不正アクセス被害時でのフォレンジック
ランサムウェア被害(ransomware)、マルウエア感染被害(malware)等が発生した際に、安全性をリリースするためには、何かしらの調査が必要となります。一般的に「フォレンジック(forensic)」で対処します。
ここでは、一般的にどのようなツールで対処するか、一例にすぎませんが、簡単にご紹介しましょう。なお、この記事は原則Windowsマシンが対象にした記事になります。
しかしながら自社でフォレンジックしたところで、不正アクセスにおけるフォレンジックを自社で行っても、信ぴょう性は疑わしく判断されるため、実際に事件が発生してしまった場合には、第三者のフォレンジックサービスを利用した方が良いでしょう。
被害機器のイメージ保存
FTK Imager
サーバの証拠保全として使えるツールで、サーバをイメージに変換して保存してくれる製品です。そのため、事故機をそのまま保管しておく必要はないため、保管管理も非常に簡単。FTK Imagerでサーバを保存することで、ハードディスクやメモリの保全も実施可能で、Lite版の無償版でも十分活用できます。
有償版のForensic Toolkitを利用することで、レジストリ解析類が可能なRegistry Viewer、認証機構のバイパスによってパスワード解析が可能なPassword Recovery Toolkit類が利用できたりします。
フォレンジック処理注意事項
サイバー攻撃等でシステム復帰の前に、FTK Imager Liteを利用してサーバを丸ごと、ないしOSがインストールされているボリューム全体を保存しておきましょう。保存先は、SSDは選ばないようにしましょう。これは、削除領域を自動的にクリアしてしまうトリム(Trim)処理によって、フォレンジック処理に影響を及ぼす可能性があります。
一般的な操作手順
1)FTK Imagerを、右クリックして管理者として実行をクリック
2)File → Create Disk Imageをクリック
3)Image fileを選択し、次へ
*ファイルサーバとか大容量サーバの場合、バックアップできねぇ〜
よ、という場合には、論理ドライブ(Cだけとか)のLogical Driveとかを
選択。
4)Select Driveは初期状態が通常Cドライブですので、そのままで、Finish5)Addをクリック
6)Select Image Typeから、E01をクリックして、次へ
*イメージ変換方式で一般的にE01が推奨されています。
E01のEはEnCaseのEで、グローバル・スタンダードになっています。
理由としては、Rawよりも信頼性が高く圧縮されるところも嬉しい。
まぁ、E01形式を選んでおけば、フォレンジック調査を依頼しても、
基本的に扱えるので、E01を選んでおきましょう。
・Raw(dd)は、名の通り、生データ。原本とハッシュ比較し取得してい
るため、取得元の原本とほぼ同じ物理イメージを得ることができる
ため、フォレンジック対象機器が多ければ多いほど、保管管理も
大変。
7)Unique Descriptionの欄に、サーバのホスト名等を入力し、次へ
8)Browserから、保存先として、特定のフォルダを指定します。
*ここに、Cドライブのイメージが保存されます。
9)Image Filenameに、サーバのホスト名を入力
10)Image Fragment Size(MB)が、1500になっているのを、0に変更
*1ファイルあたり1.5GBに分割する方式が、デフォルト値になって
います。分割されると、ファイルの拡張子は、E01、E02・・・と連番
されますが、結構面倒なので、0にして無制限がいいかな、と
思います。
11)Finishをクリック
12)Image Dest〜の欄が、指定の保存先になっていることを確認し、
Start をクリック
メモリキャプチャーも可能で、Capture Memoryから、処理できます。
ただ、サーバならできるけど、数百台もあるPCに対しては困難ですよねぇ〜
Windowsイベントログ
FTK Imagerであれば、Windowsイベントログ類も保存されるので、フォレンジック調査用としては問題ないと思われますが、PCをFTK Imagerで取得するには、業務処理上、無理でしょう。
ただ、被害元もしくは感染端末がPCであれば、FTK Imagerでイメージ化しておく必要があると思います。しかし、それ以外であれば、イベントログで対応せざるをえないと考えられます。
外部のフォレンジック調査機関に依頼された際に、専用調査ツールが提供されるのが一般的かと思われますが、それを利用される方法が無難かと思われますが。
Windowsのイベントログは、%SystemRoot%¥System32¥winevt¥Logs に保存されます。%SystemRoot%は一般的にCドライブでしょうから、C:¥Windows¥System32¥winevt¥Logs 配下に、evtx形式で各種保存されていると思います。このLogsフォルダを保存する、という方法でも良いのかな、と思います。
必須ファイルは、Application.evtx(アプリケーション)、Security.evtx(セキュリティ)、System.evtx(システム)ぐらいでしょうか。
このイベントログをスピーディーに解析できるツールとして、Event Log Explorerという製品もありますので、参考ください。
データ保全ツール
CDIR Collector
PCとかは、このCDIR Collectorでデータ保全が便利です。cdir-collector.exe をWクリックすることで、メモリダンプ、NTFS、プリフェッチ、イベントログ、レジストリ、Webアクセス履歴類を簡単に取得ができます。ただ、メモリダンプを取得しようとすると、昨今のOSのセキュリティ機能の影響で、PCがフリーズする場合があるため、注意が必要です。
タイムライン解析
plaso/log2timeline
タイムライン解析ツールの使い方は、ここでは割愛させていただきます。コマンド操作にはなりますが、不正アクセスを確認した日で解析します。ここを解析期間を数日と広げると、ログが膨大となり、解析に収集がつかなくなります。
まず、1日ごとに解析し、原因を探るオープンソースツールです。これをもとに、Excelで時系列に証拠を書き出すのに便利なツールです。
セキュリティスキャナー
Microsoft safety scanner
フォレンジック中、何もできない、PCも操作できない、待っているだけ…は業務に悪影響をきたします。必要なログを取得し終わったら、マルウエアが潜んでいないか、無料のセキュリティツールでスキャンするという方法はありです。
Windows OSの場合には、Microsoft セーフティスキャナーを利用して、PC全体をセキュリティスキャニング無償ツールで、Windows コンピューターからマルウェアを見つけて削除するように設計されたスキャン ツールで、ダウンロードされてから 10 日後に期限切れになります。よって、常にアップデートされたスキャナーツールでスキャニングができると想定されます。
IDの可視化で不正IDを探す
JPCERTCC/LogonTracer
Windowsイベントログを解析しようとしても、膨大な数。そして、読みにくいという問題があります。これを解消するツールが、LogonTracerになります。このツールの説明も割愛しますが、イベントログの可視化によって、どのホスト(マシン)で何のアカウントを利用してログオン試行が行われているのかを、簡単に分析ができるツールです。
まとめ
CSIRT(シーサート:Computer Security Incident Response Team)は企業内に欠かせない組織となってきました。おそらく、CSIRTでは、情報セキュリティ災害における訓練を、何度も実施されていることでしょう。ただ、中小企業では残念ながらヒト不足で、こういった対応ができないのが現実です。
情シスは一人ひとりが自強して頑張らなくてはいけないという、組織における致命的な欠陥があります。少しでも、これらのツールが役に立てたなら幸いです。
この記事が気に入ったらサポートをしてみませんか?