今月のキーワード
フォレンジック調査
この調査で重要なポイントは「証拠保全」にあります。
重要な痕跡を残しているログの大半には、保存期間が設定されています。インシデントの発覚や証拠保全までに時間がかかってしまうと、事故発生当時のログが流れてしまい、十分な調査ができない場合があります。攻撃者は自身がアクセスした痕跡を消す場合が多く、時間経過とともに証拠は消されやすくなります。加えて、不用意な社内での確認作業により、様々な痕跡が上書きされてしまい、調査が十分に実施できないことも少なくありません。
また、症状が現れていない領域も含めた、根本的な原因調査の意味合いもあります。
ランサムウェアなどは気づきやすいインシデントのため、迅速な復旧対応を実施する企業も多いですが、システム再稼働のための対応を実施するだけでは不十分です。一度攻撃者に侵入を許してしまった環境では、当然二度目の侵入も容易に行われます。バックドアが仕掛けられ、後日侵入されてしまう場合もあります。そのため、侵害原因や被害影響を調査することにより、再発防止策を実施する必要があります。
これらの調査は専門業者に依頼することが一般的です。その費用は最低でも300~400万程度、感染の範囲が拡大している場合には、数千万円~に及ぶ場合もあります。