インシデント発生時の証跡収集はどうすべき?【無償ツールの紹介あり】

EDR が不正アクセスを検知した!
不審で身に覚えの無いファイルが見つかった!

このような事象が発生した場合、一刻も早く原因を調査し、対応しなければいけません。このことは、ほとんどの方が認識しておられると思います。ですが、どのように対応すればよいのか、具体的なステップを回答できる方はどのくらいいらっしゃるでしょうか?

今回のブログでは対応ステップとして、まず最初に行う証跡収集についてお話します。
簡単に利用できる無償の証跡収集ツールを紹介しますので、参考にしていただけると嬉しいです。

目次

インシデント発生時の証跡収集とは?

インシデント発生時には、証跡収集が非常に重要です。

なぜ重要かというと、

  • 証跡を収集しないと、侵入経路や侵入日時などが確認できない
  • 証跡を適切に収集しないと、正確な情報が得られない可能性がある
  • 上記理由から事件解決が困難になる可能性がある

といった理由からです。

ではどのように収集すればよいでしょうか?
まず、取得対象としては以下の2つがあります。

  1. データの取得
    関連するデータを収集します。データには、コンピューターやネットワークのログ、メール、文書、画像などが含まれます。インシデントの種類や状況に応じて、どのようなデータを収集するかを決定します。例えば、不正アクセスが行われた場合には、不正アクセスが行われた日時やアクセス元IPアドレス、アクセスされたファイル名などを収集する必要があります。また、ウイルス感染が疑われる場合には、感染した端末やファイル、感染元のメールなどを収集する必要があります。
  2. 記録の取得
    データ以外にもう一つとても重要なのは、対応に関する記録を取ることです。発生した日時、場所、関係者、どのような事象がありその事象に気づいたのかという情報です。そして、事象への対応を何か実施した場合は、その対応日時、対応内容についても記録します。対応内容により、証跡が書き換わる可能性があるため、対応内容を細かく正確に記録することはとても重要です。

では次に、上記1の、データ収集に関して、どのように行うべきでしょうか。専門ベンダーの支援を得る以外に、収集ツールを使って自社で行う方法があります。

無償で証拠収集できるツール【2選】~ツール利用の留意点も紹介~

誰でも簡単に利用できる証跡収集ツールがあると非常に便利ですよね。今回は無償で利用できる証拠収集ツールを2つご紹介します。

証跡収集ツール利用にあたって留意すべきこと

先に証跡収集ツールを利用する際の留意事項からお伝えします。

収集ツールを用いる方法は、専門ベンダーが行う証跡収集とは異なる点をあらかじめご理解ください。専門ベンダーが本格的に調査を行う場合、端末からイメージディスクをコピーし、端末全体からデータを収集し調査する方法(ディスクフォレンジック)が一般的です。イメージディスクをまるまる収集するため、収集対象が膨大であり、これをもとに調査を行うには専門的な知識が必要です。

それに対し、今回紹介するのは、データの部分部分を抜き出す方法となります。ピンポイントでデータを収集し調査することで、短時間での原因特定が可能となる場合があるのがメリットです。他方デメリットとしては、ツールを実行するということは、ツール実行という痕跡を残すことになる点です。このような特性を理解し、利用する、しないの判断を行うことが重要です。

では具体的なツールを紹介していきます。

CDIR-C(Cyber Defense Institute Incident Response Collector)

CDIR-C は、株式会社サイバーディフェンス研究所が提供する証跡収集用の無償ツールです。実行ファイルを実行するだけでデータを収集することができます。設定ファイル(cdir.ini)を調整することで、データ毎に収集の有無を設定できたり、収集したデータの出力先を指定したりすることが可能です。

