セキュリティインシデント発生！！復旧までに何してるの？インシデントレスポンス対応者のリアルインタビュー

セキュリティ事故（インシデント）が毎日のようにニューストピックにあがる時代になりました。インシデントは、いつ、どの組織で発生してもおかしくありません。その時、迅速かつ的確な対応が求められますが、実際に復旧作業にあたる担当者は、どのような状況下で、何を考え、どう動いているのでしょうか？

今回は、インシデントレスポンスのプロ集団であるNTTセキュリティ・ジャパン株式会社で実際に実務にあたる濱崎様にインタビューをいたしました。「インシデント発生の一報を受けてから、完全復旧を宣言するまで、一体何をしているのか？」その疑問に、経験者の視点から具体的にお答えいただきました。知られざるインシデント対応の裏側を、ぜひご覧ください。

濱崎 浩輝氏

NTTセキュリティ・ジャパン株式会社
プロフェッショナルサービス部
インシデントレスポンスチーム担当課長

2011年NTTコミュニケーションズ株式会社に入社。2014年、インシデントレスポンスサービス立ち上げ。インシデントハンドリング、ディスクフォレンジックス、マルウェア解析、ネットワークフォレンジックスの技術を提供するとともに、解析ツールを多数開発（統計値を用いた異常検知によるネットワーク解析ツール、イベントログ自動解析ツール等）。100件以上のインシデント対応を実施し、APTグループによるインシデント対応も多数実施。攻撃者の視点を活かしたインシデント対応を実施するため攻撃テクニックを学び、この知見を活かして現在はRedteamサービスも提供中。

　ーNTTセキュリティ・ジャパン様で実施できるインシデントレスポンス対応について、教えてください。

サイバー攻撃によるインシデントで必要な対応は基本的になんでも対応しています。

技術面ではディスクフォレンジック、ネットワークフォレンジック、マルウェア解析、環境全体調査など。戦略面では、必要な初動対応、インシデント封じ込め方針の策定など、お客様CSIRT部門を専門家の立場からサポートします。

ただし、法律に抵触する恐れがあるもの、例えば、ダークネット上で販売されているデータの購入、ランサムウェア身代金支払いのサポート等は行いません。

　ーインシデントがない「平時」と発生時の「有事」とでは、業務内容はどのように異なりますか？

平時では、最新の技術トレンド・攻撃者動向の追跡、解析の高度化・効率化のためのツール開発、新たな技術領域の開拓、セキュリティの大会への参加（CTF）などを行っています。また、平時メニューとしてIR共通チケットという有事への備えとしての事前購入型のチケットも用意しており、トレーニングやアセスメントを提供しています。

有事の際は、お客様のインシデント解決を最優先に取り組み、インシデント対応会議への参加、フォレンジック、マルウェア解析などの必要な対応を行います。

　ーインシデント対応の要請から完了までの一般的な流れを教えてください。

まずは現状についてお客様にヒアリングを行います。

これらの情報をもとに、インシデントの深刻度、感染拡大状況、インシデント対応方針を定めます。

インシデントの初動は非常に重要です。誤った初動対応をとると事態が悪化する場合があるため、慎重に判断します。初動段階では十分な情報がないため、完璧な対応は難しいですが、その時点で得られている情報をもとに可能な限り最善を尽くします。

　ー有事の際は、具体的にはどのような問い合わせが多いですか？

重いものから軽いものまで幅広くありますが、最近の傾向として多いのは以下のようなものです。

　ー最近、ニュースなどでランサムウェアによる被害をよく耳にします。日々発生するインシデントの中で、ランサムウェアが原因となるケースはどれくらいの割合を占めていますか？

弊社においては、ランサムウェアインシデントは全案件の10%〜20%です。多くは数台が暗号化される、といった軽度なもので、環境全体が被害にあうような大規模なものは年に1件あるかないか程度です。世の中では被害が多数報告されていますが、弊社のお客様は過去に被害にあった経験などから、監視強化や対応強化を行ってきているため案件が少ないのかもしれません。

