事前準備
インシデントが発生した際に、有効なログが存在していれば、侵入経路の特定、不審なプログラムやウイルスの特定が可能となり、早期復旧と再発防止が可能となります。また、グループポリシーや各種設定値を保存しておけば、再稼働に向けた復旧時間を短縮できます。
Active Directory
ログの事前設定
ログは既定値では、上書きされてしまいます。そのため、インシデント発生時の対策立案や原因究明が困難になるケースが大半です。ログが正しく設定されていれば、初動対応が確実なものになります。
ドメインコントローラー、メンバーサーバーでは、[イベントビューアー]>[Windows ログ] を開き、以下のログを右クリックし、最大ログサイズを設定します。また、その際に [イベントログサイズが最大値に達したとき] の設定を、いずれも、[イベントを上書きしないでログをアーカイブする] にします。
ディスク容量の少ない、ワークステーションの場合は、コンピュータのディスク容量に応じて、サイズ100MByte以上にして [必要に応じてイベントを上書きする] という選択もあります。
| ログ名称 | 最大ログサイズ(KB) |
| [WIndows ログ]>[Application] | 20000 |
| [WIndows ログ]>[セキュリティ] | 40000 |
| [WIndows ログ]>[システム] | 20000 |
| [アプリケーションとサービスログ]>[Microsoft]>[Windows]> [Microsoft-Windows-SmbClient%4Security.evtx] | 20000 |
| [アプリケーションとサービスログ]>[Microsoft]>[Windows]> [Microsoft-Windows-SMBServer/Security.evtx] | 20000 |
| [アプリケーションとサービスログ]>[Microsoft]>[Windows]> [Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx] | 20000 |
| [アプリケーションとサービスログ]>[Microsoft]>[Windows]> [•Microsoft-Windows-TerminalServices-RDPClient/Operational.evtx] | 20000 |
Syslog の確保
Firewall、UTM、VPN 装置、ルーターなどの通信機器は、Syslog を取得可能ですが、保存できるサイズに制限があるため、 Syslog を他のサーバーに転送し保存します。
他の組織との閉域網接続が
ある場合
事前にインシデント発生時のネットワーク切断の手順を定めておきます。
また、電子メールが使えない状態を想定し、電話での連絡方法も確認しておきましょう。
日常的な
Auto Run の調査
インシデントが発生していなときは、Windows の Auto Run の調査を行っておけば、異常値の発見が容易になるかもしれません。
ウイルスは、電源を遮断されると消えてしまうため、永続化を目的として、自分自身を Auto Run するように登録をします。このAutoRun するソフトウェアの一覧を取得する、Microsoft Sysinternal の AutoRun.Exe を実行します。
スキャンの際は、[Options]>[Scan Options]>[Check VirusTotal.com] のチェックを入れてスキャンを実行します。ファイルのハッシュ値が VirusTotal に送信され、VirusTotal での評価を知ることができます。
初動対応
デスクトップに脅迫状が表示されている、プリンターに脅迫状が印刷されているなどの場合は、インシデントとみなして、セキュリティベンダーに連絡をとり、初動対応の指示を得てください。ベンダーが到着するまでに以下の作業を行います。
Networkケーブルの抜線
インターネットへの接続点であるすべてのルーターや Firewall の WAN(UnTrust) 側と LAN(Trust) 側ケーブルを抜線します。
続いて、すべてのサーバーとバックアップのネットワークケーブルを抜線します。次に、クライアントの各セグメントのケーブルを抜線し、個々のクライアントと医療機器に接続されたネットワークケーブルを抜いてください。
ケーブルを抜いたら、すべての機器の電源を切らずに、専門家のアドバイスに従ってください。
インターネット接続点、閉域網接続点の確認
複数のインターネット接続点が存在したり、他の組織との閉域網が存在している場合は、それらもすべて通信を遮断しなければなりません。他の組織との閉域網切断は、事前打ち合わせに従って、実施します。
初動対応時の
禁止事項
侵害の原因が不明な状態での以下の行為は、作業中に被害を拡大する恐れがあります。また侵害の手がかりを失うことから、再発の危険性が高まります。
※詳細は「不審なコンピュータへの初動措置」を参照
- ウイルス対策ソフトによる完全スキャン
- サーバー、コンピュータ、通信機器の電源を切らない
- 初期化
- 不審な端末・サーバのフォーマットをするなど
- ファームウェアのアップデートおよび再起動するなど
初動対応時の
ログの保全
初動では、可能な限りすべてのコンピュータと通信機器をネットワークから切り離しし、ログの保全を行います。電源は落とさないでください。初期化したUSBメモリか、DVDーROMに以下のフォルダーのファイルをすべて取得します。
- C:\Windows\System32\winevt\Logs
- C:\Windows\System32\dhcp (Windows Server が DHCP サーバーの場合)
- Firewall機器、VPN機器や通信機器の Syslog
初期に分析すべき
Security Log
