Menu
DTRS RECRUITING SITE
DTRS RECRUITING SITE

プロジェクト紹介

デジタル・フォレンジック技術を活用した
インシデント対応支援プロジェクト

デジタル・フォレンジック技術を
活用したインシデント対応
支援プロジェクト

  • クライアント

    サービス
    事業会社

  • プロジェクト体制

    2名

  • 期 間

    約1ヶ月半

背景・概要

標的型攻撃や内部者による情報漏洩は、防御が困難なインシデントです。そのため、インシデントを発見するための、重要イベントの可視化や継続的なモニタリングが不可欠ですが、発見したインシデントに対応するための体制整備も求められています。インシデントが発覚した際は、正しいプロセスで電子的(デジタル)な証拠を保全し、調査・解析(フォレンジック)を迅速に行うことが重要となります。デジタル・フォレンジック技術を活用したインシデント対応は、次のような効力を発揮します。

  • 不正手法・侵入経路の検出
  • 被害原因の特定
  • 影響範囲の特定
  • 速やかな対策の実施
  • 恒久的対策の立案・実施

我々は、デジタル・フォレンジック技術の知見を活かして、不正アクセスによる情報漏洩の調査を行うことで、クライアントのインシデント対応を支援しました。

課題解決へのアプローチ

インシデント対応は、「初動対応」→「簡易解析」→「詳細解析」という3つのプロセスで進めます。「初動対応」では証拠保全を徹底し、再帰的な解析が可能な状態を確保します。「簡易解析」では、保全したHDD(ハードディスクドライブ)等の記憶媒体から被害状況を調べ上げ、インシデントの概要を特定しました。そして「詳細解析」では、不正プログラムや悪性コード、漏洩データ等の発見困難な被害痕跡を調査しました。各プロセスで実施した詳細な内容は次の通りです。

初動対応

  • 被害状況のヒアリング/ネットワーク及びシステム構成の確認
  • HDD(ハードディスクドライブ)等の記憶媒体の物理的な複製による証拠保全
  • 解析環境へのデータ複製、イメージファイルの変換処理
  • 解析に必要なデータファイルの抽出

簡易解析

  • 現存ファイル及び削除ファイルの調査
  • レジストリ解析、ログ解析
  • 端末利用者/攻撃者が行った操作の調査
  • レジストリ・イベントログから不正プロセスの起動の調査
  • ブラウザ閲覧履歴解析や接続サイトの調査

詳細解析

  • ファイルのタイムスタンプ解析や各種証跡を結合したタイムライン解析
  • レジストリを構成する各ファイルから攻撃の痕跡の調査
  • 物理メモリ情報及び仮想メモリの解析
  • 不正プログラムを実際に動作させることによる動的解析

本プロジェクトによってインシデント発覚後、迅速なインシデント対応が必要とされる中、迅速且つ的確なインシデント対応を実現しました。また、詳細調査後に提出する報告書では恒久的対策に関する提言も行い、クライアントのサイバーセキュリティ体制の強化に寄与しました。

参考 : [サービス]サイバー脅威対応支援

Top