一方で、暗号化を伴わない情報窃取を目的としていると思われる大規模インシデントはランサムウェア事案よりも多い状況です。ランサムウェアと違って被害にあっていることに気付きにくいと言われますが、弊社のお客様においては強固な監視を行っているため、気付くことができていると考えています。そう考えると、世の中でも水面下では情報窃取のインシデントがランサムウェア事案と同等かそれ以上に発生しているのかもしれません。

　ー実際にランサムウェアに感染した際、サーバーやPCに対してどのような初動対応や復旧作業を行うのか、ざっくりした流れでも結構ですので、可能な範囲で教えていただけますと幸いです。

基本的には隔離からの侵入経路の調査（封じ込め）、そして新たな侵入経路確保のためのマルウェア感染有無の調査が基本です。データの復旧についてはバックアップが取られているかなど、特定の条件がそろった場合でしか対応はできません。身代金要求に応じない場合、二次被害にあう可能性があるため、攻撃者の更なる活動を抑制するためにも封じ込めは重要です。

そのためには侵入経路の特定と対策が重要となります。特に大規模ランサムウェア事案の場合は、環境内にマルウェアが仕込まれている可能性を考慮しなくてはなりません。最初の侵入経路を防いだとしても、マルウェアを経由して遠隔操作可能であり、この経路を使って二次被害が発生する恐れがあります。ネットワーク全体において隠れたマルウェアの存在を特定することは極めて困難な対応となりますが、EDRの導入、全台簡易フォレンジック調査、ネットワークログ調査など駆使することで一定の担保を行います。

　ーこれまでで「本当に大変だった」「眠れなかった」 というインシデントがあれば、差し支えない範囲で状況を教えていただけますか？

基本的には大規模インシデントはどれも大変で、眠れないことも多いです。一つ例を挙げるとすれば、とある攻撃グループによる執拗な攻撃事案です。

事案の発端は、顧客企業のある関連会社のシステムが被害を受けたことでした。初期調査の結果、攻撃者がログを徹底的に削除しており、初期侵入経路の特定は困難を極めました。被害が拡大していく中で親会社への被害も判明し、事態は深刻化の一途をたどります。

何とか対応を進め国内ネットワークの封じ込めに成功し、対応完了としましたが、その後複数の海外拠点で被害が発覚。加えてこれら拠点を起点に再度国内への攻撃を試みるなど執拗な攻撃が繰り返されました。

攻撃が発覚するたび調査から対応を繰り返す、もぐらたたき状態となってしまい、完全に事態が収束するまでに年単位の期間を要しました。

　ーその際、技術的な困難さ以外で、精神的に最もプレッシャーを感じた点は何でしたか？

感染規模も多く、攻撃者によるログ削除により、思うように原因究明ができず、根本的な対策が取れなかったことに、強いストレスを感じました。インシデント対応中も明らかに攻撃者は侵害を継続しており、その間に重要な情報が窃取される恐れもあります。そのような最悪な事態を防ぐために対応を続けていても思うような結果が得られなかったり、調査すべき対象も多すぎて手が回り切らず、対応が後手後手に回ってしまいました。当然お客様も事態の難しさは理解してくれていましたが、悔しい思いをしたことを今でも思い出します。

　ーその経験から得られた最大の教訓は何でしたか？

最も重要なことは、インシデントに備えたアーキテクチャレベルでのセキュアな設計です。現在ではゼロトラストネットワークと呼ばれていますが、以前からセグメンテーション、アクセス制御、セキュアなドメイン信頼関係などの必要性は謳われていました。これらが実現されていないと、子会社や関連会社への侵害が、親会社への侵害にまで容易につながります。

比較的セキュリティが甘いと言われる海外子会社が多い大企業では、一海外拠点の侵害が、手が付けられない規模のインシデントにまで発展します。侵害されたとしても、攻撃者に自由にさせない、目的達成のために時間をかけさせるアーキテクチャ設計が必要です。本インシデントを通して、その重要性を強く認識しました。