総当たり攻撃の痕跡を調べるために、Windows Security Log の Event ID 4625 を検索します。ログオンエラーコード 0xC000006A などが多発している場合や、短時間に集中的に発生している場合は、当該端末アドレスにウイルスが存在している可能性が高まります。そのような場合は、専門家によるフォレンジックの対象となるかもしれません。
ログオン成功を示す Security Log の Event ID 4624 を検索し、不審なアカウントのログオン成功を調べます。また、資格情報を提示してログオンを試行するケースを調べるため、Security Log の Event ID 4648 を検索し、他の端末へのログオン試行を調べます。
リモートデスクトップを使用したログオン成功は次の Logの調査が有効です。
接続先 Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Event ID 21 と Security ログの EventID 4624 を調べます。ログオン成功のユーザー名、ソースネットワークアドレスから不審な RDP ログオンがないかを調べます。ソースネットワークアドレスがローカルの場合は、ローカルログオンであり、RDP接続ではありません。
接続元 Microsoft-Windows-TerminalServices-RDPClient/Operational (TerminalServices-ClientActiveXCore)
Event ID 1102 で接続先の IP アドレスが確認できます。
また、Admnistrators などの管理者グループに攻撃者のアカウントを登録するなど、アカウントに対する変更を調査します。万一、不審なアカウントが発見された場合は、そのアカウントを削除せず、「無効」にして、専門家の判断を待ちましょう。
このほかにも、監査設定を変更したり、大量のRDP接続やSMB接続などの調査が必要です。(追って、解説を投稿する予定です)
無料調査ツールの
活用
確実に保全ができた場合は、初期に分析すべき Security Log の調査であげた内容や、Pass the Hash やゴールデンチケットの詐称などの高度な分析が可能な調査ツールを使用することで、侵害の有無の判定のための時間を節約できます。
LAC 社の FalconNest は無償で侵害判定ができるため、調査結果を精査してください。平時から、定期的にツールを利用しておくことで、侵害の恐れがある場合の比較ができ、また、侵害の気づきに繋がります。
https://www.lac.co.jp/solution_product/falconnest.html
Firewall での
不審なアラート
Firewall や UTM を導入している場合は、不審なアラートや大量の通信がないかを確認します。
リモートデスクトップ(RDP/3389/TCP/UDP)、サーバーメッセージブロック(SMB/445/TCP) などが、業務時間外に行われていないか、などもチェックします。
不審なコンピュータへの
初動措置
初動の目的は、システムの保全といえます。ウイルス(検体)の確保ができれば、ウイルス対策ソフトのパターンが作成でき、PCやサーバーの初期化を免れる可能性が高くなり、復旧の時間も短くなります。
従って、初動ではむやみにウイルス対策ソフトの完全スキャンなどを行わずに、電源は投入したまま、専門事業者に調査を依頼してください。ウイルスはメモリ上にのみ存在しているケースがあり、電源を消されてしまうと、ウイルスの手掛かりがなくなります。
あわてて通信機器のファームウェア/OS をアップデートすると Syslog が消えてしまうことがあります。ネットワーク接続を外せば拡大はできません。電源を入れたまま、専門家の指示を待ちます。
インシデント対応専門事業者リスト
日本ネットワークセキュリティ協会の「サイバーインシデント緊急対応企業一覧」です。
https://www.jnsa.org/emergency_response/
データ復旧事業者とのトラブルを避ける
データ復旧ができなかったにもかかわらず、高額な費用を請求されたりするケースが増えています。また、一部、復旧できれば復旧とみなす事業者も存在します。トラブルを避けるためにも、データ復旧を専門事業者に依頼する前に、「データ被害時のベンダー選定チェックシート」を活用して、信頼できる事業者を選定してください。
「データ被害時のベンダー選定チェックシート」は、デジタル・フォレンジック研究会、日本データ復旧協会、日本ネットワークセキュリティ協会、日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)、ソフトウェア協会が合同で作成したものです。
| Kerberos エラーコード | |
| 0x0 | エラーなし |
| 0x6 | 無効なユーザー名 |
| 0x7 | コンピュータアカウントがReplicationされていないか、 無効なコンピュータ |
| 0x9 | 管理者がパスワードをリセットする必要がある |
| 0xC | KDCポリシーが要求を拒否した |
| 0x12 | アカウントの無効化/期限切れ/ロックアウト/無効なログオン時刻 |
| 0x17 | パスワードの有効期限切れ |
| 0x18 | パスワードが間違っている |
| 0x20 | コンピュータのアカウントで頻繁にログを記録 |
| 0x25 | ワークステーションの時刻がドメインコントローラーの時刻と同期していない |
| ログオンエラーコード | |
| 0xC0000064 | ユーザー名が登録されていない |
| 0xC000006A | ユーザー名は正しいが、パスワードが間違っている |
| 0xC000006F | ユーザーが許可された以外の日に ログオンしようとした |
| 0xC0000070 | 制限されたワークステーション |
| 0xC0000071 | パスワードは有効期限切れ |
| 0xC0000072 | アカウントが現在は無効 |
