###### tags: `講義` `enPit` `共同メモ` # 【演習】事故対応(IR) 会社名 : 三ケ日みかんタピオカミルクティー社 会見の名称 ： 社内システムのマルウェア感染インシデント対応の報告 ## 演習(1) 初動対応 現状確保後、外部との通信を遮断した IPAの企業の事後対応集によると「不正プログラムの存在が確認された場合は直ちにシステムの仕様を停止し、システムから不正プログラムの除去などの対応を行う」とあった。また、現状を確保しておくことで今後の調査が容易になるので、現状確保を先に行い、その後外部との通信を遮断した。 ## 演習(2) 原因と影響の調査 原因: 特権アカウントが奪取され、その権限を悪用され、遠隔操作マルウエア感染、さらにそこからインシデント拡大。誰の特権かと調べたら、なんと社内CSIRTメンバーだった。 影響: 本社オフィスフロアのPC6台、コールセンターのPC2台が感染した。その対応のため、コールセンター業務が約5時間停止した。その他の被害は確認されていない。業務停止は店舗にも影響し、顧客から「アクセスできない」「商品が届かない」などの問い合わせや苦情が、計1,500件に上った。 //追加 社内CSIRTメンバーのうち、リサーチャーと呼ばれる脅威動向や脆弱性に関する調査を行う役割の者が、その調査中に感染目的で仕掛けられたリンクを踏んだことにより感染しています。リサーチャーの役割のアカウントの方は、社内ネットワークに関するroot権限を持っています。その特権を奪取・悪用され、社内に感染を広げられています まとめ: 社内CSIRTメンバーのリサーチャー(※)が、調査中に悪意のあるリンクにアクセスしたためにマルウェアに感染した。リサーチャーのアカウントは社内ネットワークに関するroot権限を持っていたため、この特権を奪取・悪用され、本社オフィスフロアのPC6台、コールセンターのPC2台にマルウェアを感染させられる事態となった。 この対応のため、コールセンター業務が約5時間停止した。業務停止は店舗にも影響し、顧客から「アクセスできない」「商品が届かない」などの問い合わせや苦情が多数寄せられた。 ※脅威動向や脆弱性に関する調査を行う役割の者 ## 演習(3) 再発防止策 再発防止策の優先度を、実施の容易さ、対策の有効度の二点の観点から優先度の高いものの順に記載する。 - コールセンターと本社オフィスフロアのネットワークと分断する - root権限持ってるやつが暴走しちゃってるのであまり意味なさそう - root権限を持つアカウントがリンク踏むな！ <- 言語化もとむ - セキュリティ講習はちゃんと受けていたとあるけど、真面目に聞いてたのか、という感じですね - eラーニングシステムによる講習を受けたという回答があるので、テストなどの内容理解の確認は行われていた？ - root権限を持つアカウントと調査用アカウントを分割した方が 補足で、リサーチャーは調査活動においてWebにアクセスしたことは適切ではないという回答をしているそうです <- 再発防止策になんらか盛り込んだほうがよさそう 調査でWebにアクセスする際は広告として掲載されているリンクにアクセスしないなどの規則があればよかった...ということだそうですが - リサーチャーの調査活動においてアクセス範囲を限定する規則を作成する - マルウェアインシデント発生時の手順書の作成 - これは重要 - ウイルス対策ソフトの複数導入 - これは効果あるんでしょうか? - ソフトによって検出できる・できないがあると思います。実際、調査会社は検出できて、自社内ではできなかった。 - これはある - ただ複数導入すると競合したりしてPC自体の使用に問題が出るかもしれないので、あまり現実的ではないかもしれない - - 一定期間を持ってroot権限の効力を失わせて、利用できなくする - 定期的なroot権限の見直し ですかね - セキュリティ対策部であるCSIRTができた直後だったため、手順書等の準備に不備があった。今後同じような被害がないように手順書等の作成を急ぐ。 ## 時系列 - リサーチャーが調査中に感染目的で仕掛けられたリンクを踏んだことにより感染 - リサーチャーは社内ネットワークに対するroot権限を持っていたため、この権限を奪取・悪用され、社内に感染が拡大してしまった - この拡大により、本社オフィスフロアのPC6台、コールセンターのPC2台が感染した。 - 感染対応のため、コールセンター業務が約5時間停止した。この影響は店舗にも及んだ。 - ## 記者会見流れ 会見の名称 ： 社内システムのマルウェア感染インシデント対応の報告 - 自己紹介 - 株式会社三ケ日みかんタピオカミルクティー、CSIRT、CSOの佐藤です。 - 技術部長の渡邊です。 - 情報セキュリティ部長の天笠です。 - システム管理責任者のぽっぽろぽーで～す。(実は、私の名前は　オザワナナミ　といいます) 進行：佐藤 インシデント概要と初動対応について佐藤が話す 現在社内システムの問題は解消されておりますが、業務停止中の取引に関する商品が届かないなど、一部のお客様の皆さんにご迷惑をおかけしております。 謝罪(みんなで頭を下げよう) 天笠より、調査会社へ依頼を行った結果を時系列に沿って報告させていただきます。 天笠 - 不正アクセスに対しての時系列に沿った報告 - 2099年 13月 20日(これ俺がいうの はい - 脅威動向や脆弱性に関する調査を行う役割の者であるリサーチャーが調査中に感染目的で仕掛けられたリンクに誤ってアクセスし、遠隔操作マルウェアに感染 - 遠隔操作マルウェアによってroot権限を奪取するマルウェアをダウンロードされた - リサーチャーは社内ネットワークに対するroot権限を持っており、この権限を奪取・悪用され、社内の他PCにマルウェアを感染させられてしまった - 結果として本社オフィスフロアのPC6台、コールセンターのPC2台が感染した。 - JPCERT/CC(ジェーピーサート/シーシー)から、弊社から不審な通信が多数発生している旨の連絡を受けた - 初動対応として、今後の捜査のため現状の確保を行い、その後すぐに外部との通信を遮断した。 - 感染PCの隔離、マルウェアの停止を行った。 - これらの対応を行うに際して、コールセンター責任者の判断によりコールセンター業務が約5時間停止した。 - 調査会社に調査を依頼、本日に至る 佐藤 - 被害に関する現時点で発覚している報告 - 迅速な初動対応により、重要情報の漏洩は起こらなかった - コールセンター業務停止により、顧客から、アクセスできない、商品が届かないなどの報告が計1,500件 - 現状では遠隔操作マルウェアの駆除が確認されており、今後運営を再開させていく予定 ここでもう一度謝罪(ちゃんと誠意を見せよう) ぽっぽろぽ～(わかりまちたぁ) - 再発防止策 - セキュリティ対策部であるCSIRTができた直後だったため、インシデント発生時の手順書等の準備に不備があった。今後同じような被害がないように手順書等の作成を急ぐ - 今後のインシデント発生には、CSIRTを頂点とするトップダウン型の指揮系統により、迅速で統一された対応を行えるようにする - コールセンター責任者が独自に業務を停止させていたことに対する反省 - 社員のセキュリティ研修を徹底して行いたいと思います。 - リサーチャーが仕掛けられたリンクを踏んでしまったことに対する反省 株主様へのお話 質疑応答：渡邊 この5時間の間に、マルウエア感染の初動対応、及び停止したコールセンターのシステムや業務の再稼働・再開、そのための確認等をしております。 なお、コールセンターのシステムと業務はマルウエア感染自体で停止したものではなく、コールセンターの責任者が自分の判断で停止させたものであることを補足させていただきます。 ## FAQ - <回答済>「特権アカウントが奪取され……」というのは「『社内CSIRTメンバーの特権アカウントが、社外の何者かに奪取されるインシデント』が発生し、さらに『特権を悪用されて遠隔操作マルウェアに感染してしまう』という新たなインシデントが発生してしまった」という認識で良いのでしょうか？ - リサーチャー(脅威動向や脆弱性に関する調査を行う係)が調査中に感染目的で仕掛けられたリンクを踏んだことにより感染 - リサーチャーは社内ネットに対するroot権限を持ち、この権限を奪取・悪用され、社内に感染を広げられてしまった - <回答済>社内メンバーの特権アカウントはどのような手法で奪取されたのでしょうか？ - 感染目的のリンクを踏んだことにより感染 - <回答済>特権が奪取されたアカウントが持つ権限の範囲を明確に知りたい - 社内ネットワークに対するroot権限 - <回答済>社内のPCはマルウェアの感染を防ぐために適切な対策が取られていたか(ウイルス対策ソフトウェアの導入、OSやブラウザなどの定期的なアップデート) - セキュリティソフトの導入やアップデートは適切に行われていましたが、今回のマルウエアでは残念ながら検知していませんでした。 - <回答済>リサーチャーの役割は「脅威動向や脆弱性に関する調査を行う係」とあるが、これは「世間でどういう脅威や脆弱性が悪用されているか」を調査するだけなのか、それとも「社内システムがこれらの脅威や脆弱性を持っているか」までを調べるものなのか(もし前者しかやらないならroot権限は必要ないので) - ご質問の中の後者の業務もしております。