　ー逆に「うまくいった」「チームで乗り越えられた」など、達成感のあった経験について教えてください。

標的型攻撃事案においては、標的組織固有のC2サーバーを複数用意したり、エンドポイントの痕跡削除などの解析妨害が行われたりすることで、インシデント封じ込めが困難になることがよくあります。そのような状況下でも、すでに判明している一部のC2通信の特徴を統計的にプロファイルし、同様の特徴を持つ通信先を特定することで、時間のかかるフォレンジックやマルウェア解析の結果を待つことなく、早期に隠れたC2サーバーを特定することに成功することもあります。

また、フォレンジックにおける著名な痕跡は攻撃者も把握しており、前述の通りそれらが削除されることもありますが、削除されずに残った痕跡にも手掛かりとなるものが複数あります。そのような痕跡をトレースすることで、侵入元を特定することに成功した事例もあります。このような成果を得られたときには、専門性を強く発揮できたと達成感を覚えます。

　ー成功の要因は何だったと考えますか？

ばらまき型マルウェアのインシデントでは、いわゆる教科書的な痕跡チェックで事足りることがほとんどですが、解析妨害がなされる標的型事案においては、そうもいきません。そのような困難な事案に備えて、普段からチームであまり知られていない痕跡情報や削除ログ復元方法のリサーチ、そもそものOSの仕組みについて理解を深める努力をしています。このような普段からの準備が成功の要因だと考えています。

　ー正直なところ、現場で「しんどいな」「報われないな」と感じる瞬間はどんな時ですか？

私たちはログを頼りに調査をすることしかできません。そのため十分なログが記録されていない環境では、調査が困難になり、無力感を覚えることがあります。

過去には、ログが不足しているために詳細な原因究明が難しい状況を説明した際、お客様から十分な理解を得られなかったことがありました。対応チームとしては、限られた情報の中で最善を尽くしているため、精神的な負担を感じることがあります。

　ー 顧客企業とのやり取りで「もっとこうだったらスムーズなのに」「理解してもらえず苦労する」と感じる点はありますか？

個人的には、有事の際は、ある程度の誤検知は許容し、一定の危険性があるものはすべて対処していくことが重要だと考えています。

というのも、ネットワークログ解析やフォレンジック解析では、あくまで残っている痕跡の範囲でしか事実は解明できず、消えてしまっている痕跡やそもそも痕跡が残らない事実も多くあります。そのため、様々なログを攻撃技術にも精通した専門家の目で見て、もしかしたらAだけではなくBという攻撃もされているのではないか、と仮説をたてることが必要です。仮説が事実であると判明した場合は、早期に対応できるメリットがあります。

一方で、仮説はその後の調査で否定されることがつきものです。仮説の検証には当然お客様に確認してもらう事項も多いので、仮説が否定されることが続くと、お客様の確認スピードが落ちたり、無視されたりすることもまれにあります。この仮説と検証の重要性について理解してもらうのは難しいですね。有事の際はあらゆる可能性を考慮し、可能性をつぶしていく作業が必要であるということについて、理解していただきたいです。（もちろん、お客様も相当なタスクに追われることになるので、気持ちは理解しています。）

　ー 技術やツールが進化しても、対応が難しいと感じる攻撃の種類や、現在の体制・ツールでの限界を感じる点はありますか？

これまでの記述した通り、標的型攻撃事案においてログ削除を徹底されるとかなり厳しいですのでEDRの導入は必須と言えます。インシデント発覚後にEDRを入れるケースもありますが、その場合すでに攻撃者がドメインの高権限を取得しているため、EDRを導入していない、導入できないホストを把握することができ、EDRが入っていないホストのみを攻めてくるケースもありました。必ず事前にEDRを導入してほしいですが、EDRが導入できない製品もあるので、完全な対策は難しいですね。それでも、EDRが入っていない機器を中心に解析を進めることができるので、導入率が高ければ高いほど、調査はスムーズになると思います。

　ー限られた情報や時間の中で重要な判断を迫られる際、何を拠り所にしていますか？

原則としては、私たちは事実や仮説とその確度をお伝えし、重要な判断はお客様に委ねます。ただし、特に仮説と確度については、専門家としての見解が求められるため、これまでの経験や普段からリサーチしている攻撃事例の情報が拠り所となります。

　ー「本当はもっと時間をかけたいができない」「必要な対策だが受け入れてもらえない」 など、理想と現実のギャップを感じることはありますか？

理想的には、ネットワークアーキテクチャがセキュアに設計されており、あるセグメントでインシデントが発生したとしても、適切なアクセス制御で影響範囲を局所化できることが必要です。これによりインシデント対応が非常に楽になりますし、被害も最小限に抑えることができます。

しかし現実は、いわゆるフルフラットネットワークで、あらゆるセグメントが相互に通信可能な状態になっているケースが多くあります。例えば、一般業務端末が設置されているセグメントから内部サーバーセグメントのSSHやRDPポートに本当にアクセスする必要があるでしょうか。たしかにネットワーク運用/保守の面ではそのほうが楽だというのは理解できますが、侵入を前提としてセキュリティ対策が求められるなか、このようなアクセス制御の不備は、リスクを増大させます。お客様も理解はしているものの、なかなか対応が進まないのが現実ではないでしょうか。

　ー精神的な負担に対し、どのようにストレスを管理したり、モチベーションを維持したりしていますか？

精神的な負担は大きいですが、その分お客様からの感謝も大きいです。濱崎さんのおかげで適切な対応ができました、できればもう会うことがないようにしたいけどね、と冗談を含めつつ、お客様から（時には社長直々に）直接お礼を言われることもあります。企業規模に関わらず、企業は日本を支える一つの要素ですから、企業を支援できることはこのうえない喜びです。また、精神的負担への労いも込めて、高額なトレーニングや海外カンファレンスへの参加など、興味のあることへの支援を行うようにもしています。

　ー最近のサイバー攻撃のトレンドで、特に警戒しているものや、今後脅威になると感じているものはありますか？また、せめてこれだけはやっておいて欲しいと思う対策について教えてください。

ここ数年続いているトレンドですが、VPN機器を侵入経路とした事案が継続して発生しています。リモートから侵入可能なVPN機器の脆弱性も断続的に公開されており、注意が必要です。VPN機器は侵害されることを前提とし、侵害されたとしても影響を一定程度局所化できるような対策を検討していただきたいです。

それから、弊社の事例としては、エンドポイントのマルウェア感染をきっかけとした大規模インシデントは減っています。おそらく、EDRの普及やメールセキュリティの進化により、エンドポイントでの脅威検知率が上がったためだと思われます。その分、VPN機器含むインターネットに公開されたシステムやクラウドが標的とされる傾向があるように感じます。脆弱性管理やクラウドの設定管理には注力していただきたいです。

　ー最後に、これから体制強化を目指す企業に対して、最も伝えたいメッセージがあればお願いいたします。

近年、脆弱性の発見から実際に攻撃され被害にあうまでの時間が短くなっています。特にVPN機器の脆弱性について、公開から数日で被害にあうケースが実際に私たちの複数のお客様で確認されています。一方でVPNへの業務依存度はますます高くなっており、パッチ適用に慎重にならざるを得ないのも事実です。

脆弱性への対応の前に侵害されることを前提として、アクセス制御やログの適切な取得設定、ネットワーク構成図・IPアドレス管理表の最新化などを平時での備えが重要です。インシデント対応にかかるステークホルダーの負担は想像以上に大きいです。

平時での備えは、リスク低減だけでなく、業務継続性の確保、ステークホルダーの心理的安全性、健康の確保などメリットが非常に大きいと言えます。ぜひ、平時での備えに注力していただければと思いますし、平時有事に関わらずお困りのことがあればお声がけいただければと思います。