触るな!
操作しない
落とすな!
電源はそのまま
動かすな!
アプリを起動させない
触るな!
コンピューターが起動している限り、メモリー情報は絶えず書き換えられています。
なにもしなくても、です。
なにもしなくてもメモリー情報が書き換えられているうえ、何か操作をすればそれだけ多くの情報が書き換えられることになります。
これは、空き巣被害に遭った家の戸締まりをやり直したり、家の中を片付けたりしてしまうことと似ています。
落とすな!
起動中のコンピューターの情報はメモリーに記憶されています。
メモリーは暗号化された情報を扱えません。つまり、どんなに巧妙に姿を隠している攻撃者でもメモリーの中では丸裸にならざるを得ないわけです。
ところが、メモリー内の情報は、端末の電源を落とした瞬間に消えてなくなってしまいます。
コンピューターをシャットダウンさせるのは、丸裸で徘徊している攻撃者の姿を消し去ることにほかなりません。
動かすな!
”触るな”の項でも説明したとおり、コンピューターは、起動しているだけで常にメモリーを書き換えています。
それに加えて何か操作をすると多くの命令が実行され、次々とメモリーが書き換えられてしまいます。
被害を確認したときにまずやることは、証拠が残っている状態、つまり電源が入った状態のままネットワークから切り離して被害の拡大を防ぐことです。
もし、インシデントを認知した後に何か操作をしてしまった場合、必ずそれを記録に残してください。
「いつ」「誰が」「何を」「どうした」
これだけでも情報として十分です。忘れずにメモを残してください。