ダウンロードができたら、

  1. 【 cdir-collector.exe 】を実行します。
  1. ディレクトリが作成され、収集したデータがまとめられます。

使用手順は以上です。

Magnet RESPONSE

Magnet RESPONSE は、Magnet Forensics 社が提供する証跡収集用の無償ツールです。CDIR-C と異なる点は、ツールを実行すると設定画面が表示され、細かな設定をする必要があることです。セキュリティや IT に詳しくないユーザーはハードルが高いと思ってしまうかもしれません。そのようなユーザー向けに、実行ファイルの名前を “AutoCapture.exe” に変更して実行することで、設定画面を表示せず、自動的にすべてのデータを収集することができます。

ダウンロードができたら、

  1. 【 MagnetRESPONSE.exe 】を実行します。上述の設定画面を表示させずに収集を行いたい場合は、【  MagnetRESPONSE.exe 】を【 AutoCapture.exe 】に変更し、実行します。
  1. 規約を確認して「 Agree and Continue 」ボタンをクリックします。
  2. ディレクトリが作成され、収集したデータがまとめられます。

使用手順は以上です。

これら、2つのツールの違いはいくつかありますが、大きな点としては、収集できる情報が異なる点です。どちらも重要な情報は収集できるのですが、細かな情報がツールによって異なります。以下に収集対象の情報がありますので、もしご興味があれば、それぞれ参照してみてください。

証跡収集は専門家に任せるべき?

さて、証跡収集ですが、自社でツールを用いて証跡収集を行うべきか、あるいは専門ベンダーに依頼するべきか。

コストやスケジュールとの兼ね合いで、自社で証跡収集を行う選択肢があるでしょう。少しでもコストを削減するため、あるいは、依頼先ベンダーを確保するまでに、問い合わせや契約などでスケジュール調整が必要となるため、初動対応として証跡収集だけでも自社で進めておきたいケースがあげられます。

メリットとデメリットを把握した上で、ご判断いただき、あらかじめ対応方針を定めておいていただくのがよいのではないでしょうか。以下にメリット・デメリットをまとめます。

メリット・デメリットまとめ

【自社で証拠収集を行うメリット】

  • ベンダーに依頼するまでのタイムラグがないため、調査に重要な痕跡等の損失が軽減できる可能性がある

【自社で証拠収集を行うデメリット】

  • ツールの実行は証跡に痕跡を残すことになるため、慎重に操作する必要がある
  • 収集対象や収集作業を自社で判断する必要があり、専門的な知識が不足していることによるミスが生じる可能性がある

【専門ベンダーに証拠収集を依頼するメリット】

  • 専門ベンダーに作業を依頼することで、正確な証跡収集作業を実施できる

【専門ベンダーに証拠収集を依頼するデメリット】

  • 専門ベンダーに依頼するまでに時間を要してしまい、調査開始までに被害が拡大する可能性がある

デジタルフォレンジック事前調査サービスがおすすめ!

有事の際に相談できる専門ベンダーをあらかじめ確保しておくことで、外注する場合のタイムラグを軽減することができます。そのようなニーズに対応するサービスとして、弊社ではデジタルフォレンジック事前調査サービスを提供しています。

本サービスは、弊社がお客様環境についてあらかじめヒアリングさせていただき、状況をまとめておくサービスです。これにより、インシデント発生時の打ち合わせを軽減し、調査開始までの時間を短縮することができます!今なら、サービスをご契約いただいた方に、24時間分のセキュリティアドバイザリーサービスをプレゼントしていて大変お得です。インシデント対策として、ぜひデジタルフォレンジック事前調査サービスをご検討ください。

セキュリティに関するちょっとしたお悩みごとはございませんか?
無料相談も承りますので、ぜひお気軽にお問い合わせください。

著者:大西 翔太
セキュリティコンサルタント、企業様向けのセキュリティ製品導入サポート、
インシデント対応などにより企業のセキュリティ対策をご支援した実績多数あり。
情報処理安全確保支援士、CASP+、AWS Certified Security – Specialty、など資格も多数保有。

  • URLをコピーしました!
目次