[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

233users がブックマーク コメント 32

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

インシデント発生時に電源を入れたままにすべきか問題 - Qiita

233 users qiita.com/log0417

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント32

  • 注目コメント
  • 新着コメント
hobbiel55
自分ならメモリダンプから手口が特定できるかもしれないメリットよりも、それ以上のファイルの暗号化等を阻止できる可能性を優先して電源を抜くなあ。犯人特定よりも被害の極小化の方が大事。

その他
megumin1
すでに乗っ取られている以上、メモリダンプどころかすべてのコマンドの実行結果は信頼できないですよ。rootがとられているなら、なんでも偽装・改ざんが可能。

その他
NOV1975
連続的に攻撃を受けて被害の拡大が予想される時の行動としてどうか、みたいな前提おかず手法の是非だけ議論されてるのがおかしいのよ

その他
cubed-l
「個人的な経験からもメモリダンプがないと手も足も出ないというケースはほぼありません」

その他
gmdualis479
https://ascii.jp/elem/000/004/203/4203197/

その他
ene0kcal
それは悪意あるソフトウェアがどこまで破壊機能を有しているかによるので、解析前に確実に分かるものではないと思うのですが。だからこそインシデント対応手順を事前に用意し、手順にそって進めるしかないかなと。

その他
fukken
「電源ケーブルを物理的に抜く」、一般のIT技術者視点だとすぐには出てこない対処法なので(野蛮!)、担当者は素人ではなく一定のセキュリティ知識があり、その上での判断だと思う。

その他
deep_one
「停めたはずのプライベートクラウドサーバーが立ち上がる」という状況ではメモリの内容は取れないだろうな。

その他
rgfx
仮想化の壁が貫通されてない自信がお有りなら割当CPUを0にしてサスペンド、とかの声も聞こえてきたけどランサム等で組織内部からやられてるんならメモリダンプの保全とか贅沢言わず電プチしてddじゃない?

その他
azumi_s
私もあの状況なら電源引っこ抜くかなぁ。

その他
midnight-railgun
「トロッコ問題」だな

その他
yuangao
単体の物理サーバならLAN抜くだけにしとくけど、仮想化基盤の物理サーバなら電源落とすかな。仮想サーバ間で被害広がってくかもしれんし。

その他
kaorun
単純にセキュリティ対策としてのメモリダンプについて語ってもごく一部にしか読まれないので、このタイミングでこの形の釣りタイトルはありだと思うなぁ。

その他
chiroruxx
電源を入れたままにすべきか問題ではなくメモリフォレンジックについて書きたいだけなのでは?

その他
daishi_n
今回って仮想マシン制御ネットワークまで乗っ取られていたから、メモリダンプ取れたかは微妙。VMwareはメモリと同容量のストレージ確保してるからダンプできない訳ではなさそうだけど

その他
NOV1975
NOV1975 連続的に攻撃を受けて被害の拡大が予想される時の行動としてどうか、みたいな前提おかず手法の是非だけ議論されてるのがおかしいのよ

2024年06月18日 リンク

その他
a2c-ceres
コアメモリなら電源切っても残ったのにね、と言うのは冗談。現在のCPUはメモリコントローラーも内蔵しているのでメモリユニットだけ切り離してダンプも難しい。現実的にはオフラインバックアップ等の備える対策迄か。

その他
rrringress
教科書の知識以上の話はなかなか聞けないのでありがたい

その他
miragestlike
エンジニア間でバチバチ喧嘩してた話題だ

その他
misomico
シャットダウンするか、電源ケーブルを引っこ抜くか、もまた違いそう

その他
toaruR
仮想環境優秀

その他
umaemong
電源は気になってた。有識者の解説ありがたい。自分なら電源切るかな。まだ救えるデータが残ってるかもしれないので。

その他
sisya
攻撃者は、どうしようもない状態にすることが目的なのだから、正解はないと思う。今回の場合、原因の究明は遅れて(不可能になって)も、まずはユーザ情報を守ることを第一にしたのだろうから、対処は正解と感じる。

その他
newforms
電源ケーブル抜いた後ってどうするのだろう

その他
yuuichi-fuse
状態を把握できていない状態なら被害の拡大を防ぎたい。そのため電源落として被害状態が変わらない状態に持っていくためにシャットダウンを選びたい。電源落としてシャットダウン中の処理も何もさせたくない。

その他
s_nagano
場合による

その他
lambdalisue
どっちを選んでも正解じゃないならば、自分なら被害を少なくできる可能性がある方に賭けるな。誰かがどっちを選んでも、それが両方を考慮した上での選択ならば外野がその選択を責めることはできないよね。

その他
gairasu
心理的にはウイルスなら他責で業務停止なのに電源引っこ抜きは自責になるのでハードルが高いんだよね。法定停電対応等の経験上、物理が壊れることも過る。ログ云々は論理的に嫌なだけで心理的負担の方が大きい。

その他
ya--mada
メモリフォレンジックてやりたいのかなぁ?

その他
hobbiel55
hobbiel55 自分ならメモリダンプから手口が特定できるかもしれないメリットよりも、それ以上のファイルの暗号化等を阻止できる可能性を優先して電源を抜くなあ。犯人特定よりも被害の極小化の方が大事。

2024年06月18日 リンク

その他
nezuku
メモリダンプの採取という観点では電源を落とすのは躊躇してしまいがちだが、それより被害拡大防止の傾向が大きくなるか。電源を落とすにしても、正規のシャットダウンだと自爆や証拠隠滅される可能性もあり...

その他
cubed-l
cubed-l 「個人的な経験からもメモリダンプがないと手も足も出ないというケースはほぼありません」

2024年06月17日 リンク

その他
megumin1
megumin1 すでに乗っ取られている以上、メモリダンプどころかすべてのコマンドの実行結果は信頼できないですよ。rootがとられているなら、なんでも偽装・改ざんが可能。

2024年06月17日 リンク

その他
door-s-dev
ネットワークを切るというのが一般的な対処という認識なんだけども

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「インシデント発生...」が注目されています。

気持ちをシェアしよう

ツイートする

インシデント発生時に電源を入れたままにすべきか問題 - Qiita

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure y... Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 更新履歴 2024年6月28日 ネットワーク遮断の是非について追記しました。 はじめに とあるセキュリティインシデントにおいて、サーバを電源ケーブルごと引き抜いたという対応が行われ、X(Twitter)ではこの対応について賛否両論が見られました。このうち電源を入れたままにすべきという人の意見には、「マルウェアの中にはシャットダウンすることで自分自身を削除し、感染痕跡を削除するものがある」「メモリを調査すべきなのでシャットダウンすべきではない」のような意見が見られました。 記事では実際にメモリからどのような情報がわかるか、そしてメモリダン

ブックマークしたユーザー

  • karuakun2024年08月20日 karuakun
  • yggdra_w2024年07月31日 yggdra_w
  • techtech05212024年07月04日 techtech0521
  • mapk0y2024年06月30日 mapk0y
  • lugecy2024年06月30日 lugecy
  • benelux2024年06月27日 benelux
  • knzw252024年06月23日 knzw25
  • midas365452024年06月23日 midas36545
  • d128922024年06月22日 d12892
  • gmdualis4792024年06月19日 gmdualis479
  • ene0kcal2024年06月19日 ene0kcal
  • yug12242024年06月19日 yug1224
  • tkos-rg2024年06月18日 tkos-rg
  • dhrname2024年06月18日 dhrname
  • makoree2024年06月18日 makoree
  • naskin2024年06月18日 naskin
  • fukken2024年06月18日 fukken
  • satoshie2024年06月18日 satoshie
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /