サイバー被害に遭遇したら電源を落とさないという新常識「サイバー被害三則」の提唱
「触るな」「落とすな」「動かすな」
デジタル鑑識(デジタルフォレンジック)サービスを手掛ける合同会社デジタル鑑識研究所(本社:千葉県松戸市、代表:中村 健児)は、ランサムウェア等のサイバー攻撃被害に遭遇した被害者が自ら被害の証拠を消してしまうことを防ぐための心得「サイバー被害三則」を提唱しています。 この「サイバー被害三則」は、当社代表が警視庁で長年にわたりサイバー犯罪捜査官として数多くの捜査経験を通じて実感してきた証拠保全の重要性とその難しさに基づいています。
提唱の背景
●被害者自ら証拠を消してしまう案件の多さ
ランサムウェアの被害に遭った企業等の組織は「大変だ!」「これ以上被害を拡大させてはならない」「すぐに事業を再開させなければ」といった焦りや不安を感じます。
そのため、被害に遭ったサーバー等の復旧を急ぐ傾向にあり、被害の原因や被害が及ぶ範囲を調査するために必要な証拠となる被害端末にバックアップ等から上書きしてしまう事案を当社の取り扱いでも多数経験しています。
被害端末を上書きしてしまうと、事後調査により侵入経路や被害範囲を特定することが非常に困難になり、場合によっては調査不能となることもあります。
最近でも、ランサムウェアの被害に遭った企業が即日システムを上書きにより復旧してしまったために原因究明ができなくなったといった例が報道されました。
●デジタルフォレンジックの主戦場はハードディスクからメモリー空間へ
これまで、サイバー攻撃に遭ったときにとるべき行動として「ネットワークから切り離して、端末を強制終了させる」といったことが推奨されていました。
この対応は、サイバー攻撃の痕跡の多くがハードディスクという不揮発性の記憶媒体に残っていたこと、メモリーという揮発性の記録に対する解析技術が未発達であったことに基づきます。
しかし、現在は、次のような理由からサイバー被害調査(デジタルフォレンジック)の主戦場がハードディスクからメモリー空間へと移りつつあります。
- メモリーフォレンジックの技術が向上した
- ファイルレスマルウェアといわれる、ハードディスク等に痕跡を残さずメモリー内だけで活動するマルウェアが登場している
- マルウェアがハードディスク等から攻撃の痕跡を消去する活動を行い、事後調査の妨害を図るようになっている
●欧州でも
ランサムウェアで暗号化されたファイルの復号化ツール等を提供している「No More Ransome*」もそのWebサイト内でランサムウェアに感染した場合、次に何をすべきかという指針の筆頭に「有線、無線、携帯電話など、感染した機器の電源を切らずに、すべてのネットワーク接続から直ちに切断します」と述べています。
*No More Ransome:オランダ警察全国ハイテク犯罪ユニット、ヨーロッパ刑事警察機構の欧州サイバー犯罪センター、カスペルスキー、マカフィーが主導するランサムウェア被害防止プロジェクト
また、ENISA(欧州ネットワーク情報セキュリティ機関)発行のデジタルフォレンジック学習用教材では「電源を切り、ハードウェアの書込み禁止装置でディスクイメージを取得するという昔ながらの方法(The old-school method)は、もはや有効な選択肢ではない。最近のマルウェアはメモリ上に存在することが多く、ディスク上に痕跡をほとんど残さないため、システムの電源を切る前にメモリダンプすることが重要である」とも述べています。(ENISA「Forensic analysis Local Incident Response Handbook, Document for teachers」P.2)
●個人情報保護法の改正
2022年4月1日に施行された改正個人情報保護法により、個人情報漏洩の可能性があるインシデントが発生した場合、「速報」と「確報」の2回、個人情報保護委員会への報告が義務付けられました。この報告には、相当程度詳細な事実関係を把握しておく必要があり、外部機関による調査を実施したか否かも含まれています(報告が必要な項目については、同委員会報告フォームをご参照ください。)。
被害端末をすぐに上書きしてしまうと、この報告に必要な外部機関による調査が不能となってしまう場合もあり、個人情報保護委員会への報告に窮することとなります。
サイバー被害三則
上のような背景を踏まえて、企業等の組織がサイバー被害というインシデントに正しく対応し、事後調査に必要となる証拠を保全することができるようにするための行動指針が「サイバー被害三則」です。
「触るな」 「落とすな」 「動かすな」
これらの指針は、デジタルフォレンジックの主戦場がメモリー空間に移っていることから、揮発性であるメモリー内情報を適切に保全するためにも必要なことです。
1 触るな ~被害端末をむやみに触らない
メモリー内の情報は、常に書き換えられています。たとえユーザーが何もしていなくてもパソコンが起動している限り、何らかの情報が上書きされ、古い情報が消去されています。それに加えて、ユーザーによる操作が行われると、より多くのメモリー内情報が書き換えられることとなり、被害時の状況から変化してしまいます。真に必要な操作以外は行わないようにしましょう。
そして、何が「真に必要な操作」か分からないときは、何もしない状態で専門家の協力を要請します。
2 落とすな ~電源を落とさない
メモリー内の情報は揮発性です。端末がシャットダウンするとその瞬間にすべて消えてなくなります。マルウェアがメモリー内だけで活動していた場合、端末をシャットダウンしてしまうと何も痕跡が残っていないという事態にもなりかねません。
3 動かすな ~不必要なアプリケーションを動かさない
アプリケーションの実行は多くのメモリーを消費します。証拠保全に必要なもの以外は起動させないようにしましょう。
システム保守ベンダーとそのお客様にお願いしたいこと
「サイバー攻撃によるシステム停止期間を『ダウンタイム』に含めない」
ランサムウェアをはじめとするサイバー攻撃の被害に遭ったとき「すぐに復旧させなければ」と考えるのは当然のことです。
システムの保守では、システムが何らかの障害により停止した時間(ダウンタイム)は「サービスレベル契約(SLA)」でその上限が決められており、これが守られなかった場合には保守ベンダーに対して利用金額の減額や返金といったペナルティが課せられることが多くあります。
サイバー攻撃によるシステムの停止にSLAを適用すると、ダウンタイムを短くするために証拠保全より復旧を優先することとなってしまいます。
サイバー攻撃によりシステムに生じた障害は、刑法の「電子計算機損壊等業務妨害罪」等に該当する犯罪被害です。被害者が被害の証拠を保全することは正当な行為であり、それに対してSLAを適用するのは妥当ではありません。
あらかじめ「サイバー攻撃による被害の場合は、証拠保全に必要な時間をダウンタイムに含めない」といった合意を形成しておくことにより、被害の証拠保全が行いやすくなります。