目次
はじめに
JPCERT/CCや外部組織などから高度サイバー攻撃 (Advanced Persistent Threat (APT) 、標的型攻撃とも呼ばれます) に関連する連絡を受けた場合の対応を説明します。
高度サイバー攻撃の場合、攻撃者が組織内部への侵入に成功すると組織の重要な情報が長期間窃取され続けたり、他組織への攻撃の踏み台として環境が使用される場合があるため、早急な対応が必要です。もしも高度サイバー攻撃に関する連絡を受けた場合は、これらの対応を参考に調査を進められることを推奨します。(こちらでは NIST SP800-61 のインシデント対応プロセスの「検知・分析」のフェーズを中心に紹介します)
nist incident process
なお、高度サイバー攻撃の全容を把握するには「準備」のフェーズが重要です。詳細については「JPCERT/CC 高度サイバー攻撃 (APT) への備えと対応ガイド」 の第2章を参照してください。
検知・分析
検知
連絡を受けた内容に応じ、ネットワーク機器やセキュリティ製品のログなどで調査
●
C&C (C2) サーバやマルウエアの通信先サイトへの通信の有無
●
攻撃者によって改ざんされたサイト (いわゆる水飲み場攻撃) やマルウエア設置サイトへの通信の有無
●
標的型攻撃メールの添付ファイルの実行や誘導先サイトへの通信の有無
JPCERT/CCでは初期の調査支援を行っています。プロキシ、ファイアウォールなどのログや被疑端末の分析による被害の有無の調査支援も可能ですので、JPCERT/CCへの情報提供をご検討ください。
調査の結果、被疑端末を特定できた場合は、証拠保全を行い次の調査の実施を推奨します。
(証拠保全方法についてはデジタル・フォレンジック研究会の「証拠保全ガイドライン」を参照してください)
incidentcall_allow.png
分析
被疑端末の状況とその端末からネットワーク全体への被害拡大状況の調査
分析
●
被疑端末の簡易調査
○ 不審なサービスの実行の有無
○ 意図しない待ち受けポートの有無
○ 不審なタスク登録の有無
○ 不審なファイルの有無
○ 連絡を受けた通信先以外への意図しない通信の有無
○ 意図しない待ち受けポートの有無
○ 不審なタスク登録の有無
○ 不審なファイルの有無
○ 連絡を受けた通信先以外への意図しない通信の有無
●
被疑端末と類似する通信の確認
○ 別端末において同じ通信先への通信や類似するリクエストの有無
○ 別端末で同様の標的型攻撃メールの受信
○ 別端末で同様の標的型攻撃メールの受信
●
内部向けサーバ (Active Directory、ファイルサーバなど) への侵害の確認
○ 不審なサービスの実行の有無
○ 意図しない待ち受けポートの有無
○ 不審なタスク登録の有無
○ 不審なファイルの有無
○ 権限が無いユーザの端末から管理者アカウントへの認証要求の有無
○ 意図しない待ち受けポートの有無
○ 不審なタスク登録の有無
○ 不審なファイルの有無
○ 権限が無いユーザの端末から管理者アカウントへの認証要求の有無
●
侵入経路と侵入時期の調査、推測
○ 標的型攻撃メールの送信元や受信日時
○ 改ざんサイト閲覧による感染とその日時
○ 公開サーバや DMZ サーバ経由での侵入の有無とその日時
○ 改ざんサイト閲覧による感染とその日時
○ 公開サーバや DMZ サーバ経由での侵入の有無とその日時
被疑端末の調査や影響範囲の調査は、専門知識や経験が無い状態で実施すると攻撃の痕跡を消してしまうなどのリスクがありますので安易に実施せず、経験者やセキュリティ事業者などに相談してください。相談先の一例として、次の URL を参照してください。
JNSA サイバーインシデント緊急対応企業一覧
https://www.jnsa.org/emergency_response/
JNSA サイバーインシデント緊急対応企業一覧
https://www.jnsa.org/emergency_response/
高度サイバー攻撃のインシデント対応について
「検知、分析」の結果、高度サイバー攻撃による組織内部への侵害を確認したら、「封じ込め」以降の対応が必要になります。高度サイバー攻撃による侵害に対応するにあたり、検討が必要な項目を紹介します。
● 被疑端末や攻撃手法などの詳細調査
○ マルウエアの挙動やマルウエアの通信先の洗い出し
○ 攻撃者に使用された対象アカウントと対象アカウントが有する権限の洗い出し
○ 攻撃を受けた期間の特定
○ 関連組織への被害拡大の有無 (攻撃の踏み台など)
○ 攻撃者の目的、窃取した情報の確認
○ 攻撃者に使用された対象アカウントと対象アカウントが有する権限の洗い出し
○ 攻撃を受けた期間の特定
○ 関連組織への被害拡大の有無 (攻撃の踏み台など)
○ 攻撃者の目的、窃取した情報の確認
● 不審な通信の継続監視
○ 不審な通信先への通信の有無
● 攻撃者の締め出し手段と実施時期の検討
○ Active Directory の再構築やパスワードの一斉変更
○ 不審な通信先の一斉遮断
○ 実施時期の検討
○ 不審な通信先の一斉遮断
○ 実施時期の検討
● 関連組織への連絡、エスカレーションなどの検討
○ 関連会社
○ 監督官庁
○ 警察
○ アナウンス、プレスリリースなどの検討
○ 監督官庁
○ 警察
○ アナウンス、プレスリリースなどの検討
参考情報
- NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide
https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final - 高度サイバー攻撃(APT)への備えと対応ガイド〜企業や組織に薦める一連のプロセスについて
https://www.jpcert.or.jp/research/apt-guide.html - 高度サイバー攻撃への対処におけるログの活用と分析方法
https://www.jpcert.or.jp/research/apt-loganalysis.html - ログを活用したActive Directoryに対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD.html - デジタル・フォレンジック研究会 証拠保全ガイドライン第7版
https://digitalforensic.jp/home-act-products-df-guideline-7th/
JPCERT/CCからのお願い
JPCERT/CCでは過去にインシデント連絡の実績がない組織に連絡を行う場合、JPNIC, JPRS などの WHOIS データベースに登録されている IP アドレスやドメインの担当者宛に連絡しています。JPCERT/CC 以外の組織も WHOIS データベースに登録されている担当者宛に連絡する場合がありますので、登録されている技術連絡担当者 (もしくは Abuse コンタクト) が適切な連絡先かどうか確認をお願いします。
- JPNIC WHOIS Gateway (IPアドレス)
https://www.nic.ad.jp/ja/whois/ja-gateway.html - JPNIC WHOIS 担当グループ(担当者)情報の登録・変更について
https://www.nic.ad.jp/ja/ip/application-procedure/about-group-info.html - JPRS WHOIS (ドメイン)
https://whois.jprs.jp/ - JPRS WHOISで確認できること
https://jprs.jp/about/dom-search/jprs-whois/whois-guide-check.html - JPドメイン名の各種申請について
https://jprs.jp/faq/application/