後始末

• 調査結果をお客さんに報告

• より詳細な駆除方法等の情報提供

• ログ等の情報から、被害が出た可能性があ る期間、お客さんの特定

– トップページだったため、会員以外が被害にあっ た可能性もある

• 被害にあったお客さんに連絡、対応窓口の 設置、受付体制とフローの整備

– 被害にあったお客さんには、買い物ポイント付与

C 社の被った「損害」

• 営業停止期間の利益機会損失

• 賠償用買い物ポイント

• 詫び状送付関連費用

• 調査人件費

• 被害者対応人件費

• （失った顧客、信用）

「被害者」は誰か？

• C 社は厳しい見方をすればお客さんに 対する「加害加担者」

• 捉え方・組織的対応を誤ると会社が滅 びる

– 「私だって寝ていないんだ」

• わかっている情報を適切に、わからない ことは隠蔽しない

• メディアトレーニング

何がまずかったのか？

• エスカレーションフローが無かったこと

– 誰が判断していいのか、すべきなのか

• ↑ も含めた緊急時対応手順が無かった こと

• 「自サイトが原因でお客さんに被害が発

生してしまうような場合には、エスカレー

ションの上でただちにサービスを停止し

て切り離し、顧客対応と原因調査を実

施する」

要検討事項

• 証拠（原本）を無自覚に「汚染」してしま ったが・・・

– 汚染を避けて「保全」することも考慮する – 「たまたま」原因が推定できたことは単に「

幸運」にすぎない

• 証拠保全 → 専門家の解析という流れ

– 場合によっては警察の手に委ねる

– 自分の「限界」を知る

保全と調査（難易度の見極め）

• ハードディスク（原本）の保全

• メモリ内情報の保全

– ダンプ

– レジストリ

• フォレンジックスによる調査

– 専用ツールによる

ハードディスク調査

予防・検知

• ファイアウォールのルール見直し

• LAN 内の感染活動検知の仕組み導入

– IDS （侵入検知システム）の配備

– 空き IP アドレスでパケットキャプチャ

• コンテンツメンテナンス方法の見直し

• Windows Update （ Microsoft Update ）、

各種プラグイン（ Flash 等）、ウェブブラウ

ザ等のアップデート励行

パケットキャプチャ

IDS （侵入検知システム）の利用

• 24 時間監視サービスの利用

– 「警告」連絡を受けて対応する体制も必要

• 時間限定監視サービス等の利用

• 空き IP アドレスに設置、警告メール送信

• パケットキャプチャデータの解析に利用

– パケット採取ローテーション

– 空き IP の巡回活用

プロセスのスナップショット

Sysinternals の Process Explorer

まとめ

• ウイルス対策ソフトウエアは 100 ％ではない

• 各種プラグインの更新、 Windows の更新も 励行すべき

• 事件発生後の緊急対応手順を準備しておく

– 方針合意としても重要

• ログ取りパケット取りを仕掛けておくと原因 追及に役立つ

– パケットキャプチャ等はお手軽