企業や組織でセキュリティに従事する現場担当の方々は、日々のインシデント対応や、セキュリティレベルの向上を目指す中で、様々な疑問に直面していると思います。どんな対策をどこまでやれば安全なのか?ネットワークに脅威が侵入してしまったときに何をすればよいのか?本連載では、トレンドマイクロのエキスパートたちが、お客様からの調査依頼対応やインシデントハンドリングの中から得たセキュリティ専門家としての知見を、業務に活かせる”すぐに役立つセキュリティ対策”として提供してまいります。まず、今回からは数回にわたり、企業のお客様からの質問が最も多い、ネットワーク内でのウイルス検出発生時の対処について説明します。
■ネットワーク内でのウイルス検出!まず何をすれば?
トレンドマイクロの法人顧客には様々な規模の企業や組織がいらっしゃいますが、そのほぼすべてのお客様では、トレンドマイクロ製品であるか否かに関わらず、ネットワーク内のエンドポイントやサーバーにウイルス対策製品を導入しています。これらのウイルス対策製品で何らかのウイルス検出があった場合、どこまでの駆除や調査の対応を行えばよいのか、という質問がよく聞かれます。
ネットワーク内の各エンドポイントやサーバーのウイルス対策製品からウイルス検出の警告があったということは、不正プログラムが何らかの方法でネットワーク内に入り込んだことを示します。ただし一般的にウイルス対策製品は予防のためのものであり、ウイルス検出は侵入してきた脅威の活動を未然に防いだものと見なせます。しかし、中には侵入してきた脅威が既に活動を始めていることを示す、見過ごしてはならない警告の場合もあります。つまり現場担当者は、特に調査対応が必要な「危険なウイルス検出」と「特に対応が必要ないウイルス検出」を判断し、区別して対応する必要があるのです。この対応判断のための情報は、ウイルス対策製品の検出ログを参照することで得られます。
図1:トレンドマイクロの法人向けエンドポイント対策製品、「ウイルスバスターコーポレートエディション」でのウイルス検出ログ表示
■「検出ログ」の確認で危険度の高い検出を特定する
検出ログを参照する、と言ってもその情報量の多さから、何をどう見ればいいのかわからないかもしれません。対応判断のために、検出ログから参照すべき情報は以下です:
- 検出日時
- 検出ウイルス名
- 検出ファイル名とフルパス
- 検索種類
- 処理結果
- 検出コンピュータ名
これらの情報から確認すべきは、「不正プログラムが活動を開始した兆候の有無」です。不正プログラムの活動開始前に適切な処理が行われていれば、危険性は全くありません。しかし、不正プログラムが活動を開始していた場合、その不正プログラム自体は処理されたとしてもその時点ではウイルス検出できない他の不正プログラムが既に入り込んでいる危険性が残ります。
この危険性判断の際に特に着目すべき情報は、「検出ファイル名とフルパス」、「検索種類」、「処理結果」です。使用するウイルス対策製品のベンダーによって検出ログ上の情報の記載が異なる場合がありますが、最低限上記の内容が確認できないと危険性の判断には不十分です。今回は特に不正プログラム活動開始の兆候の判断材料として、「検索種類」と「処理結果」からわかることに着目します。
■検出したタイミングと検出後の処理からわかること
まず、判断すべき検出の特定のために、「検出日時」と「検出コンピュータ名」から検出の流れを特定しましょう。同じコンピュータ上での日時が近い処理は 1つの検出に対する処理の流れと判断することができます。以下の図はトレンドマイクロ製品における検出ログの例ですが、表示範囲内の検出は検出日時とコンピュータ名から 5つの処理の流れに分類できます。
図2:トレンドマイクロ製品での検出ログの例。検出日時の近さとコンピュータ名から色分けした 5つの処理の流れがあると判断できる
次に、「検索種類」と「処理結果」は対応判断の最も重要な基準となります。「検出種類」には大きく分けてリアルタイム検索とマニュアル検索(手動検索、予約検索など含む)があります。リアルタイム検索での検出は基本的に、該当端末内でファイルが作成された時点での検出を示します。この時点での検出は不正プログラムの活動開始前であると考えられ、危険性は低いものと判断できます。しかし、予約検索などのマニュアル検索での検出は、該当端末内に不正プログラムのファイルが以前から存在していたことを意味し、既に不正プログラムが活動を開始している危険性が高い検出と言えます。
※解説:「リアルタイム検索」と「マニュアル検索」
|
また、「処理結果」からは検出時の処理が成功しているかどうかがわかります。隔離、削除など検出時の処理が成功していれば、もし事前に不正プログラムが活動開始していたとしてもその活動は停止されています。しかし、処理が失敗している場合には検出されたファイルが実行中であり、かつ、何らかの理由によりその活動を停止できなかったことを示しますので、より危険度が高い検出となります。ただし、トレンドマイクロ製品では検出時の処理が失敗した場合には駆除ツールが実行されます。このため、処理の流れの最後で駆除ツールの処理が成功していれば、検出した不正プログラムの活動は無効化されているため、再活動の危険性はないものと判断できます。
※解説:ウイルス検出時の処理結果
|
「検索種類」と「処理結果」からの判断をまとめると、検出時の処理に失敗していた(または駆除ツールが実行されていた)場合には不正プログラムが活動していたと考えられます。従ってリアルタイム検索、マニュアル検索に関わらず、検出不正プログラムの削除処理の確認と同時に他の不正プログラムが侵入していないか調査対応を行うべきです。処理に成功していた場合でも、マニュアル検索での検出であれば、不正プログラムの侵入時に検出できておらず以前から存在していたことになりますので、他の不正プログラムも侵入していないか念のため調査対応を行った方がよい、ということになります。
このように、「検索種類」と「処理結果」から、不正プログラムの侵入のどの段階にあるかと現在までの活動状態について推測が可能となり、対処すべきか否かの決定要因とすることが出来ます。次回は同様に検索ログから不正プログラムの状態を読み解くもう 1つの情報として、「検出ファイル名とフルパス」に注目します。
■トレンドマイクロのソリューション
トレンドマイクロの法人向けエンドポイント対策製品「ウイルスバスターコーポレートエディション」では、ウイルス検出時のログを簡単な方法で確認可能です。また、法人のお客様向けに特に手厚いサポートを提供する「トレンドマイクロプレミアムサポート」では、お客様の環境を把握したテクニカルアカウントマネージャ(TAM)がウイルス検出時の判断や実際の調査対応をサポートいたします。
※執筆協力:トレンドマイクロ・プレミアムサポートセンター