サイバー侵害対応では、目に見えないサイバー侵害の全容を可能な限り早く把握し、速やかに業務を再開することが求められますが、やみくもに復旧作業や調査を進めても、調査に必要な証跡を消してしまうなど、かえって判断に必要な情報の把握に時間がかかる可能性があります。
デジタルフォレンジックによる調査手順の概要や留意事項を理解しておくことは、サイバー侵害発生時の適切な対応に役立ちます。
サイバー侵害におけるデジタルフォレンジックの調査手順の例として、証拠保全、初期侵入経路の調査、侵害範囲の調査、侵害による影響の調査の概要と留意事項を以下に示します。
1. 証拠保全
サイバー侵害の調査において、最も慎重に対応すべきことの1つが、調査に必要な証跡を確保する証拠保全と呼ばれる作業です。
侵害されたパソコン・サーバー等を復旧するために、機器の初期化・再インストールを行うと、機器に残された侵害の痕跡なども消去され、調査が困難となる場合があります。また、デジタルフォレンジックの観点を意識せず、むやみに侵害されたパソコン・サーバー等の機器にログインして調査することにより、例えると事件現場に土足で踏み込み、犯人が残した痕跡を消してしまうような結果となる可能性があります。
調査に必要な証跡を消してしまった場合、危機管理対応において判断に必要な情報が不足するなど、対応に苦慮する可能性があるため、調査に必要なデータを適切な手順で保全し、保全したデータに対して調査を実施することが望ましいです。
適切に証拠保全を実施しておくことで、例えば財務諸表監査において、財務システムへの影響などの確認を求められた場合にも、必要に応じて追加調査が可能となります。
証拠保全の一例としては、保管期間を超過すると消去されてしまうシステムの操作ログを別の媒体へ複製したり、侵害された機器に接続されたハードディスク等のストレージの削除済み領域も含む全領域、または調査に必要なデータをフォレンジック用ツールで複製したりすることが考えられます。また、保全したデータの妥当性に疑義を生じさせないためには、証拠保全を実施した日時、作業者、作業手順などを記録しておくことも必要です。
しかし、サイバー侵害対応においては、一刻も早い復旧が求められ、証拠保全にかけることができる時間は限られています。事前にデジタルフォレンジック専門家なども交え、サイバー侵害時に保全すべきデータを取捨選択し、保全手順を整備しておくことが有効です。
さらに、事前にパソコン・サーバー等にEDR(Endpoint Detection and Response)と呼ばれる、機器の詳細な動作状況をログに記録し監視できるセキュリティ対策製品を導入しておくことで、サイバー侵害発生時にEDRログを活用した調査を迅速に実施することが可能となります。
なお、内部統制の観点で記録している財務システムに係る操作ログ等も調査に有用ですが、サイバー侵害においては、システムの脆弱(ぜいじゃく)性を突いてデータベースに記録されたデータを直接削除・改変するなど、財務システムの操作ログ等に記録されない形で攻撃される可能性もあります。サイバー侵害の財務システムへの影響調査の観点からは、財務システムの操作ログ等だけでなく、追加の証拠保全が必要となる可能性がある点に留意する必要があります。
2. 初期侵入経路の調査
ランサムウエア攻撃を認知した後、何も対策を講じなければ、サイバー犯罪者が再び組織の内部ネットワークへアクセスしてくる可能性があるため、初動対応として、サイバー犯罪者が侵入のために利用した経路の遮断や侵害されたパソコン・サーバー等をネットワークから切り離す等の「封じ込め」と呼ばれる対応を実施し、侵害が拡大することを止めた上で、初期侵入経路および侵入された原因を特定し除去する必要があります。
初期侵入経路の特定を効果的に進めるためには、システム構成やセキュリティの更新プログラムの適用状況、ランサムウエアの脅迫メッセージから推測されるサイバー犯罪者の特徴などを踏まえ、初期侵入経路となる可能性が高い機器等の仮説を設定し、調査を行うことが有効です。例えば、近年、企業においてインターネットVPNなど、リモートワーク環境の整備が急速に進みましたが、セキュリティ対策が不十分な状態で運用されているVPN装置を通じて組織の内部ネットワークへ侵入される事案が散見されます。当法人が支援した企業においても、インターネットVPNを利用しており、かつセキュリティの更新プログラムを適用していなかったため、VPN装置が初期侵入経路となった可能性が高いとの仮説を設定し、優先的にVPN装置のログや設定情報の調査を進めたところ、外部の第三者が内部ネットワークへアクセスした痕跡を確認し、初期侵入経路を速やかに特定できた事例もあります。
デジタルフォレンジックの調査では、ネットワーク機器が記録する通信履歴など、機器が記録したログだけでなく、機器の仕様に基づき、機器のメモリやハードディスク等に残される動作の痕跡も解析対象とします。例えば、EDR等が導入されていないパソコンにおいても、デジタルフォレンジックによりハードディスク等を解析することにより、<表1>のように、限定的ではありますが、ファイルの作成・削除・編集された日時を解析し、サイバー犯罪者による操作の痕跡を確認できることがあります。ただし、デジタルフォレンジックの手法では、パソコン・サーバー等の操作・動作により痕跡が上書き消去される可能性もあるため、さまざまな観点で複合的に分析を行います。