お問い合わせ
ファスト・フォレンジックとは、サイバー攻撃や情報漏えいなど、セキュリティインシデントが発生したときに、迅速に被害の原因や範囲を把握する調査手法です。
インシデントが発生してから対応を始めるまでの時間が長いと、被害が拡大する可能性があります。一方、ファスト・フォレンジックでは必要なデータを迅速に収集・解析することで、早急な原因究明を行い、被害拡大を防ぐことができます。
本記事では、ファスト・フォレンジックの概要や活用事例、対応フローを解説します。
目次
ファスト・フォレンジックとは
ファスト・フォレンジックとは、「デジタルフォレンジック」を迅速に行うために使われる手法です。デジタルフォレンジックとは、デジタル機器に保存されているデータを解析することで、インシデントの原因を究明し、侵入経路や不正な挙動を把握する調査手法です。
特にファスト・フォレンジックは、インシデント時に生成されるイベントログなど、必要最低限のデータを収集し、データの取得から解析にかかる時間を短縮することができます。
ファスト・フォレンジックのメリットは、以下の通りです。
- インシデントの早期発見・迅速な初動対応が可能
- 不正な挙動が記録された揮発性データの消失前に迅速な保全が可能
- 迅速な対応により被害拡大や二次被害の発生を防ぐことにつながる
弊社デジタルデータフォレンジックでは、認定資格者のフォレンジックエンジニアが社内に在籍しており、高度な解析によって官公庁・上場企業をはじめ、法人・個人問わず幅広いインシデントの調査を行っています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
従来型フォレンジックとの違い
サイバー攻撃や不正アクセスなどのインシデントが発生した場合、1台の端末だけでなく、複数の端末が同時に被害を受けている可能性が高く、初動段階みおいて感染経路やマルウェアの拡散状況を包括的に調査しなければ、被害全体を正確に把握することはできません。
しかし、従来のフォレンジックでは、膨大なデータを解析するために、数日から数週間の調査期間が必要になることも少なくありませんでした。
そこでファスト・フォレンジックでは、必要最低限のデータを収集・解析することで、短時間でインシデントの状況を確認し、被害拡大の防止や早期復旧につなげることができます。
従来型フォレンジックとファスト・フォレンジックの主な違いは、以下のとおりです。
| 項目 | 従来型フォレンジック | ファスト・フォレンジック |
|---|---|---|
| 目的 | インシデントの原因究明・被害拡大の防止 | インシデントの初期対応 |
| データ収集 | 原則すべてのデータを収集 | 必要最低限のデータを収集 |
| データ解析 | 詳細な分析を行う | 迅速な分析を行う |
| 調査期間 | 数日から数週間 | 数時間から数日 |
ファスト・フォレンジックで収集するデータ例と活用例
ファスト・フォレンジックでの収集データ例としては、以下のようなものが挙げられます。
- ログデータ:Windowsのシステムログやファイアウォールのログなど
- メタデータ:データそのものの属性を記述した情報
- メモリデータ:メモリ上に残された痕跡
- プロセスデータ:実行中のプロセスやサービスに関する情報
- ネットワークデータ:ネットワーク通信に関する情報(ブラウザ閲覧履歴、メールの送受信データ)
これらのデータは、インシデントの原因究明や被害拡大の防止に活用されます。例えば、ログデータから不正アクセスの痕跡を特定したり、メモリデータからマルウェアの痕跡を特定したり、プロセスデータから不正な動作を検知したりすることができます。
ファスト・フォレンジックで出来ること
ファスト・フォレンジックで出来ることは主に次のとおりです。
- 数十~数千台規模の端末を一括調査可能・侵害端末の早期検出
- 不正アクセスの迅速な確認
- 被害範囲の特定・被害の封じ込め
数十~数千台規模の端末を一括調査可能・侵害端末の早期検出
通常のデジタル・フォレンジックでは、端末1台1台を調査・解析する必要があるため、膨大な期間と費用が掛かります。
一方で、ファスト・フォレンジックでは、数十~数千台もの端末から必要最低限のデータを収集・解析することで、短時間でインシデントの状況を把握することが可能です。
また、データをクラウド上に収集して遠隔から調査が可能であるため、被害対応の即効性にも優れています。
そのため、従来のフォレンジックのように、すべてのデータを収集・解析する必要がなく、数十~数千台規模の端末を一括調査することも可能です。