| 0xC0000133 | DCとコンピュータのクロックがずれている。 |
| 0xC000015b | このマシンでは、要求されたログオンタイプ (別名ログオン権)は付与されていません。 |
| 0xC00000193 | アカウントは有効期限切れ |
| 0xC0000224 | 次回のログオン時にパスワードの変更を要求される |
| 0xC0000225 | 明らかにWindowsのバグであり、リスクではない |
| 0xC0000234 | ユーザーは現在ロックアウトされている |
| ログオンタイプ | ||
| 0 | System | システム の起動時など、システム アカウントでのみ使用されます。 |
| 2 | Interactive | ユーザーがこのコンピューターに対話型 ログオンをしました。 |
| 3 | Network | ネットワークからこのコンピューターに ログオンしたユーザーまたはコンピューター。 例えば、リモートドライブ。 |
| 4 | Batch | バッチ ログオンの種類はバッチ サーバーに よって使用され、そこではプロセスが 直接介入せずにユーザーの代わりに 実行される可能性があります。 |
| 5 | Service | サービス コントロール マネージャーによって サービスが開始されました。 |
| 7 | Unlock | このワークステーションのロックが解除されました。 |
| 8 | Network Clear text | ユーザーがネットワークからこのコンピューターに ログオンしました。 ユーザーのパスワードは、 非ハッシュ化形式で認証パッケージに 渡されました。 組み込みの認証では、ネットワーク経由で 送信する前に、すべてのハッシュ資格 情報がパッケージ化されます。 資格情報は、プレーンテキスト (クリア テキストとも呼ばれます) でネットワークを 通過しません。 |
| 9 | New Credentials | 送信元が現在のトークンを複製し、 送信接続用に新しい資格情報を 指定しました。 新しいログオン セッションのローカル ID は同じですが、 他のネットワーク接続には異なる 資格情報を使用します。 |
| 10 | Remote Interactive | ターミナル サービスまたはリモート デスクトップを使用してリモートで このコンピューターにログオンしたユーザー。 |
| 11 | Cached Interactive | コンピューターにローカルに保存された ネットワーク資格情報を使用して このコンピューターにログオンしたユーザー。 資格情報を確認するために、 ドメイン コントローラーに接続できま せんでした。 |
| 12 | CachedRemoteInteractive | RemoteInteractive と同じです。 これは、内部監査に使用されます。 |
| 13 | Cached Unlock | ワークステーション ログオン。 |
| グループの変更 | |
| 4731 | セキュリティが有効なローカル グループが作成されました。 |
| 4732 | セキュリティが有効なローカル グループにメンバーが追加されました。 |
| 4733 | セキュリティが有効なローカル グループからメンバーが削除されました。 |
| 4734 | セキュリティが有効なローカル グループが削除されました。 |
| 4735 | セキュリティが有効なローカル グループが変更されました。 |
| 4727 | セキュリティが有効なグローバル グループが作成されました。 |
| 4728 | セキュリティが有効なグローバル グループにメンバーが追加されました。 |
| 4729 | セキュリティが有効なグローバル グループからメンバーが削除されました。 |
| 4730 | セキュリティが有効なグローバル グループが削除されました。 |
| 4737 | セキュリティが有効なグローバル グループが変更されました。 |
| 4754 | セキュリティが有効なユニバーサル グループが作成されました。 |
| 4755 | セキュリティが有効なユニバーサル グループが変更されました。 |
| 4756 | セキュリティが有効なユニバーサル グループにメンバーが追加されました。 |
| 4757 | セキュリティが有効なユニバーサル グループからメンバーが削除されました。 |
| 4758 | セキュリティが有効なユニバーサル グループが削除されました。 |
| 4745 | セキュリティが無効なローカル グループが作成されました。 |
| 4745 | セキュリティが無効なローカル グループが変更されました。 |
| 4746 | セキュリティが無効なローカル グループにメンバーが追加されました。 |
| 4747 | セキュリティが無効なローカル グループからメンバーが削除されました。 |
| 4748 | セキュリティが無効なローカル グループが削除されました。 |
| 4749 | セキュリティが無効なグローバル グループが作成されました。 |
| 4750 | セキュリティが無効なグローバル グループが変更されました。 |
| 4751 | セキュリティが無効なグローバル グループにメンバーが追加されました。 |
| 4752 | セキュリティが無効なグローバル グループからメンバーが削除されました。 |
| 4753 | セキュリティが無効なグローバル グループが削除されました。 |
| 4759 | セキュリティが無効なユニバーサル グループが作成されました。 |
| 4760 | セキュリティが無効なユニバーサル グループが変更されました。 |
| 4761 | セキュリティが無効なユニバーサル グループにメンバーが追加されました。 |
| 4762 | セキュリティが無効なユニバーサル グループからメンバーが削除されました。 |
| 4763 | セキュリティが無効なユニバーサル グループが削除されました。 |