今回は、その後者の調査中にアクセスしたサイトで感染しております。 - <回答済>具体的にどのように悪用されていたのか - マルウエアは情報窃取の試み（外部への送信）が確認されていますが、初動対応が迅速だったため、その後のマルウエアの活動は止めており、重要情報の窃取はされておりません。 - <回答済>やらかしたリサーチャーさんは悪い人ですか？(意図的にそのリンクを踏みましたか？) - 調査会社としては、リサーチャーが内部犯行としてマルウエアを拡散させた可能性は極めて低いと判断しております。アクセス履歴や、サイトの遷移等を確認した限り、通常の調査活動でのアクセスであり、その中にあったリンクから悪質サイトへ偶発的にアクセスし、過失により感染した、という報告をさせていただきました。 - <N/A> この会社はWindows8.1をつかっているけれども、それって大丈夫なんですか？(延長サポートで2023年までサポートあるのだ) - extended supportを契約していたかが争点ですね - アップデートは適切に行われていたとのことなので、おそらく契約していたっぽい？ - <回答済>(CSIRTメンバに限らず)社員はセキュリティに関する適切な研修を受けていたか - CSIRTメンバーは、社内の一般的なIT研修とセキュリティ研修（全社員受講、外部会社サービスのeラーニング）を受講している他、外部のネットワーク、クラウド、セキュリティ運用に関する技術的講習を受講させております。その他、CSIRT関連の団体（CSIRT協議会）のワークショップや研修に参加させています。 - <回答済>そういえば侵入者に奪われたroot権限はそのまま？ - 感染した端末の封じ込め、マルウエアの活動の停止をしております。翌日から外部会社によるインシデントの詳細調査が2日間実施され、その報告を本日（つまり、今日は感染から4日後）受けております。　 - 「……感染した。その対応のため、コールセンター業務が約5時間停止した」とあるが、具体的にどんな対応を行なったのか ## チャット欄 今回は、お問い合わせの中の後者により権限が奪取され、悪用されております。 まず、遠隔操作マルウエアに感染し、その遠隔操作によって別のマルウエア(権限を奪取する、いわゆるrootkit的なもの）がダウンロードされ、権限が悪用されたという順になります。 - １時間切ってしまったのでそろそろまとめますか？ - はい！ - 対策埋めてみます - リサーチャーの権限を複数人に分割した方がいいな…… - 社外の動向調査まではroot権限なくてもできるので 感染を確認できた以上、ウイルス対策ソフトウェア自体は入ってたのかな…… root権限が奪取されたのちウイルス対策ソフトをある程度無効化することはできたのかしら...? 「その他の被害は確認されていない」とあるので、情報漏洩などはなかったということですね Slackでも質問できるならそっちのが気軽ね…… *@各位 初動対応はこれでいいですか？* 理由も欲しいですね 上みっつききます :bow: おねえさんでしたっけ.... 危機管理だとメール調で質問する必要あったけどこの人はどっちなんだろう.... ダメだったら消滅します * * これってなにするんですか **強調** *斜体* 特権アカウントが奪取された原因までは調査されてるんですかねー？ ^ 奪取の手法を聞けばそこもわかるかと ぴえん... 原因その4に関して質問があります。 ・「特権アカウントが奪取され……」というのは「『社内CSIRTメンバーの特権アカウントが、社外の何者かに奪取されるインシデント』が発生し、さらに『特権を悪用されて遠隔操作マルウェアに感染してしまう』という新たなインシデントが発生してしまった」という認識で良いのでしょうか？ ・社内メンバーの特権アカウントはどのような手法で奪取されたのでしょうか？ ・特権が奪取されたアカウントが持つ権限の範囲を明確に教えてください ## ぽっぽろぽーの特権アカウントについてのメモ 特権アカウント:スーパーユーザーを指すことが多い。システム管理者がシステム運用を行う際に利用するアカウントであり、DBの管理やマスタデータの変更等を行える。 不正利用されると個人情報や機密データの漏えいの原因となる。 ## 特権アカウント管理システムについて 特権アカウント不正利用のリスクを低減させるシステム。 情報漏えい事件の原因は不正アクセスばかりではなく、悪意を持った特権アカウントを持った社員というケースもある。 したがって企業は外部からの攻撃だけでなく、内部(社内)からの不正にも備える必要がある。 →特権アカウント管理システムが必須のセキュリティ対策製品 ## 特権アカウント管理不足による情報漏えいの原因 * 特権アカウントを利用するための申請・承認手続きの不備 特権アカウントはシステム管理やメンテナンスに携わる複数のスタッフが所持している事がある。 場合によっては外部企業の社員がもってることもある。(システム管理を委託しているから) 複数のユーザーがいつでもログインできる状況にあるが、特権アカウントを利用する際の申請や承認がきちんと行われていないケースがある。 だから、悪意を持った特権アカウントの利用を防げない。その足跡を追いかけることができないから、原因及び犯人が誰かわからなくなる。 * 特権アカウントの定期的な棚卸し作業の不備 特権アカウントを持っていないスタッフに一時的に特権アカウントを貸しだすことがある(特権アカウントを持っていないスタッフがメンテナンス作業の担当をすることになっただとか) そうすると作業終了後にパスワードを変更する必要があるが、パスワードを変更しないままにする人もいる。そうするとログインできてしまう状況になる。 また、特権アカウントをもっていた社員が異動や退職したときも特権アカウントを削除しなければならない。しかしこれを放置するケースもある。その場合には外部の第三者が特権アカウントを所持していることになってしまう。 ## 特権アカウント管理を適切に行う方法 * 申請者と承認者を分けたワークフローを構築する 特権アカウントを使用するときにはいつ、なんのためにという点を明確にして申請を行う 承認されなければ使用することができない仕組みとする このようにして申請者と承認者を分けることで個人の裁量で特権アカウントを使わせなくする * 他のセキュリティシステムと組み合わせる 【1】アクセス制御 　　使用権限がなくなった社員による不正アクセスを排除するには、サーバやシステムへのアクセス自体を制御するという対策が有効 【2】監査ログの記録 「ログを取っている」と知らしめることで、不正を行わせない抑止力という効果 「いつ」「だれが」「何をした」ということが明確に記録されることです。 共有の特権アカウントは、誰が利用しているかがわからない弱点があるが、個人単位でIDに権限を付与することは、内部統制の観点からも重要。 【3】パスワード 同じパスワードを使い続けているのは、セキュリティのリスクは高まる。 頻繁にパスワードを変更するルールを作ることは、退職者や外部スタッフからの情報漏洩リスクにも有効な手法 ## 特権管理システムの機能 * 人力でやらなくていいね！(機能じゃなくてメリット) * 申請承認機能 特権アカウントを利用する際の申請と承認をする 申請…時間と目的を明確にしないと申請できない 承認…承認されないとログインできない 申請者と承認者は必ず違う人でないといけない * ログ記録機能 申請・承認のログとアクセスログを記録・照合し、「いつ」「だれが」「何をした」という動きを可視化 特権IDの不正利用を防止と内部統制監査報告の効率化ができる * ID管理機能 　 申請管理機能と連携し「承認」に基づいてのみ特権アカウントを発行 セキュリティ強化のため、発行から一定時間が経過した特権ID効力を失い、利用ができなくなる。 また、パスワードの定期的な変更や、貸出、回収も自動的に行われる。この機能により、削除やパスワードの変更を忘れたことで発生する、特権アカウントの不正利用を回避することができる 引用したサイト 特権ID管理とは？必要性・情報漏えいの原因・対策を基本から解説！、ITトレンド、最終閲覧日2020年9月24日 https://it-trend.jp/privileged-id-management/article/currentevent # 天笠のメモ 『マルウェアによるインシデント防止と対応のためのガイド』の概要のまとめと、私なりの意見を置いておきます。 https://www.ipa.go.jp/files/000025349.pdf ## マルウェア対策の推奨事項 * 組織のポリシーがマルウェアインシデント防止に寄与することを確かなものにすること。 * マルウェア防止活動を一貫性を保ちながら効果的に実施するために、ユーザやITスタッフの意識向上、脆弱性の軽減、セキュリティツールの導入と設定といった、マルウェア防止について考慮しなければならない事項を明確に規定するべき。 * 組織は意識向上プログラムにマルウェアインシデントの防止と対応に関する項目を組み入れるべき。 * マルウェアの拡散のしかた、マルウェアがもたらすリスク、すべての インシデントを技術的に防止するのは不可能であること、および、インシデント防止におけるユーザ の重要性を、すべてのユーザに意識させる。 * 組織はマルウェアインシデント防止を助ける脆弱性軽減能力をつけるべきである。 * 組織は、マルウェアに悪用される可能性のある、オペレーティングシステムやアプリケーションの脆 弱性を軽減するためのポリシー、プロセス、および手続きを文書化するべきである。 * 組織はマルウェアインシデントの封じ込めを助ける脅威軽減能力を持つべきである。 * 組織は、マルウェアがターゲットに対して影響を与える前にマルウェアを検出して阻止できるように、 脅威を軽減するための作業(ウイルス対策ソフトウェアの導入)を実施するべきである。 * 組織はマルウェアインシデント対応のための堅牢なインシデント対応手続きに関する能力をつけるべきである。 * インシデント対応手続きには、「準備」、 「検知と分析」、「封じ込め／根絶／復旧」、「インシデント発生後の活動」の、4 つの主要なフェーズ がある。 ## インシデント対応手続き * 準備 * マルウェア専用のインシデント対応ポリシーおよび手続きを作成する。 * マルウェアに関するトレーニングや訓練を定期的に実施する。 * 組織のマルウェアインシデント対応を調整する責任を負う数人の個人または少人数のチー ムを事前に編成する。 * 有害事象発生時に、インシデント対応担当者、技術スタッフ、管理者層、およびユーザの間 で調整作業を維持できるように、いくつかの意思伝達メカニズムを設ける。 * 検知と分析 ←この項目は調査会社に委託しているのでいらない？ * 技術的な管理策（ウイルス対策ソフトウェア、スパイウェア検出／駆除ユーティリティ、侵入 検知システムなど）により生成される、マルウェアに関する注意や警告を監視し、発生する 可能性のあるマルウェアインシデントを識別する。 * ユーザの報告、IT スタッフの報告、技術的な管理策などの主要な情報源から得られる、マ ルウェアインシデントに関するデータをレビューし、マルウェアに関連する活動を識別する。 * マルウェアの識別、現在実行中のプロセスの列挙やその他の分析処理を実行するための 最新のツール類を収めた信頼のおけるツールキットを、リムーバブルメディア上に構築する。 * マルウェアに関連する各種のインシデントに対する適切な対処レベルを明確にする、一連 の優先順位付けの条件を設ける。 * 封じ込め * 感染を識別する方法、システムが感染した場合に取るべき措置を示した手順をユーザに提供しておくと役立つ可能性がある。 * 複数のセキュリティーツールを使用して封じ込めるよう準備する * 未知のマルウェアのコピーをセキュリティソフトウェアのベンダに送付して分析して網羅謡性を整えておく。 * マルウェアが使用している電子メールなどのサービスを停止・遮断できるよう準備する。 * インターネットへのアクセスを中断 する、システムをネットワークから物理的に切り離すなど、ネットワーク接続に一時的に制 限をかけられるようにしておくべきであるが、このような制限によって組織の機能が受ける 可能性がある影響について認識しておく必要がある。 * 復旧 * 被害を受けたシステムを一から構築し直すのか、それとも既知の正常なバックアップから再構築するのかを含む復旧方法を決定する。 * 感染 したシステムや感染する可能性のあるシステムの推定数が十分少なくなり、以降のインシデントによる影響がほとんどないと判断されるまで、封じ込めのための対策を維持するよう 努めるべき * インシデント発生後の活動 * 大規模なマルウェアインシデントが発生したあとに得られた教訓につ いて、しっかりとした評価を行い、同様のインシデントの再発を防ぐことが特に重要である。 * セキ ュリティポリシーやソフトウェアの設定、マルウェア検出／防止ソフトウェアの導入に対する 必要な変更点が明確になる。 ## 演習(1)初動対応 顧客に対する影響は現状そこまで大きくない気がしますし、外部との通信の遮断ではなく、感染が発覚した本社オフィスフロアのPC6台、コールセンターのPC2台のネットワークからの遮断でいいのかなあと思いました。 ## 演習(3)対策の改善(再発防止) 概要のまとめから抜粋しておきます。 * ポリシーにマルウェア対策に関する記述を盛り込む * 意識向上プログラム(社内教育)にマルウェア対策に関する項目を盛り込む * 脆弱性を軽減するためのプロセス、手続きを文書化する * ウイルス対策ソフトウェアの導入 * マルウェア対策班の編成 * 感染を識別する方法、システムが感染した場合に取るべき措置を示した手順をユーザに提供する * インシデントの評価を行う * ソフトウェアの設定など必要な変更点を明確にする