をすることが必要になってくるわけです。適切に判断するには、適切な現状把握が必要になるため、記録をきちんと分析する能力が必要になり、その分析結果が企業やビジネスにとってどのようなインパクトがあるのかについても、理解できるかどうかが鍵になるのです。
それに対し丸山准教授は、「専門的な分野は外注も可能ですが、企業のビジネスにどのようなインパクトがあるのかという判断は結局社内の人材でないと難しい可能性が高い。セキュリティのための備えとして、いくらまで投資してよいかという判断は社外では困難な場合が多いでしょう。一方で、意思決定は社内で行い、技術的な面は外部に委託するとしても、技術の概要を踏まえたうえできちんと判断ができる、そういう立場の人材を社内で育成していく必要もあるのです。セキュリティに対する意識の向上と体制の確立は外注ができませんので、何年か先を見据えて培っていく必要があります。」と呼びかけられました。
デジタルフォレンジックス基礎
続いて、マカフィー プロフェッショナルサービス シニアトレーナーの高谷宏幸が登壇し、デジタルフォレンジックスの基礎について講義を行いました。”フォレンジックス”という言葉は日本語でいうと“鑑識や科学捜査”にあたり、主に法執行機関で使用される用語ですが、サイバー犯罪でも、実証する物的証拠を採取していくことを同様に指すものの、前述の丸山准教授のお話にもあったようにデジタルならではの難しさがあります。
「フォレンジックスで一番重要な行動は、“証拠保全”です。証拠を壊してはならない、ちゃんとあった状況のままにして、調査場所にコピーしたり、裁判の際には証拠を示すため証拠からデータを取り出し、取り出したデータを調査して実証するようにします」と高谷は述べ、さらに「デジタルのデータは書き換えられやすい仕組みのため、書き換えられないよう、管理する、保全するということが必要です。きちんと証拠を保全するためのさまざまなツールを用いながら、なるべく現場の証拠を壊さないように保全を行うことが重要です。」と続けました。
実際にフォレンジックスでどのように”証拠保全”するのかについては、実際にインシデントが起きた場所で”使われていたシステムのデータを抜く”という作業を”フォレンジックスブリッジツール”の画像を参照しながら、物理的にハードディスクを取り出し、その取り出したデータを別のハードディスクに移すことが可能であることなどを紹介しました。
また、現場にあった情報をいかに壊さずになるべく素早く確保するのかが重要なため、デジタルフォレンジックスの順序が決まっていることについて触れ、”データの揮発性が高い情報”、つまり”すぐに書き換わってしまったり、なくなってしまったりする領域”のその可能性が高いものから早めに採取する必要があること、そのためデジタルフォレンジックスの対象のマシンではメモリのダンプファイルを必ず取ることについて、ダンプファイルを取る重要性も含め解説しました。
さらに、携帯電話のデータを狙う攻撃の際のフォレンジックスについても触れ、攻撃を受けた場合、データを解析しなければならないが、携帯電話は電波が飛んでいれば書き換えることができる証拠保全しにくい属性があり、犯罪者の携帯電話を押収した際、電源を入れていると犯罪者がデータを消すことができてしまうことなどから、電波を妨害するような部屋に入ったり持ち出しの際は電波が通らないようなバッグで移動することについても説明しました。また携帯電話のフォレンジックスについては、基本的には携帯電話は情報が暗号化されているので民間では解読は難しく、それについては法関係や捜査でしか使用できない道具、ツールなどを利用して履歴の確認が必要であることなどにも触れました。
サイバー攻撃は、証拠をつかんでも分析した結果、他国からの攻撃だと判明することも多く、サイバー攻撃に国境は関係ないため諸外国から攻撃されるいものの、法も違えば物理的に離れていることもあり、実際に裁くことは難しいのが実情です。しかし「裁くことが難しいとしても、攻撃の手口を知り理解し、2度と受けないよう、また受けたとしてもどのように対処するかを認識するための手段として、ツールなどを用いて解析し防御力を高めることで、攻撃者から攻撃するのは難しいぞ、と思わせることで、攻撃や犯罪に巻き込まれる可能性が下がるため、このような対応は重要なのです。」と高谷は締めくくりました。
デジタルフォレンジックス演習
ツールやソフトウェアの使い方
続く演習では、3-4名で一つのチームを組み、実際の調査にも使われるツールを利用して、復元やデータ解析など実際に手を動かしながら学習しました。そしてそれらツールを活用し、競技形式でフォレンジックス演習に取り組みました。
まず、実習を指導したストーンビートセキュリティ株式会社の講師より、各種ツールについて説明を受けながら、操作の確認を行いました。特にログの調査については、インシデント調査、フォレンジックスでは非常に大事なものであり、いつだれがどこに何をしたのかを知るためにログが参考になることを解説。インターネットを閲覧している際に、Webブラウザやプロキシサーバ、ファイアウォールにもログは残っており、それらからいつ、だれが、何を・・・などどのようにアクセスしてきたかを調査することが可能である、と重ねて重要性を強調されました。
【演習】情報漏えいの有無を調査し原因を突き止める
フリマに自社のデータが!? 情報漏洩の有無を調査し原因を突き止める手順を実践
参加各チームはある企業のIT部門という想定で、ある日フリマサイトの運営会社から「社外秘のデータが出品されている」という連絡があったことをきっかけに、その事実と原因を調査するというシナリオです。出品されていたデータと社内のデータをあるツールを用いながら調査し真偽を確認、操作履歴や端末の利用利益を探り、削除されていたメールを復元して原因を突き止めるという一連の流れをチーム内で連携しながら進めていきました。
演習終了後のまとめの中で丸山准教授は、情報漏洩対策の重要性について改めて触れながら、2018年話題になった仮想通貨のマイニングマルウェアについてもお話いただき、中心となるサイバー攻撃の手法の変化も示唆されました。そして最後に、「演習を通してセキュリティについて興味を持っていただき、意識を高めていただくきっかけになれば幸いです。」と述べられ閉会となりました。