不正アクセスの迅速な確認
ファスト・フォレンジックでは、ログデータやメモリデータなどのデータを活用して、不正アクセスの痕跡を迅速に確認することができます。これにより、不正アクセスの発生時刻や侵入経路、攻撃者の手口などを特定することができます。
被害範囲の特定・被害の封じ込め
インシデントが発生した場合、まずは被害範囲を特定し、被害の拡大を封じ込めることが重要です。ファスト・フォレンジックでは、必要最低限のデータを収集・解析することで、短時間で被害範囲を特定することができます。
ファスト・フォレンジックを実施するケースとは
ファスト・フォレンジックは、インシデント発生後の迅速な対応を可能にする重要な手法であり、主に以下のようなケースで実施されます。
- マルウェア感染状況の調査
- サイバー攻撃の侵入経路調査
- 社外端末への不正通信の確認
- 不正プログラムの有無および危険度の把握
マルウェア感染状況の調査
マルウェア感染の症状が見られる場合、周囲の端末も「発症」していないだけで、ネットワークでつながっている以上は、マルウェアが潜伏している恐れがあります。
その点、ファスト・フォレンジックでは、ネットワーク上で接続されていた全ての端末を一括調査することができ、被害範囲の特定に繋げられます。
例えば調査によって、下記のようなデータが取得可能です。
- 疑わしいファイル・プログラム、および危険度
- 端末間の不正通信(タイムラインにて表示)
- 端末間のアクセス履歴(概要図にて視覚的に確認可能)
- 端末にて実行された疑わしいイベント(例:外部端末からのログイン失敗数)
ファスト・フォレンジックによる解析画面イメージ仮に、マルウェアが送受信したデータ、通信先などの痕跡がネットワークログに残っているとみられる場合、これらのデータを分析することで、マルウェアの活動内容や拡散経路などを特定し、被害を最小限に抑えることができます。
\サイバーセキュリティ専門家へ24時間365日無料相談/
サイバー攻撃の侵入経路調査
サイバー攻撃を受けた場合、攻撃者がどのように侵入したかを調査し、繰り返しの侵入を防ぐ必要があります。
ファストフォレンジックでは、攻撃者が侵入した可能性のある端末やファイルを特定できるほか、ネットワークパケットを解析することで、攻撃者が送受信したデータや通信先を特定することができます。
社外端末への不正通信の確認
社内ネットワークのサーバから社外端末への不正なデータ転送があった場合、サーバのログに、データ転送の痕跡が残っている可能性があります。
ファスト・フォレンジックでは、ネットワークログを分析することで、漏えいの痕跡を特定することができます。
不正プログラムの有無および危険度の把握
ネットワークログには、端末やネットワーク機器の通信に関する情報が記録されています。ファスト・フォレンジックでは、ネットワークログを分析することで、問題端末のホスト名やIPアドレス、不正プログラムの痕跡を特定し、その危険度も把握することができます。
サービス提供フロー
ファスト・フォレンジックのサービス提供フローは次のとおりです。
1. 被害状況・端末数のヒアリング
まず、お電話もしくはWeb打合せにて被害状況とPC・サーバ等のエンドポイント端末数をヒアリングさせていただきます。
2. DDSより提供したexeファイルをスキャン端末にて実行
まず当社から配布されたexeファイルを対象端末で実行します1。この際、特別な操作は必要なく、そこまで手間はかかりません。また、ログの取得中も事務作業など通常どおり行えるため、業務に支障が出ることはありません。解析終了後は、なるべく専門用語を使わずレポーティングします。
ツールによる解析結果の一例(感染端末に対する、不審なログイン試行の状況)3. 疑わしい端末を解析・調査
感染が疑わしい端末は、DDS社内にてネットワークより隔離された環境でデータの収集を実施します(必要な場合は保守作業を実施可能です)。
調査が必要なときは、ファスト・フォレンジックの専門業者へ依頼する
セキュリティインシデントの被害を最小限に抑えるためには、正確な調査と迅速な対応が必要不可欠です。
専門的なノウハウを持たない中で、個人ないし自社のみで調査を行うと、実態を正確に把握できない可能性が高まるだけでなく、取引先や行政等へ報告が必要な場合、 自社調査のみだと信憑性が疑われ、さらなる信用失墜につながる危険性があります。
