記事一覧
デジタルフォレンジックに関する記事の一覧はこちらから
目次
1.増加するサイバー攻撃
皆さんもサイバー攻撃に関するニュースを耳にすることも多いと思います。情報通信研究機構のレポートによると、サイバー攻撃関連のパケット数は2023年には約226万件となり、この数字は10年前の2014年の約11万件と比べると約20倍の件数となっています。
| 年 | 年間総観測パケット数 | ダークネットIPアドレス数 | 1IPアドレス当たりの 年間総観測パケット数 |
|---|---|---|---|
| 2014 | 約241.0億 | 212,878 | 115,335 |
| 2015 | 約631.6億 | 270,973 | 245,540 |
| 2016 | 約1,440億 | 274,872 | 527,888 |
| 2017 | 約1,559億 | 253,086 | 578,750 |
| 2018 | 約2,169億 | 273,292 | 806,877 |
| 2019 | 約3,756億 | 309,769 | 1,231,221 |
| 2020 | 約5,705億 | 307,985 | 1,849,817 |
| 2021 | 約5,180億 | 289,946 | 1,747,685 |
| 2022 | 約5,226億 | 288,042 | 1,833,012 |
| 2023 | 約6,197億 | 289,686 | 2,260,132 |
パケット数とは
パケットとは、データ通信の際のデータ通信量の単位となります。容量の大きいデータ通信の際に、データに分割し、各分割データに、アドレスなどの制御情報を付加して通信する通信方法をパケット通信と言います。
パケット通信をすることで、通信の際に回線が占有されることがなくなり、通信回線を効率良く利用することができます。通常のデータ通信では、1パケットあたり128バイトで全角文字では64字分に相当します。
大きなデータでも分割して「パケット」として送ることができ、また複数の端末でも共有できるので効率的にデータを送信できます。
このように増加傾向にあるサイバー攻撃ですが、十分な対策を講じていたとしても被害にあってしまう可能性はゼロではありません。
そこで今回のコラムではサイバー攻撃を受けた時の初動対応について説明したいと思います。特にサイバー攻撃の中でも「マルウェア感染」のケースについて説明していきます。
関連記事
皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか….続きを読む
2.マルウェアとは
マルウェアとは、コンピュータやそのユーザに被害をもたらすことを目的とした、悪意のあるソフトウェアのことです。代表的なものとして、ファイルを暗号化などによって利用不可能な状態にしてしまい、元に戻すことと引き換えに金銭を要求するランサムウェアがあります。
その他にもエモテットと呼ばれ、メール文面のリンクや添付ファイルをクリックさせることで感染させ、個人情報流出につながるマルウェアがあります。
(1)マルウェアの中でも被害が多いランサムウェア
ランサムウェアとは、マルウェアの一種であり、ランサムウェアは感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって使用不能にします。
そののちに元に戻すことと引き換えに「身代金」を要求するメッセージ(ランサムノート)を表示します。ランサムウェアという言葉は、身代金という「Ransom」とソフトウェア「Software」とを組み合わせた造語です。
ランサムウェアに感染すると、ランサムウェアが実行された端末のローカルドライブおよび接続されているネットワークドライブ(ファイルサーバなど)のファイルが暗号化されてしまいます。
または、感染した端末自体がロックされてしまい、通常の操作ができない状態となります。企業においては、業務システムやオンラインシステムがランサムウェアの影響を受けてしまうと、通常通りのサービスを提供できなくなる可能性があります。
(2)ランサムウェア被害の実例
実際に、国内の医療機関においてもランサムウェア攻撃により電子カルテシステムに障害が発生し、救急患者の受け入れ制限、外来診療や一部手術を停止しなければいけないという被害が発生しました。このケースでは全面的な復旧までに約2か月を要しました。
ランサムウェアの被害の実例
- 自動車メーカー
- ゲーム会社
- 公立病院
- 公立図書館
- 国公立大学
- 製薬メーカー
関連記事
【コラム】近年急増しているランサムウェア攻撃と被害に遭った時の企業の対処法を解説します。
大企業から中小企業まで被害が急増、拡大している「ランサムウェア(攻撃)」…..続きを読む
3.マルウェアに感染したら最初にすること
(1)会社のネットワークから切り離す
万が一マルウェアに感染してしまった場合は、まずは当該端末のLANケーブルを抜いて会社のネットワークから切り離すことが大切です。他の端末とネットワークで経由された状態では、他の端末にもマルウェアの感染が広まってしまうためです。
(2)端末の電源は切らない
ネットワークから隔離したら当該端末の電源を切らずに証拠保全をします。電源を切ってしまうと、新たにメモリが書き込まれてしまいますので、マルウェア感染時のメモリ調査が困難になってしまう場合があります。電源は切らずに、フォレンジックベンダーによる調査を行います。
(3)専門家に相談する
その後は被害を受けたデータの範囲、端末の特定といったフォレンジック調査を行っていきます。調査と同時にどのサーバのどのデータが外部に外部に漏えいした可能性があるのかも特定していきます。
このようなフォレンジック調査を行うのと並行して、当局対応、警察対応、公表対応、被害者への説明対応も進めていきます。最後には原因究明と再発防止策を策定する必要もあります。
4.TMIP&Sフォレンジックは、ランサムウェア対応の経験も豊富
TMIP&Sではランサムウェア被害やマルウェア感染のようなセキュリティインシデント対応として、セキュリティインシデントを検知したタイミングから、初動調査、トリアージ、原因究明のための詳細調査、再発防止策の策定、セキュリティ実装まで一貫してインシデントが発生した企業に並走して対応支援を行っています。
また平時からのサイバーセキュリティ体制構築支援として、セキュリティホール診断やCISOサポートなども行っておりますので、お気軽にお問い合わせください。