新年のご挨拶
明けましておめでとうございます。
令和5年(2023年)もよろしくお願い申し上げます。
さて、普通であればここで今年のサイバー空間における脅威の見通しなどをお話すべきところですが、あいにく私にはそのような見識がなく、適当な予想を並べ立てたところで皆さまのお役に立てるわけでもありませんので、唐突ではありますが本年の抱負を述べることといたします。
令和5年におけるデジ鑑研代表中村の抱負
「メモリーダンプが当たり前の世の中にしたい」
昨年は、ことあるごとに「サイバー被害三則」を訴えてきました。
【サイバー被害三則】
「触るな」(むやみに操作しない)
「落とすな」(電源を落とさない、再起動しない)
「動かすな」(アプリを使わない)
サイバー攻撃被害に遭ったとき、皆さまはどうしますか?
“ネットワークから切り離して強制終了させる”
ほとんどの人がこうお答えになると思います。
一昔前までであれば、これが正しい対応でした。
今でも決して間違いではありません。
会社や学校などでこのような指導を受けている方も多いかと思います。
「強制終了させる」という対応ですが、実は、「本当はやりたくないがやむを得ず行っていた」ものなのです。
どういうことでしょうか。
コンピューターが持っている情報には二つの種類があります。
・不揮発性情報
・揮発性情報
この二つです。
不揮発性情報というのは、コンピューターが停止しても消えることがないものをいいます。例を挙げるとハードディスクやSSDなどがあります。
これに対して揮発性情報は、コンピューターが停止すると同時に消えてなくなるものです。代表的なものはRAM(一般的に「メモリー」と呼ばれているもの)です。
コンピューターがサイバー攻撃を受けると、その痕跡が残ります。
痕跡は、不揮発性情報と揮発性情報のどちらにもあります。
では、どちらがより重要な情報でしょうか。
答えは「揮発性情報」です。
説明のためにコンピューターを人間に例えてみましょう。
起動中のコンピューターは、生きている人間です。
シャットダウン(停止)させたコンピューターは、いわば死体です。
従来のサイバー攻撃被害調査は、死体を相手にした司法解剖のようなものでした。
被害者は、どこから刺されて、どの臓器が損傷して致命傷は何かといったことは司法解剖で詳しく調べることができます。
しかし、被害者に質問を投げかけても答えてはくれません。
それもそのはず、死んでいるのですから。
被害者が生きている状態なら、犯人に関すること、被害に遭う前後のこと、被害の状況などを聞き取ることができます。
もしかしたら、犯人がどこから来てどちらに逃げて行ったのか、さらには犯人の名前や住所などを知っているかもしれません。
これらのことを被害者(コンピューター)から聞き取るのがメモリーフォレンジックで、そのための証拠保全がメモリーダンプという作業です。
これだけ重要な情報が得られるメモリーフォレンジックを行わず、不揮発性情報に対する調査しか行ってこなかったのはなぜでしょうか。
端的に言ってしまうと「メモリー解析技術が未開発だった」からです。
メモリーフォレンジックの重要性は認識されていたものの、それを実現できる技術やツールが開発されていなかったのです。
そのため、やむを得ず強制終了という手段を推奨していたというわけです。
現在は、メモリー解析技術が開発され、優秀なツールも提供されています。
このような状況の変化がありましたので、それに伴って被害時の対応も変えていただく必要があります。
コンピューターを強制終了させてディスクに対する解析のみを行う調査のやり方をENISA(欧州ネットワーク情報セキュリティ機関)は、同機関が発行するデジタルフォレンジック学習用教材の中で「The old-school method」と言ってバカにしています。
世界はとっくにメモリーフォレンジックが主流になっています。
日本だけがこの流れから取り残されている状況を脱しなければなりません。
サイバー被害に遭ったら
・電源を切らずにネットワークから切り離す
・関係官庁、機関に対する報告/届出を行う
・専門家に証拠保全と調査の依頼を行う
この3つをぜひ実行してください。
生きた状態のコンピューターから事情聴取することが当たり前の世の中になるよう、当社は全国どこへでも駆け付けます。
サイバー攻撃を完全に防ぐことは困難です。
「いつやられるか」という時間的な違いだと考えてください。
攻撃を受けてもすぐに立ち直り、へこたれない社会を作ろうではありませんか。
令和5年をメモリーダンプ元年にしましょう。