どんなに境界での守りを固めたとしても、サイバー脅威が社内のネットワークやコンピューターに忍び込むことを完全に防ぐことはできない。相手は、防御側が認知していないような最新の手法で攻撃を仕掛けてくることもあるのだから、どんなに多層防御の網の目を張り巡らせていても、すき間から侵入される危険性は残る。そのような万が一の事態への対応としては、攻撃の証拠を保全して状況を把握するために調査分析するデジタルフォレンジックの手法が役立つ。いち早く原因を究明して、現状を適切に理解し、情報システム面からも経営面からも的確な対策を施すことを可能にする手法だ。

東芝ITサービスでデジタルフォレンジック分野の業務に長年携わってきた同社 ユニファイドマネジメントセンタ 企画・管理部主管の枡田鉄也氏は、デジタルフォレンジックの実例から現場の戦いの様子を説明する。「ある社会インフラ系管理組織でのインシデント事例で、お客様のネットワークの管理を行っている上位組織で不正通信が検知されました。私たちが現地に到着したときにはすでにインターネット、メールを含むすべてのネットワーク通信が遮断された適切な処置が行われていました。本来であれば、フォレンジック調査は現地で証拠保全を行い、当社の専用ルームに戻って調査を行います。しかし、お客様の危機的な状況と、翌朝には社外公表の判断を行う必要があったことから、それまでに情報漏洩の有無を確認するためにその場で解析作業に入ることとしました」。このように、時間との戦いを優先し、現地で緊急のデジタルフォレンジックを実施しなければならないというケースがあるという。

この事例では、標的型メールの送付が起点となり、不正スクリプトがダウンロードされて、外部サーバーに対して通信が行われるような事態が起きていた。実際に枡田氏たちが調査を進めたところ、「外部サーバーとの接続が行われていないこと、すなわち情報漏洩がなかったことが判明しました」(枡田氏)。現地で緊急のデジタルフォレンジックを行い、最悪の事態だった場合には翌日に想定されていた「社外公表」を未然に防ぐことができたのだ。

インフラ系管理組織(フォレンジック調査結果)

リスクが高いOT系システムでのデジタルフォレンジック

サイバー脅威は、IT系のシステムだけを狙うものではない。社会システムや製造業などに代表されるOT(Operational Technology)系のシステムも攻撃を受けることは少なくない。枡田氏は、「OT系は“クローズドなネットワーク環境にあるためウイルスが侵入しない”と言われてきましたが、古いOSが長期間に渡り使われていることや、安定運用を重視してセキュリティパッチが適用されていないことが多いという実態があります」と説明する。その上、ネットワークはクローズドな環境だったとしても、メンテナンスやログ採取のためにUSBメモリーなどを挿すことは少なくないため、外部機器からの感染が内在していることがあると指摘する。

そうした実例の1つとして、製造系の企業の事例を枡田氏は紹介する。「定期的なメンテナンスで外部記憶媒体にログを採取して自社内のシステムで読み込んだところ、ウイルス対策製品でマルウェアが検知されました。この事例では、Windowsの古い脆弱性を突いた手法が使われていました。この企業のシステムは10年近く前に導入されたもので、安定稼働の観点から定期的なセキュリティパッチ適用やウイルス対策製品の導入は行われていませんでした」。枡田氏の指摘がまさにそのままの形でサイバー脅威として現れていたのだ。マルウェアはhttpサーバー機能を実装することで、感染拡大を図っていた。

「この事例のように、OT系システムなどで端末側にセキュリティ対策が難しい場合、ネットワーク通信の監視(今回のケースではhttp通信を異常と検知すること)によって、早期発見できたのではないでしょうか」(枡田氏)。初期のデジタルフォレンジックでは、パソコンなどのハードディスクの内容を証拠保全して分析することが主流だったが、調査の対象はネットワーク通信の記録にまで広がっている。

こうしたデジタルフォレンジックの現場の詳しい状況の解説や、変化するデジタルフォレンジックの現場で求められるツールの活用の仕方について、枡田氏の生の声からエッセンスをまとめた解説を下記のリンクで公開している。「うちはOTだから大丈夫」と思っている企業の担当者も、なぜデジタルフォレンジックが必要なのかを考えるヒントになるだろう。

【関連情報】
・サイバーセキュリティ2020最前線「Chapter#05デジタルフォレンジックの現場(2)サイバー攻撃による情報流出の有無を時間と戦い検証」(https://toyo-slc.com/news/cyber_security_files_2020_chapter05_20201022.html?utm_source=WWN&utm_medium=cybersecurityfiles2020&utm_campaign=2020Oct)を公開しました