デジタルフォレンジックスとインシデント対応

デジタル・フォレンジックスとインシデント対応って何？

これらの用語はサイバーセキュリティの一分野です。DFIRとは、不正アクセスや訴訟、その他のデジタル調査に関して、識別、解析、隔離、対処、場合によっては証拠の提示を行う活動を指します。

DFIRの作業は大きく2つに分かれます:

デジタル・フォレンジックスとは？

この分野は、ユーザーの動作やシステムデータといったデジタル証拠を収集・解析・提供する探索的な領域です。訴訟、調査、業務調査、違法行為など、さまざまなデジタル調査において、PC、ルーター、スマートフォン、タブレットなどで何が起こったかを解明するために利用されます。

インシデント対応とは？ 

デジタル・フォレンジックスと同様、コンピュータから情報を集め解析します。情報漏洩などの事態では、調査、封じ込め、復旧など、複数の対応策から適切な方法を選ぶ必要があります。

なぜDFIRがサイバーセキュリティで重要なのか？

サイバー攻撃の後、多くの場合、通常の運用を復旧することが最優先されます。しかし、何が問題だったのかを把握し、再発防止策を講じることも同じくらい大切です。

このフォレンジックス手法は、事象の経緯を解析し、問題の全体像と根本原因の調査につなげます。

DFIRの専門家は、ユーザー情報、ネットワークサーバログ、ウイルス対策の記録、クラウド監査ログ、VPNログなど、多くのデータを収集・解析し、攻撃者、侵入手口、使用ツール、そして正常運用復旧の手段について明らかにします。

攻撃者に対して訴追が行われる際、これらの証拠は指標として利用され、オンライン・フォレンジックスを通じてデジタル証拠が確実に収集・保存されます。

‍

解析者はどのようなデジタル証拠データを収集するのか？

プロセッサの悪用や情報漏洩の調査には、デジタル・フォレンジックスが役立ちます。

事業者は、以下のような多様な証拠を調査します:

• ディスクスティル

これは、ハードドライブなどの記憶媒体の完全なコピーであり、すべてのデータを含みます。USBフラッシュドライブなどからも作成が可能です.

• メモリースナップショット

コンピュータのRAMは専用ツールでスナップショットとして保存できます。ハードドライブにはない多くの情報が含まれていますが、従来のウイルス・スパイウェアスキャナーでは最新の手法や背後にいる者を検出しにくいこともあります.

• ログ情報

ディスクやメモリースナップショットが取得できない場合、解析者はプログラムデータ、ホスト、ネットワーク機器、さらにはアプリ自体のログ情報を確認します.

‍

デジタル証拠の重要性

事件発生時にデジタル機器で送受信または保存された情報は、他の証拠と異なるデジタル証拠とみなされます。犯罪ドラマを見たことがあるだろう。

集めた証拠や出来事の再現によって事件解決に役立ちます。同様に、デジタル証拠は発生時の機器の動作や情報のやり取りで構成されます.

デジタル証拠が信頼できると判断されるためには、以下の条件を満たす必要があります:

• 法的に証拠として使用できる
• 真正である
• 完全である
• 信頼できる
• 信用に足る

証拠の裁判での採用性を保つため、DFIRの報告や解析者は、証拠を収集し、感染リスクのある場所から離れた安全な場所に保管します.

ただし、解析者が収集するのはこのほかにも評価や記録も含まれます.

‍

デジタル・フォレンジックスとインシデント対応の課題

システムが複雑化するにつれ、DFIRの課題も増大しています。デジタル・フォレンジックスとインシデント対応の分野には多くの試練があります.

デジタル・フォレンジックスの課題

• 分散した証拠

デジタル証拠の再構築は、一箇所の中央システムに依存せず、実際と仮想の複数の場所に広がっています。したがって、確実に証拠を収集・解析するには、追加の工数やリソースが必要となります.

• 急速な技術革新

デジタル機器、ソフトの設定、OSは常に変化・拡大・進化しています。解析者は、さまざまなファイル形式や複数のアプリ分野の証拠に対応する能力が求められます.

インシデント対応の課題

• 増大するデータと人手不足

企業は増え続けるセキュリティ警告に直面していますが、これに対応するサイバーセキュリティ人材が不足している場合が多いです。そのため、多くの企業が外部のDFIR専門家に依頼して、最新の脅威に備えています.

• 広がる攻撃対象

現代のITシステムやソフトの広範な攻撃対象により、ネットワーク全体の状況把握が難しくなり、設定ミスや人為的エラーのリスクが増大しています.

DFIRプロセスの手順

Palo Alto Networks Unit 42は、脅威インテリジェンスを基盤とし、最新の装備と手法を備えた専門家によるDFIRプランを構築しました。DFIRプロセスは、相互に連携する2つのフェーズから成り立っています.