もし組織や社内でサイバーインシデントが発生した際、調査の実施が未確定の場合でも、まずは信頼性の高いフォレンジック業者に一度相談することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む累計3.2万件の対応経験があり、サイバー攻撃経路や漏えいしたデータを迅速に特定します。
緊急性の高いサイバー攻撃被害にも迅速に対応できるよう、24時間365日体制で相談、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
企業の情報漏えいインシデント対応が義務化されています
「ランサムウェア・マルウェアに感染した」、「内部の人間による情報漏えいが疑われる」 このような場合、被害範囲や不正行為の経路を調べることが大切です。
特に2022年4月施行の「改正個人情報保護法」では、財産的被害が生じるおそれのある個人データの漏えい等が発覚した場合、法人に以下の義務が課せられました。つまり、被害調査を行うことは再発防止のためだけでなく、個人情報取扱事業者の義務でもあります。
- 個人情報保護委員会への報告:当該企業は、個人情報保護委員会に漏えいの報告を行う。
- 当該個人に対する通知:当該企業は、個人情報漏えいの被害を受けた個人に通知を行う。
仮に、悪質な管理体制で個人情報の不正流用が発生した、もしくは措置命令違反があった場合、最高で1億円の罰金が科せられる恐れもあります。したがって情報漏えい時、どの情報が、どのように漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。
ただし、被害の調査を行う場合、専門技術が必要です。これは自社のみで対応するのが困難であるため、フォレンジック専門家と提携して調査することをおすすめします。
\相談から最短30分でWeb打ち合わせを開催/
法人様は最短30分でWeb打ち合せ(無料)を設定
ファスト・フォレンジックの活用事例
事例1:Emotet(トロイの木馬)駆けつけ対応
依頼者:インフラ系企業
背景:数十名の社員の中で、2名がEmotet感染。なりすましメールが大手に一斉送信され、取引先からクレームが入ったことで被害が発覚。セキュリティ対策は何も行っていないかった。いつ誰が感染したか全く記憶になく、PC端末のフルスキャン実行で合意。
調査:20台以上のPCのファストフォレンジック
その他:取引先へのアナウンス、感染端末の買い替え、恒久対策としてセキュリティ対策製品「DDHBOX」をあわせて導入
Emotetが実行されると、周囲に感染し、取引先にも感染メールが送信されてしまいます。
また、数日~1か月の期間を空けてから送信されるケースもあるため、取引先への二次感染を防ぐ目的で、複数のパソコンを一括でファスト・フォレンジックするのが推奨されます。
セキュリティ対策製品「DDHBOX」についてはこちら
事例2:ランサムウェア
依頼者:インフラ系企業
背景:ランサムウェアに感染後、ファイルが暗号化され、身代金を要求された。また、感染の影響でメールサーバーも停止している。マルウェア感染調査を希望。
調査:サーバーを含む社用PC等、300台以上のファストフォレンジック
調査結果:社用PCへの不正ログイン履歴、マルウェアの感染の履歴を検出。
ランサムウェアが実行されると、感染端末、およびネットワーク上でつながっている端末が暗号化され、復号と引き換えに身代金が要求されます。
数日以内に対応しないと、次のような被害に遭う可能性が高いです。
- 暗号化されたデータが、ダークウェブなどに漏えいする
- 別の凶悪なマルウェアの感染被害に遭う
- 今後もネットワークに不正侵入できるよう「勝手口」を作られてしまう
二次被害を防ぐためにも、ファスト・フォレンジックでランサムウェア被害に遭った端末をすべて調査することで「脆弱性の早期発見」といった適切な対応を取ることも可能です。
事例3:ランサムウェア
依頼者:医療機関
背景:患者の電子カルテが暗号化され、実質的な機能不全に陥った。データリカバリー、感染原因、情報漏えいの有無を希望。
調査:150台以上のPCのファストフォレンジック
調査結果
・感染原因はネットワーク機器の脆弱性と考えられる。
・この脆弱性は、ユーザー名やパスワード等に関する情報を盗んだ後、その情報をもとに組織ネットワーク内に不正侵入する目的で使われる。
・調査では複数台の端末が遠隔操作されており、30台以上の端末がランサムウェアによりファイルが暗号化されていた。従ってファイルが外部に漏えいしている可能性が高い。その後、行ったこと
・データリカバリー
