DDS | DIGITAL DATA SOLUTION INC. DDS | DIGITAL DATA SOLUTION INC. 個人のお客様はこちら
フォレンジック

Solarisで不正アクセスされたらどうする?確認ポイントと初動対応

mteam15 公開日: / 更新日:
CountLoaderとは?情報窃取・ランサムを呼び込む危険なローダー型マルウェアの実態と対策法

Solarisは堅牢性の高いUNIX系OSの一つとして、企業や官公庁の重要なインフラにも利用されています。しかし、RBACやMACといった高機能なセキュリティが備わっていても、設定ミスや古いパッケージの放置により、不正アクセスのリスクはゼロにはなりません。

たとえば、意図しないroot権限の追加や、ログの改ざん、サービスファイルの変更などが発生していた場合、そのまま放置すると適切な対応を行うための痕跡が消失する恐れがあり、復旧や原因特定が困難になります。

本記事では、Solarisにおける不正アクセスの典型的な手口、確認すべき兆候、実施すべき初動対応のステップについて紹介します。

\最短3分でお問合せ完了!法人様は即日Web打合せOK/

24時間365日相談・診断・見積無料
メールで無料診断
0120-900-952

電話で相談するメールで相談する

Solarisで不正アクセスが疑われた場合に最初にやるべきこと

不正アクセスが疑われる場合、まず重要なのは「むやみに操作しない」ことです。再起動や不要なコマンド実行は、侵入経路や実行プロセスなどの重要な痕跡を上書きしてしまう可能性があります。

初動対応として、以下の点を優先してください。

Solarisで不正アクセスが疑われた場合の初動対応
  • 現在のネットワーク接続状況を確認し、必要に応じて外部との通信を制限する
  • ログファイルや設定ファイルのバックアップを取得する
  • 現在実行中のプロセス一覧や接続中セッションを保存する
  • 変更を加える前に、証拠保全を意識した記録を残す

原因が特定できていない段階で復旧や設定変更を行うと、後から侵入経路を特定できなくなるおそれがあります。まずは状況を正確に把握することが最優先です。

Solarisが不正アクセスされた際に疑われる主な兆候

Solarisでは、/var/log/ や /var/adm/messages などのシステムログに加えて、RBACやauditdなどのセキュリティ監査機能によってアクセス履歴を確認できます。以下に、不正アクセスの疑いがある代表的な兆候を紹介します。

Solarisが不正アクセスされた際に疑われる主な兆候

見覚えのない使用者やグループの追加

/etc/passwd や /etc/shadow ファイル、または /etc/group に、管理者が追加した覚えのない使用者やグループが登録されている場合、外部からの不正侵入によりバックドア用アカウントが作成された可能性があります。

特に、UIDが0(root権限)だったり、wheel や root グループに属する新規利用者は極めて危険です。

これは、攻撃者が将来的な再侵入や権限維持のために作成する典型的な痕跡であり、即時にアクセス制限や状況確認が必要です。不要な利用者の無効化を検討するとともに、認証ログやコマンド履歴も確認する必要があります。

ログファイルの改ざんや欠損

/var/log や /var/adm/messages に保存されるシステムログや認証ログの一部が欠損していたり、特定期間だけ不自然にログが存在しない場合、不正侵入者が操作の痕跡を隠すためにログを改ざん・削除した可能性があります。

また、定期的なログローテーションを管理する logadm や logrotate の設定が無効化されている場合も、ログの保存を妨害している兆候と考えられます。

このような状況では、通常の障害と断定せず、ログのバックアップ確認やタイムスタンプの不整合チェックなどを慎重に行うことが重要です。

root権限の異常な利用履歴

last コマンドや auditd のログにおいて、通常の業務時間外や管理者の操作と一致しないタイミングで root アカウントによるログインや操作履歴が確認された場合、不正アクセスの可能性があります。

