セキュリティインシデント対応ブログ

FFRI BLOG

2014-06-09 不審ファイル発見時の初動対応

マーケティング部の茂在です。

近年マルウェアが増加の一途をたどっています。マルウェアの高度化・巧妙化も進んでいるため、検知・防御することが困難になりつつあります。

また、標的型攻撃に用いられるマルウェアは専用にカスタマイズされた未知のものが使用される傾向にあり、パターンマッチングベースの従来型のセキュリティ製品だけでは防ぎきれません。これらのことからマルウェアの感染リスクが、以前よりも高まっていると言えます。

日々増加していくマルウェアによるリスクから100%の防御ができるセキュリティソリューションは存在しません。よって感染を未然に防ぐ事前対策のみではなく、インシデント発生後の事後対応も予め考慮しておくことが重要と言えます。


例えば 「社内の端末でセキュリティソフトにより怪しいファイルが検出された」 「ゲートウェイのセキュリティ製品により怪しいファイルが検出された」 このようなケースにおいてどのような対応を取られているでしょうか? 「怪しいファイルを駆除する(削除する)、端末を初期化する」 「セキュリティベンダーに解析を依頼して、解析結果を元に対策を検討する」例えば上記のような対応が考えられます。

前者の対応を取った場合の問題点は、その怪しいファイルがどんな振る舞いをするものであったのかわからないことにあります。もし、外部のサーバーと通信を行うような振る舞いをするのであれば、他の感染端末から情報が漏えいしている可能性もあります。後者の場合、解析結果を見ることでどのような振る舞いをするのかわかり適切な対応が検討できそうですが、解析結果を得るまでの間に被害が拡大してしまう可能性があります。

マルウェアらしきファイルが発見されたといったインシデント発生時には、情報漏えいやシステム破壊が発生する可能性があるため、迅速な対応が求められます。



では、実際にマルウェアらしきファイルが発見された場合、どのように対応すればよかったのでしょうか。対策の例を下記に挙げさせていただきます。

対策1 マルウェアの通信先を特定し、社内情報の流出を食い止める
対策2 感染端末を特定し、感染の拡大を防ぐ

上記のような初動対応を素早く実施することが重要となりますが、通常、対策を講じるための情報を迅速に取得することは容易ではありません。

インシデント発生時、情報流出先を食い止める。社内感染端末を特定し、感染の拡大を防ぐ

そこでご紹介したいソリューションが、自組織内でマルウェア解析を可能にするシステム「FFR yarai analyzer」です。「FFR yarai analyzer」は任意のフォルダに検査対象のファイルを投入するだけで、自動的に解析が実行され、解析結果がHTML形式のレポートとして数分で出力されるシステムです。



FFRI yarai analyzeでマルウェアによる情報の流出先や、感染端末を確認する情報が、自組織内でリスクの可視化が可能

「FFR yarai analyzer」の解析レポートにより、マルウェアによる情報の流出先や、感染端末を確認する情報が、自組織内で迅速に得られます。情報の流出先がわかれば、例えば流出先をファイアウォールに登録することで、情報流出を防ぐことが可能です。また、感染端末を特定できれば、該当端末を隔離して、初期化するといった対策を講じることができます。

「FFR yarai analyzer」の解析には、弊社製品の「FFR yarai」のヒューリスティックエンジンを搭載しております。この検知エンジンは、パターンに依存しない振る舞い検知型であるため「未知マルウェア」や、「0-day脆弱性攻撃」についても解析が可能です。



FFRIでは、標的型攻撃対策の一つとして、「インシデント発生時のマルウェア初動解析」を提案いたします。事前の防御策だけではなく、事後の対応策を予め準備することにより被害の拡大を食い止める対策が可能です。自組織のインシデント発生時の事後対応について、この機会に再確認頂ければ幸いです。




関連記事

 FFR yarai analyzer製品ページ

pagetop