デジタル・フォレンジックスの手順

• Identify

最初の段階は、すべての証拠を分類し、保存方法と場所を特定することです。この工程には、幅広い技術知識とデジタルメディアの解析が必要です.

• Preserve

証拠が発見された後、調査が完了するまでデータを隔離し、安全に保管します.

• Analyze

次に、収集した証拠をもとに、内容を評価・解析して結論を導きます.

• Document

事件全体を再現するために、証拠データを詳細に記録します.

• Report

調査の最終段階では、すべての証拠と発見事項をフォレンジックスの手法に基づき、報告書としてまとめます.

インシデント対応の手順

• Scope

まず、事象の範囲と深刻度を評価し、侵害の兆候を確認します.

• Investigate

範囲が明確になった後、調査を開始します。高度なシステムと脅威インテリジェンスを活用し、リスクの検出、証拠の確保、詳細な情報提供を行います.

• Secure

個々のリスクが排除された後は、セキュリティの脆弱性を確認し、サイバーの健全性を継続的に監視します。この段階では、調査中のリスクを封じ込め、弱点を解消します.

• Support and Reporting

各セキュリティ評価は、個別に作成された報告書と恒常的支援プランでまとめられ、組織全体の評価と今後の改善策が提案されます.

• Transform

最終的に、脆弱な部分を特定し、強化策を提案することで、組織の防御力を向上させます.

‍

DFIRとSOAR

SOAR技術は、セキュリティ事象を自動で検出・解決します.

SOARソリューションは、複雑なセキュリティ手順の自動化や機械学習による事象解析を可能にし、頼りになるサイバーセキュリティツールです.

ファイアウォールやエンドポイントセキュリティなど、主要なセキュリティ対策と連携します.

インシデント対応は多くの場合、DFIRの専門家やサービス提供者が担当します。SOARはDFIRの機能を拡張し、多くの対応を自動で実行することで、迅速かつ包括的な対応を可能にし、人為的なミスも軽減します.

SOARとDFIRの専門家は連携し、シンプルな事象はプレイブックで処理し、複雑な脅威の追跡や調査に集中できます.

‍

DFIRのベストプラクティス

DFIRを効果的に実装するための実践例は以下の通りです:

• ファイルイベントやOSの痕跡など、フォレンジックなテレメトリやアーティファクトを活用し、システムの脅威を発見する。メモリダンプ、イベントログ、レジストリファイル、トランザクションデータ、スレッドなどが例として挙げられる.
• 攻撃後の徹底した調査を行い、セキュリティ事象の原因を特定する.
• 各種の観点から、システム、エンドポイント、疑わしいファイル内のセキュリティ侵害情報を探索する.
• 脅威に対応し、セキュリティの弱点を解消して再発を防止する.

‍

どのようにDFIRサービスを選ぶか？

DFIRプロバイダーを評価する際は、以下の点を考慮してください:

• フォレンジック能力：証拠の取扱方法、クリーンルーム、フォレンジックラボ、専用保管システム、eDiscoveryツールの活用状況を確認する.
• DFIRの専門家：コンサルタントやインシデント対応者の実績を評価する.
• 業界・分野の専門性：貴社と同じ組織構造、業界での実績があり、複数国での対応が可能か確認する. DFIRは地域密着型であることが多い.
• サービス範囲：DFIRは予防的対応（脅威検知、脆弱性テスト、セキュリティ教育）と事後対応（インシデント対応、攻撃調査）がある.
• 価格設定：多くのプロバイダーは前払い型サブスクリプションを提供しており、セキュリティ事象が少ない場合、余剰のコンサルティング時間を訓練などに活用できる.

DFIRツール

よく利用されるDFIRツールは以下の通りです:

1. Volatility

非営利団体Volatility Foundationが開発したVolatility Frameworkは、メモリ解析とフォレンジックスを推進します。オープンソースのこのツールは、RAM解析を用いて事象に対応し、マルウェアを検出します。システム停止後もメモリ証拠を保存でき、稼働中のシステムの状態確認が可能です。Page Table Entry (PTE)フラグの検出や、サービスが何度も起動に失敗した場合の自動コマンド実行、Mac用プラグインの提供が容易で、GitHubで無料で利用できます.

2. YARA

YARAは、マルウェアの特定と分類に役立ちます。Windows、Mac OS X、Linuxに対応しており、yara-python拡張を使えばPythonスクリプトやコマンドラインで利用可能です。YARAルールは、特定の内容を持つファイルを識別します.

3. FTK Imager

AccessDataのFTK Imagerは、元データに影響を与えず複数のコピーを作成し、証拠の収集・統合を行います。ウィザード機能によりサイバー犯罪を検出し、各調査に合わせた再利用可能なプロファイルの管理を支援します.

‍

結論

必要な内部リソースや方針の補強が求められる際、信頼できる専門家チームの存在は重要です。そのため、多くの企業が、デジタル・フォレンジックスや危機対応に特化した外部のコンサルタントやサービスに依頼しています.