法人向け調査

サイバー攻撃時の初動対応:ファスト・フォレンジック

ファスト・フォレンジックは、マルウェア感染などのセキュリティインシデントが発生した際に、被害範囲の迅速な把握を目的として、複数台のコンピュータを一括で解析する調査手法です。

ランサムウェア攻撃等のセキュリティインシデントでは、特定の端末だけでなく、複数の端末が同時に被害を受けている可能性が高く、初動対応の段階で全体の端末から感染経路やマルウェアの拡散有無などを調査しなければ、被害全容を正しく把握することは出来ません。

このページでは、当社が提供しているファスト・フォレンジックについて、活用事例も交えて解説いたします。

ファスト・フォレンジックとは

ファスト・フォレンジックとは、早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出およびコピーし、解析する技術です。この技術はインシデント発生後の現場復旧などで、迅速に対応しなければならない時によく用いられています。

ファスト・フォレンジックの特長・効果

ファスト・フォレンジックは、次のような特長を持った調査手法です。多くは、ランサムウェアやEmotetなどのマルウェア感染時の初動対応として活用されます。

数十~数千台規模の端末を一括調査可能

通常のデジタル・フォレンジックでは、端末1台1台を調査・解析する必要があるため、膨大な期間と費用が掛かります。一方で、ファスト・フォレンジックでは、数十~数千台もの端末を一括で調査する手法のため、効率的な被害調査が可能です。

また、データをクラウド上に収集して遠隔から調査が可能であるため、被害対応の即効性にも優れています。

被害範囲の特定に貢献

マルウェア感染の症状が見られる場合、周囲の端末も「発症」していないだけで、ネットワークでつながっている以上は、マルウェアが潜伏している恐れがあります。ファスト・フォレンジックでは、ネットワーク上で接続されていた全ての端末を一括調査することができ、被害範囲の特定に繋げられます。

調査によって、下記のようなデータが取得可能です。

  • 疑わしいファイル・プログラム、および危険度
  • 端末間の不正通信(タイムラインにて表示)
  • 端末間のアクセス履歴(概要図にて視覚的に確認可能)
  • 端末にて実行された疑わしいイベント(例:外部端末からのログイン失敗数)
ファストフォレンジックファスト・フォレンジックによる解析画面イメージ

被害の封じ込め

マルウェア感染時にまず必要な対応としては、「現時点より被害を拡大させないこと」言わば二次被害・三次被害の抑止です。ファストフォレンジックで、潜伏しているマルウェアを早期に検知できれば、特定端末の隔離や不正プログラムの駆除によって的確な被害の封じ込めが実現できます。

サービス提供フロー

1. 被害状況・端末数のヒアリング

まず、お電話もしくはWeb打合せにて被害状況とPC・サーバ等のエンドポイント端末数をヒアリングさせていただきます。

2. DDSより提供したexeファイルをスキャン端末にて実行

まず当社から配布されたexeファイルを対象端末で実行します1。この際、特別な操作は必要なく、そこまで手間はかかりません。また、ログの取得中も事務作業など通常どおり行えるため、業務に支障が出ることはありません。解析終了後は、なるべく専門用語を使わずレポーティングします。

ファストフォレンジックツールによる解析結果の一例(感染端末に対する、不審なログイン試行の状況)

3. 疑わしい端末を解析・調査

感染が疑わしい端末は、DDS社内にてネットワークより隔離された環境でデータの収集を実施します(必要な場合は保守作業を実施可能です)。

ファスト・フォレンジックの活用事例

事例1:Emotet(トロイの木馬)駆けつけ対応

依頼者:インフラ系企業

背景:数十名の社員の中で、2名がEmotet感染。なりすましメールが大手に一斉送信され、取引先からクレームが入ったことで被害が発覚。セキュリティ対策は何も行っていないかった。いつ誰が感染したか全く記憶になく、PC端末のフルスキャン実行で合意。

