企業や組織でセキュリティに従事する現場担当の方々は、日々のインシデント対応や、セキュリティレベルの向上を目指す中で、様々な疑問に直面していると思います。どんな対策をどこまでやれば安全なのか?ネットワークに脅威が侵入してしまったときに何をすればよいのか?本連載「すぐに役立つセキュリティ対策」では、トレンドマイクロのエキスパートたちが、お客様からの調査依頼対応やインシデントハンドリングの中から得たセキュリティ専門家としての知見を、すぐに業務に活かせる形で提供してまいります。前回は問題端末の特定には、事前の準備、内部統制による管理が不可欠という話でした。今回は、問題端末に対する不審ファイル特定の調査の中で、ほぼ定番のようになっている「端末をネットワークから外す」対応、いわゆる「抜線」対応について述べます。
連載も進んでおりますので再度前提をまとめておきますが、本稿では一般の企業や組織に多いWindows PCをクライアントで使用するネットワークで、ウイルス検出をきっかけに端末内から不審なファイルを見つける調査対応を行う場合、専門でない一般のセキュリティ担当者が業務の継続を最優先にしつつ、被害の拡大防止を見据えた対応を行うことを想定しています。
■端末調査と言えば「抜線」?
端末が特定できた後、昔から定番のように行われている対応の 1つに「問題端末をネットワークから外す」があります。特に、デスクトップ機から LANケーブルを抜いて物理的にネットワークを遮断する「抜線」対応はウイルス検出時対応の象徴的行為、とまで言えるかもしれません。ウイルス検出があったらとりあえず、LANケーブルを抜く、端末をネットワークから外す、という対応ポリシーにしている方も多いのではないでしょうか。
端末をネットワークから物理的に隔離する対応は、問題端末内で実際に不正プログラムが活動している可能性を踏まえ、「被害の拡大防止」を優先にする場合には 1つの「正解」と言えます。そもそも、ネットワークから外すという対応は、不正プログラムの中でも「感染型ウイルス」や「ネットワークワーム」などが主流だった時代の考えがベースになっています。これらの不正プログラムはネットワーク内の他のプログラムや PC に感染を広げる活動を持っているため、ネットワークに接続している分だけ被害が広がる、または一旦不正プログラムを特定し、削除したとしてもネットワークに接続したままだとすぐに再感染してしまう、などネットワークに接続させたままでは被害の収束が難しいことがありました。そのため、「ネットワークから外す」という対処が 1つの正解となっていました。
また、現在でも、侵入した PC内の情報を外部に送信する、外部の C&Cサーバと通信し遠隔操作を実現させる、遠隔操作によってネットワークの情報を収集し情報保存場所を探し出す、と言った外部との通信を前提とした活動が不正プログラムのメインとなっています。この場合でも、通信を遮断すれば不正プログラムの活動を阻止できることになりますので、ネットワークから外すことで「被害の拡大防止」がある程度実現できることになります。繰り返しになりますが、問題発生時に速やかに対処するためには、何を優先にするべきかを事前にはっきり決めておくことが重要です。
■「抜線」の際に気を付けること
先に「抜線」は被害の拡大防止の観点からは 1つの正解である、と書きましたが、被害範囲の特定、不正プログラムの活動内容や感染経路の確認などフォレンジック的な観点からは、ネットワークからの物理的な隔離は「間違い」となる場合があります。端末のネットワーク接続が失われることにより端末の状態が変化し、フォレンジック的調査で必要な情報が得られなくなることがあります。特に、CPU の情報(レジスタ、キャッシュ)、ルーティングテーブル、ARPキャッシュ、プロセステーブル、カーネル統計、メモリ状態などは、「揮発性の高い」=失われやすい情報であり、ネットワークの切断や端末の電源OFF、再起動などにより、取得困難となってしまいます。
また、不正プログラム自体の活動として、インターネット接続が確認されなくなると活動を中止したり、自身をアンインストールして証拠を隠したりする活動も確認されています。また、外部の C&Cサーバなどと通信を行う活動を持つ不正プログラムの場合、ネットワークを切断してしまうと通信が成功しないため、その情報を取得することができず、不正プログラムの発見自体にも支障が出る場合があります。
このように、調査対応の中では、何を優先するかによって「正解」は変わります。繰り返しになりますが、問題発生時に速やかに対処するためには、何を優先にするべきかを事前にはっきり決めておくことが重要です。
では今回のポイントをまとめてみます。
- 端末調査において「被害の拡大防止」を優先とする場合、「抜線」=端末をネットワークから隔離する対応は 1つの「正解」:
- 「被害の拡大防止」の観点からは、問題端末をネットワークから外すことは今でも一定の意味がある
- 反面、端末をネットワークから外すことにより「失われる情報」も多くあることを認識しておく
次回は「抜線」を前提としない調査対応についてまとめます。
■トレンドマイクロのソリューション
法人のお客様向けに特に手厚いサポートサービスを提供する「トレンドマイクロプレミアムサポート」では、お客様の環境を把握したテクニカルアカウントマネージャがウイルス検出時の判断や実際の調査対応についてサポートいたします。また、端末調査にあたって、不審なプログラムやその活動の痕跡から解析に必要な情報を収集する、様々な調査ツールを提供しています。
※執筆協力:トレンドマイクロ・プレミアムサポートセンター