About 事件が起きたのは 2 月 10 日。最新の更新記録だけ が見当たらない?? 3.4 後始末 • 調査結果をお客さんに報告 • より詳細な駆除方法等の情報提供 • ログ等の情報から、被害が出た可能性があ る期間、お客さんの特定 – トップページだったため、会員以外が被害にあっ た可能性もある • 被害にあったお客さんに連絡、対応窓口の 設置、受付体制とフローの整備 – 被害にあったお客さんには、買い物ポイント付与 C 社の被った「損害」 • 営業停止期間の利益機会損失 • 賠償用買い物ポイント • 詫び状送付関連費用 • 調査人件費 • 被害者対応人件費 • (失った顧客、信用) 「被害者」は誰か? • C 社は厳しい見方をすればお客さんに 対する「加害加担者」 • 捉え方・組織的対応を誤ると会社が滅 びる – 「私だって寝ていないんだ」 • わかっている情報を適切に、わからない ことは隠蔽しない • メディアトレーニング 何がまずかったのか? • エスカレーションフローが無かったこと – 誰が判断していいのか、すべきなのか • ↑ も含めた緊急時対応手順が無かった こと • 「自サイトが原因でお客さんに被害が発 生してしまうような場合には、エスカレー ションの上でただちにサービスを停止し て切り離し、顧客対応と原因調査を実 施する」 要検討事項 • 証拠(原本)を無自覚に「汚染」してしま ったが・・・ – 汚染を避けて「保全」することも考慮する – 「たまたま」原因が推定できたことは単に「 幸運」にすぎない • 証拠保全 → 専門家の解析という流れ – 場合によっては警察の手に委ねる – 自分の「限界」を知る 保全と調査(難易度の見極め) • ハードディスク(原本)の保全 • メモリ内情報の保全 – ダンプ – レジストリ • フォレンジックスによる調査 – 専用ツールによる ハードディスク調査 予防・検知 • ファイアウォールのルール見直し • LAN 内の感染活動検知の仕組み導入 – IDS (侵入検知システム)の配備 – 空き IP アドレスでパケットキャプチャ • コンテンツメンテナンス方法の見直し • Windows Update ( Microsoft Update )、 各種プラグイン( Flash 等)、ウェブブラウ ザ等のアップデート励行 パケットキャプチャ IDS (侵入検知システム)の利用 • 24 時間監視サービスの利用 – 「警告」連絡を受けて対応する体制も必要 • 時間限定監視サービス等の利用 • 空き IP アドレスに設置、警告メール送信 • パケットキャプチャデータの解析に利用 – パケット採取ローテーション – 空き IP の巡回活用 プロセスのスナップショット Sysinternals の Process Explorer まとめ • ウイルス対策ソフトウエアは 100 %ではない • 各種プラグインの更新、 Windows の更新も 励行すべき • 事件発生後の緊急対応手順を準備しておく – 方針合意としても重要 • ログ取りパケット取りを仕掛けておくと原因 追及に役立つ – パケットキャプチャ等はお手軽 ドキュメント内 技 術 コース 専 門 編 について 対 象 企 業 等 のウェブサイト 公 開 やシステム 運 用 にお ける 安 全 性 向 上 について 理 解 を 深 めたい 方 ポイント 主 に 企 業 ウェブに 関 連 したセキュリティ 事 故 の ケーススタディによる 脅 威 と 対 策 の 技 術 (ページ 108-119)