いつもどおりに出勤すると、社内ネットワークの複数端末に異常な接続が起きているとの連絡を情報システム部門から受けたり、悪意あるプログラムによる侵入が疑われているなど、今や珍しくない状況でしょう。ましてやランサムウェアが猛威を振るっている今の情勢では、必ずや専門的なセキュリティメンバーに社内端末の調査と点検命令が下されます。ではどのように調査すべきでしょうか。
有用な調査情報を収集する
調査を行う前にはまず有用な情報を収集して、調査範囲を絞り込みます。情報システム部門がファイアウォールのログから異常を確認したら、まずはそのログを取得して疑わしい端末を絞り込みます。
調査ツールの選択
ファイアウォールのようなネットワークセキュリティデバイスは基本的には接続活動しか記録されず、それ以外の操作ログはゲート側で調査に使える情報は限られています。そのため、調査ツールは過去から現在まで、端末のすべての動作ログを記録できるものを選択すべきです。ネットワーク接続、ウェブ閲覧、ファイル転送、アプリケーションの動作などすべての記録が必要になるので、各端末にインストールされるようなセキュリティ制御ソフトウェアが理想です。具体例としてはアンチウイルスソフトやエンドポイントセキュリティソフトウェアなどがあります。
調査手順
通常業務運用の中で、いくつかの要素を考慮できます。
- 異常な時間帯でネットワークトラフィックが起きている場合:例えば終業時間、出社時間前など、またはユーザが端末にログインしていないにも関わらず端末にネットワーク接続が頻繁に起きているなど。
- 行動パターンが決まっている動作:例えば定期的に特定の目的地に特定なポートで送信したり、特定拡張子のファイルを開くなど。
- 外部IPや内部の特定ネットワークセクションにスキャン、探索が行われている。
- 異なる端末で同じターゲットに対して動作が検知された場合、悪意のあるプログラムの感染により、USBやマイネットワークから感染が拡大したのち、同じホストに報告が送信されている可能性がある。
- 排除したIPとアドレスが普段誰もが使っているポータルサイトであることもある。
APTの問題はまず除外しましょう。その特徴、数、規律、特定ターゲットなど要素の関連性が極めて低いです。まずはアドレス接続のランキングから疑わしいターゲットを探して、著名な大手サイトを除外したあとのリストを点検します。
- 当該ホストがネットワーク上で討論され、アンチウイルス、アンチハックなどセキュリティ通報情報関連コラム、ニュースサイトで言及されているか。
- 当該サイトのIP、所属国/地域等を確認する。
- ハイリスクエリアの中東、北朝鮮、中国などを注意する。
- VirusTotalなどのサイトで当該サイトが悪意プログラムの中継ポイントかを調べる。
TSFによるブロックと調査補助
これらの調査で疑わしいサイトを確認したあと、TSFのコンソール(W-Console/X-Console)で社内端末での当該サイトの接続ログを調べます。TSFの「ウェブ閲覧ログ」にはユーザのウェブ閲覧、クラウドHDD使用ログ、SSL接続プログラムの活動ログ、ソフトウェアの自動ネットワーク接続ログ、アンチウイルスソフトの更新、各種ブラウザプラグインの接続活動ログが記録されます。特に「クラウド制御」はポリシー設定により、アドレス、プログラムのブラック∕ホワイトリストリスト (二者択一)、IPのホワイトリストログがあります。
ウェブ閲覧ログには以下13種類のタイプがあります。
- 一般アドレス閲覧ログ
- (許可)一般アドレス許可
- (ブロック)一般アドレス禁止
- (許可)クラウドホワイトリスト内
- (ブロック)クラウドブラックリスト内
- (許可)クラウドブラックリスト外
- (ブロック)クラウドホワイトリスト外
- (許可)クラウドホワイトリスト内アドレス
- (ブロック)クラウドブラックリスト内アドレス
- (許可)クラウドブラックリスト外アドレス
- (ブロック)クラウドホワイトリスト外アドレス
- (許可)ホワイトリスト内IP
- (ブロック)ホワイトリスト外IP
ブラックリスト、ホワイトリストの説明はここでは省きます。[ウェブ閲覧ログ]、[HTTPアップロード操作]、[ユーザの行動]-[ウェブ閲覧ログ]から疑わしいターゲットに接続した端末を調べます。ログからでも逆引きできます。ウェブ閲覧ログをダブルクリックすれば、X-Consoleはデフォルトのブラウザで端末が閲覧したサイトにアクセスします。管理者は簡単にクライアント端末が閲覧したサイトを確認できます。