・調査推奨端末のディープフォレンジック
・出口対策セキュリティ製品「DDHBOX」導入
・内部対策セキュリティ製品「SentinelOne」導入
セキュリティ対策製品「SentinelOne」については下記で詳しく紹介しています。
事例4:ランサムウェア
依頼者:卸売業者
背景
・サーバ約10台がランサムウェアに感染し、身代金を要求をされた。
・サーバには本社の情報が入っており、業務が完全に止まっている。
・バックアップはあるが、かなり古いデータのため使えない。
・思い当たる感染経路はない。調査:複数台のPCのファストフォレンジック
調査結果:ファストフォレンジックで、不正プログラムを検知。その後、ディープフォレンジックで端末を隔離。
その後、行ったこと
データリカバリー、および恒久対策として主要拠点に「DDHBOX」を導入。
フォレンジックを行う前にやってはいけないこと
フォレンジック調査を円滑に進めるにあたって、以下の行為は絶対に行わないようにしてください。証拠の確保が困難になってしまう恐れがあります。
調査対象機器の継続使用
「電源の入り切りを繰り返す」「機器を継続して使用し続ける」など、対象機器に何らかの操作を加えると、データ領域の情報が変化し、フォレンジック調査が困難となります。
たとえば、RAM(揮発性メモリ)には、マルウェアの痕跡や暗号を複号する鍵が記録されていることがありますが、機器の電源を切るとRAMのデータは消えてしまいます。
調査の観点からは、ネットワークから切り離し、電源を切らないようにしましょう。また、データを法的な証拠として利用する場合、証拠としての価値が失われる可能性もあります。
市販のソフトやツールなどを試す行為
端末の中で無料のソフトやツールを試してしまうと、大量の領域が書き換わるため、フォレンジック調査やデータの復旧を行う際に難易度が上がり、時間もコストも無駄になってしまいます。個人での操作やデータ復旧は控えてください。
フォレンジック調査はデジタルデータフォレンジックにお任せください
マルウェア・ランサムウェア感染、不正アクセス、社内不正、情報持ち出しのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
\累計3.2万件の相談実績 24時間365日無料相談OK!/
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
選ばれる理由
累積ご相談件数32,377件以上の実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積32,377件以上(※1)のご相談実績があります。また、警察・捜査機関から累計360件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
利用しやすい料金設定 相談・見積無料
外注により費用が高くなりやすい他社様と異なり、当社では自社内のラボで調査するため、業界水準よりも安価に調査サービスを提供しております。初動対応のご相談・お見積は無料で実施。はじめてのご利用でも安心してお任せください。
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※4)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※4)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
国際空港レベルのセキュリティ体制
官公庁や警察などの機密性の高い情報を取り扱うため、第三者機関の警備やセキュリティゲート、監視カメラを配置し、情報の管理を行っています。世界基準のセキュリティ規格であるISO、Pマークを取得。万全のセキュリティ体制を構築しています。
フォレンジック調査のご相談の流れ
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
【法人様限定】初動対応無料(Web打ち合わせ・電話ヒアリング・現地保全)
❶無料で迅速初動対応
お電話でのご相談、Web打ち合わせ、現地への駆け付け対応を無料で行います(保全は最短2時間で対応可能です。)。
❷いつでも相談できる
365日相談・調査対応しており、危機対応の経験豊富なコンサルタントが常駐しています。
❸お電話一本で駆け付け可能
緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
