初動対応
初動対応とは、インシデント※ 発生直後に行う最初の対応のことである。
※インシデント:やりたいことができない状況。
感染が疑われる場合の初動対応
感染直後や感染が疑われる場合に行う初動対応は、以下の通りである。
- 組織内の情報集約窓口・CSIRT※・上長に連絡する。
※CSIRT(シーサート:Computer Security Incident Response Team)は、企業や組織内で情報セキュリティ上のトラブル(インシデント)に対応する専門チーム。 - パスワードを変更する。
不正アクセスが疑われる場合、 そのシステムのパスワードを変更するのが、暫定的な対処方法。 - 脆弱性修正プログラム(セキュリティパッチ)を適用する。
対象はOS・ミドルウェア・ソフトウェア。 脆弱性に対応したセキュリティパッチがある場合、それを適用する。 - ソフトウェアの利用を停止する。
脆弱性をもつソフトウェアの利用をとりあえず停止する。 ただし、ビジネスに影響が出る場合、経営者・上長からの事前承認が必要。 - ネットワークから切り離す。
感染した情報機器をネットワークから切り離す。 情報機器を隔離する。 オフラインにするともいう。マルウエアが他の情報機器と通信し、 被害を拡大させる事態を防ぐために行う。ただし、他の部署に影響が出る場合、他の部署からの事前承認が必要。 - 他の情報機器で新たに添付ファイルを開いたり、不審な URLにアクセスしたりしない。
- ただし、 Webブラウザに表示された警告メッセージの場合は、無視したり、Webブラウザを閉じたりする。 リンクをクリックしたり、問合せ電話番号に連絡したりしない。 あくまでも警告メッセージの表示のみで、ファイルは暗号化されておらず、ランサムウェアではないためである。
- 攻撃の送信元IPアドレスからの通信をファイアウォール (FW) で遮断するように、担当者に依頼する。
やってはいけない初動対応
行うべきでない初動対応は、以下の通りである。
- 感染した情報機器を電源オフにする・ 再起動する。
メモリ上にある情報(攻撃手法・攻撃による流出情報)を残しておき、デジタルフォレンジックス※で活用する。電源オフにすると、それらを実施できなくなる。また、電源オフにする間にマルウェアの被害が広がる可能性があるため。
※犯罪の立証のための電磁的記録の解析技術及びその手続き - 感染したPCを初期化する。ファイルを操作する。
PCのHDDやSSD上に保存された情報(攻撃手法・攻撃による流出情報) を残しておき、 デジタルフォレンジックスで活用するため。 初期化・操作すると、それらを実施できなくなる。
ただし、証拠保全の必要性だけでなく、業務を復旧させる必要性の両面からその対応を決定する必要がある。
感染被害の拡大の確認方法
他の情報機器に感染を拡大させたり、 インターネットに情報を送信させたりしないために、感染被害の拡大を確認する方法は、以下の通りである。
- 最新のマルウェア定義ファイルで、フルスキャンを行い、マルウェアが他に検出されないかを確認する。
- 他の情報機器で、マルウェアによる警告メッセージが表示されないかを確認する。
- ランサムウェアの場合、拡張子が変更されたファイルが、他の情報機器にないかを確認する。
(参考)
情報処理教科書 出るとこだけ!基本情報技術者[科目B]第4版 橋本 祐史 (著) 翔泳社
コメント