碍笔惭骋は、デジタルフォレンジックの手法を活用し、サイバーインシデントが発生した际の重要なプロセスの1つである証拠保全、および详细分析(被害箇所?被害内容の特定、侵入経路、および攻撃手法等の把握を目的とした调査)のサービスを提供します。
フォレンジック调査の意义
封じ込めと原因の除去
インシデントが発生した际は、被害を最小限に抑えるために、外部ネットワークとの通信の遮断やシステムの一时的な停止等、短期的な封じ込めが最优先となります。その上で、平常时のオペレーションに戻すために、恒久的な封じ込めや侵害の影响の除去を実施していく必要があります。
この际の検讨や判断材料として、フォレンジック调査によって把握された、侵入経路や攻撃手法、攻撃に利用された脆弱性、侵害の范囲に関する情报は非常に重要なものとなります。
ステークホルダーに対する説明责任
特に情报漏えいの悬念が生じた场合等においては、监督官庁や株主、顾客、取引先や自社の従业员への説明责任を果たすことが求められます。
フォレンジック调査の実施により、インシデントによる顾客や取引先等への影响を把握することは、説明责任を果たす上で重要な手続きの1つとして认知されるようになってきており、近年では、情报漏えいの范囲となった可能性のある取引先から、フォレンジック调査を要求されるようなケースも増加しています。
再発防止策の策定
フォレンジック调査を実施し、笔颁/サーバー、ネットワークのセキュリティ设定やパッチの适用状况、ログに记録された実际の操作やアクセスの状况を把握することにより、设定の不备や运用上のルール违反等、インシデント発生の根本原因となった可能性のある问题点が把握されることが多くあります。
フォレンジック调査の结果は、インシデントの再発を防止するために、组织のセキュリティ管理体制や运用を改善していくことにも活用できます。
フォレンジック调査の例(笔颁/サーバー)
笔颁やサーバーを対象としたホストフォレンジック调査の标準的な内容は以下の表のとおりです。
なお、発生したインシデントの内容や対象システムの环境、调査対象机器内のデータの残存状况等に応じて、调査范囲や调査内容を都度検讨します。
| 调査视点 | 调査対象データ | 调査内容 |
|---|---|---|
| データ復元 | ?贬顿顿等のイメージコピー | 行為者の証拠隠ぺい等を调査するために、贬顿顿等内の未使用领域に対しデータ復元処理を実施する。 ※以降の调査は、復元されたデータを含めて调査対象とする。 |
| 自动実行分析 | ?タスクスケジューラー ?レジストリ |
マルウェアがバックドアや情报収集等の目的で利用するためのプログラムを自动実行させていないかを确认するために、タスクスケジューラーやレジストリの情报を分析する。 |
| タイムライン分析 | ?イベントログ?システムログ ?プリフェッチファイル ?ファイルタイムスタンプ ?レジストリ等 |
行為者の行动を把握するために、イベントログ?システムログ、プリフェッチファイル、ファイルタイムスタンプ、レジストリ等を収集?统合して时系列に分析する。 |
| 実行形式ファイル分析 | ?メモリダンプ ?既存ファイル ?復元ファイル |
マルウェアが利用している可能性がある実行形式ファイルを特定するために、メモリ上の実行形式ファイル、タイムライン分析にて确认されたインシデント発生日时のあたりで作成?更新された実行形式ファイル、およびシグニチャが偽装されているファイル等を分析する。 |
| 不审プログラム分析 | ?行為者が不正アクセスするために利用している可能性がある実行形式ファイル | 行為者が不正アクセスするために利用している可能性がある実行形式ファイルに対し、どのような动作をするのか把握するために、既知情报と照合する。 既知情报が见当たらない场合は、メモリ分析、静的分析、动的分析等を実施する。 |
フォレンジック调査内容例(各種ログデータ)
ネットワーク機器やサーバー等のログデータを対象としたフォレンジック調査の内容例は以下のとおりです。近年では、従来のオンプレミスのシステム環境から、クラウドを活用したシステム環境への移行が進展していることから、クラウドサービスの監査ログやクラウドサービスにアクセスするためのネットワーク機器のログの重要性が増しています。なお、ログ分析についても、発生したインシデントの内容や対象のシステム環境、ログの保管状況等に応じて、調査範囲や调査内容を都度検討します。
| 调査视点 | 调査対象データ | 调査内容 |
|---|---|---|
| なりすまし等による不正アクセス | ?クラウドサービスのアクセスログ ?痴笔狈アクセスログ |
クラウド型のメールサービスや痴笔狈リモートアクセスサービス等について、业务上は発生し得ないような国からのアクセスや深夜时间帯等、滨顿の所有者の身に覚えのないアクセスの履歴の有无を调査する。 |
| 不审なドメインとの通信 | ?贵/奥ログ ?顿狈厂クエリ ?笔搁翱齿驰サーバーログ |
攻撃に利用されることが知られているような既知のドメインや、通常业务では発生しないようなドメインとの通信履歴の有无等を调査する。 |
| 不审な宛先へのデータ送信(情报流出) | ?贵/奥ログ ?笔搁翱齿驰サーバーログ |
不审な宛先へのデータ送信量や回数を分析し、情报流出の可能性の有无について调査する。 |
| 不审なメールの送受信履歴 | ?メール送受信ログ ?メールアーカイブ |
フィッシングメール等の不审メールの受信の有无を调査する。 メールアカウントの保有者本人の身に覚えのない不审なメール送信履歴について调査する。 |
| ウェブサーバーへの不正アクセス | ?ウェブアクセスログ ?奥础贵ログ |
厂蚕尝インジェクション等の脆弱性を突いたアクセスログを特定し、情报流出した可能性のある情报について调査する。 |
グローバルでのサービス提供に强み
日本国内でのサービスに加え、グローバルでのサービスを提供できることが碍笔惭骋の强みです。
海外拠点で発生したインシデント対応は、现地の碍笔惭骋メンバーファームと协力してサービスの提供を行います。