調査:20台以上のPCのファストフォレンジック

その他:取引先へのアナウンス、感染端末の買い替え、恒久対策としてセキュリティ対策製品「DDHBOX」をあわせて導入

Emotetが実行されると、周囲に感染し、取引先にも感染メールが送信されてしまいます。

また、数日~1か月の期間を空けてから送信されるケースもあるため、取引先への二次感染を防ぐ目的で、複数のパソコンを一括でファスト・フォレンジックするのが推奨されます。

セキュリティ対策製品「DDHBOX」についてはこちら

事例2:ランサムウェア

依頼者:インフラ系企業

背景:ランサムウェアに感染後、ファイルが暗号化され、身代金を要求された。また、感染の影響でメールサーバーも停止している。マルウェア感染調査を希望。

調査:サーバーを含む社用PC等、300台以上のファストフォレンジック

調査結果:社用PCへの不正ログイン履歴、マルウェアの感染の履歴を検出。

ランサムウェアが実行されると、感染端末、およびネットワーク上でつながっている端末が暗号化され、復号と引き換えに身代金が要求されます。

数日以内に対応しないと、次のような被害に遭う可能性が高いです。

  • 暗号化されたデータが、ダークウェブなどに漏えいする
  • 別の凶悪なマルウェアの感染被害に遭う
  • 今後もネットワークに不正侵入できるよう「勝手口」を作られてしまう

二次被害を防ぐためにも、ファスト・フォレンジックでランサムウェア被害に遭った端末をすべて調査することで「脆弱性の早期発見」といった適切な対応を取ることも可能です。

事例3:ランサムウェア

依頼者:医療機関

背景:患者の電子カルテが暗号化され、実質的な機能不全に陥った。データリカバリー、感染原因、情報漏えいの有無を希望。

調査:150台以上のPCのファストフォレンジック

調査結果
・感染原因はネットワーク機器の脆弱性と考えられる。
・この脆弱性は、ユーザー名やパスワード等に関する情報を盗んだ後、その情報をもとに組織ネットワーク内に不正侵入する目的で使われる。
・調査では複数台の端末が遠隔操作されており、
30台以上の端末がランサムウェアによりファイルが暗号化されていた。従ってファイルが外部に漏えいしている可能性が高い。

その後、行ったこと
・データリカバリー
・調査推奨端末のディープフォレンジック
・出口対策セキュリティ製品「DDHBOX」導入
・内部対策セキュリティ製品「SentinelOne」導入

セキュリティ対策製品「SentinelOne」については下記で詳しく紹介しています。

次世代型EDR:SentinelOne次世代型EDR「SentinelOne」の機能 SentinelOneはシリコンバレーに本社を置くSentinelOne社が開発した世...

事例4:ランサムウェア

依頼者:卸売業者

背景
・サーバ約10台がランサムウェアに感染し、身代金を要求をされた。
・サーバには本社の情報が入っており、業務が完全に止まっている。
・バックアップはあるが、かなり古いデータのため使えない。
・思い当たる感染経路はない。

調査:複数台のPCのファストフォレンジック

調査結果:ファストフォレンジックで、不正プログラムを検知。その後、ディープフォレンジックで端末を隔離。

その後、行ったこと
データリカバリー、および
恒久対策として主要拠点に「DDHBOX」を導入。

料金

調査料金:¥10,000~

強み

選ばれる理由

累積ご相談件数1万4千件以上の実績
警察や法律事務所、官公庁、上場企業から個人のお客様まで幅広い支持をいただいており、累積1万4千件以上2のご相談実績があります。また、三井住友海上様をはじめとした数々の取引実績があります。

国内トップクラスの技術力

40名以上の専門エンジニアが在籍し、11年連続国内売上No.1のデータ復旧技術3とフォレンジックの技術でお客様の問題解決をサポートします。

国内最大規模の最新設備

多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。

国際空港レベルのセキュリティ体制

官公庁や警察などの機密性の高い情報を取り扱うため、第三者機関の警備やセキュリティゲートを配置し、世界基準のセキュリティガイドラインを構築しています。

24時間365日スピード対応

緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付いたします。状況によっては現場へ駆けつけての対応も可能です。(法人様限定)