また、crontab に見覚えのない定期実行ジョブが追加されている場合、攻撃者が権限を獲得した後に継続的な操作を仕込んだ痕跡であることもあります。

root権限の操作はシステム全体への影響が大きいため、どのタイミングで・誰が・何をしたかを追跡できる状態を維持し、不審な動作があれば詳細な確認が必要です。

意図しないサービスやポートの起動

inetd や svc などのサービス管理機能によって、通常は使用していないポートが LISTEN 状態になっている場合、外部との不正な通信を許すためにバックドアやリモートシェルが動作している可能性があります。

netstat や ss コマンドで不審なポートが確認された場合は、どのプロセスがそのポートを使用しているのかを突き止める必要があります。正規プロセスに偽装した不正プログラムが動作しているケースもあるため、慎重な確認が求められます。

外部への不審な通信やデータ送信

netstat や ss、snoop、tcpdump などのネットワーク監視ツールで、通常の業務では使用しない外部IPアドレスや不明なポートへの通信が継続している場合、情報流出が進行している可能性があります。

特に、深夜帯や業務時間外に発生する周期的な通信や、不審な国外ホストへの接続は注意が必要です。

こうした通信を検知した場合は、まず通信状況の記録と保全を優先し、安易にプロセスを停止させる前に状況を整理することが重要です。

複数の兆候が確認された場合は専門業者に相談する

上記のような兆候が複数確認された場合や、内部で原因を特定できない場合は、専門業者への相談を検討することが重要です。

自己判断で操作を進めると、適切な対応を行うための痕跡が消失する恐れがあります。調査の目的や対象が曖昧なまま復旧を急ぐと、原因究明が困難になるばかりか、再発のリスクも残ります。

専門のフォレンジック業者であれば、Solarisの監査ログやプロセス、利用者管理構造を踏まえた上で、証拠保全から侵入経路の特定、被害範囲の分析、報告書作成まで一貫した対応が可能です。

\最短3分でお問合せ完了!法人様は即日Web打合せOK/

24時間365日相談・診断・見積無料
メールで無料診断
0120-900-952

電話で相談するメールで相談する

詳しく調べる際はフォレンジック調査会社に相談を

適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。

>情報漏えい時の個人情報保護委員会への報告義務とは?

当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。

\最短3分でお問合せ完了!法人様は即日Web打合せOK/

24時間365日相談・診断・見積無料
メールで無料診断
0120-900-952

電話で相談するメールで相談する

フォレンジックサービスの流れや料金については下記からご確認ください。

【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて

デジタルデータフォレンジックの強み

デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。

累計相談件数47,431件以上のご相談実績

官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~

国内最大規模の最新設備・技術

自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)

24時間365日スピード対応

緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。

ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。

デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。

調査の料金・目安について

まずは無料の概算見積もりを。専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。

【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)

❶無料で迅速初動対応

お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。

❷いつでも相談できる

365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。

❸お電話一本で駆け付け可能

緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)

料金の詳細はこちら

よくある質問

調査費用を教えてください。

対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。

土日祝も対応してもらえますか?

可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。

匿名相談は可能でしょうか?

もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。

この記事を書いた人

デジタルデータフォレンジックエンジニア

デジタルデータフォレンジック
エンジニア

累計ご相談件数47,431件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

認証取得情報

ハッキング フォレンジック
24時間365日相談・診断・見積無料 メールで無料診断 0120-900-952
電話で相談するメールで相談する

フォームでのお問い合わせ

下記のフォームに必要事項をご入力の上、
「送信する」ボタンを押してください。
お問合せ内容を確認次第、担当者
(専門アドバイザー)よりご連絡いたします。

ご相談内容を入力してください。

  • 必須
  • 必須
  • 必須

    ※対象機器がわからない・複数の端末がある場合は「その他・不明」を選択の上、ご相談の詳細に記載をお願いいたします。

  • 必須
  • 任意

お客様情報を入力してください。

  • 必須
  • 必須

    ※半角数字・ハイフンなし

  • 任意
  • 任意

    ※匿名でのご相談希望の方は空欄で送信してください。

  • 必須

    ※お問い合わせから24時間以内に、担当者(専門アドバイザー)よりご連絡いたします。

※ご相談・お見積り無料 24時間365日受付

関連記事はこちら