インシデント相談・情報提供窓口対応状況
JPCERT/CCでは、2024年3月からインシデント対応に関する相談や情報提供を受け付ける窓口の運用を開始しています。この窓口では、被害組織からだけではなく、調査を支援するセキュリティベンダー、システム運用会社など被害組織以外からも受け付けており、実際にセキュリティベンダーなどから相談をいただいています。
インシデント相談・情報提供(被害組織/保守・調査ベンダー向け)
https://www.jpcert.or.jp/ir/consult.html
この窓口の運用がスタートして、まだ3カ月しか経過していませんが、今回はどのような相談が来ているのかについて紹介します。この内容をご覧いただき、どのような内容をJPCERT/CCに相談できて、実際にどのような対応をJPCERT/CCがするのか参考にしてもらえればと思います。
セキュリティベンダーよりランサムウェア攻撃への対応方法の相談
1つ目に紹介する事例は、セキュリティベンダーが対応にあたっている被害組織のインシデント調査方法について、セキュリティベンダーから相談をいただいたものです。ESXi上の仮想マシンが暗号化されるという、通常みられるファイル暗号化パターンのランサムウェア被害とは異なる事象であったことから、同様の事例がないかを照会いただきました。この相談に対してJPCERT/CCでは、以下のようなサポートを実施しています。
- 関連するインシデントのIoC情報の提供
- ランサムウェアの種別特定
- セカンドオピニオンとしてのログ分析サポート
- 対応状況のヒアリングとアドバイス
ランサムウェア攻撃の被害では、データの復旧はほぼ困難であることから、基本的には侵入経路を特定し、同様の被害が発生しないよう対策をすることのサポートがメインとなります。外部公開資産の調査からおおよその侵入経路の推測し、必要に応じてログ分析のサポートを実施することもあります。
クラウドサービス事業者のランサムウェア攻撃被害の相談
この相談は、被害者であるクラウドサービス事業者からいただいたもので、セキュリティベンダーがインシデント調査にあたっているもののJPCERT/CCからもサポートして欲しいという内容でした。本インシデントは、Akiraランサムウェアによる被害であり、複数のサーバーのファイルが暗号されており、また情報漏えいも疑われることから、侵入経路の特定作業をセキュリティベンダーとともに実施しました。この相談に対してJPCERT/CCでは、以下のようなサポートを実施しています。
- Windowsイベントログの調査
- 漏えいした可能性のある情報の特定
- マルウェアの分析
- 対応状況のヒアリングとアドバイス
このインシデントでは、各サーバーのイベントログが残っていたことから、イベントログを使用した侵入経路の特定などを実施しました。ランサムウェア攻撃では、被害端末が多く存在する場合があり、そのような場合は各端末をフォレンジック調査することは現実的ではないため、ファストフォレンジック調査やログ調査で原因特定をする作業が中心となります。
AWS S3のデータが暗号化された被害の相談
この相談は被害組織からいただいたもので、システム開発で使用しているAWS環境のデータが攻撃者によって暗号化されたため、復旧に向けたアドバイスが欲しいという内容でした。クラウドサービスの設定不備によるインシデントは後を絶ちません。クラウドサービスのセキュリティ対策について十分な知識がない組織も多いことから、JPCERT/CCではそのような組織に対してインシデント対応のサポートを行います。この相談に対してJPCERT/CCでは、以下のようなサポートを実施しています。
- 初動対応のヒアリングとアドバイス
- 攻撃者の脅迫に応じる選択肢に関する相談
- 他社の被害事例の紹介
- ダークウェブ上での情報漏えい有無の確認
攻撃者によって漏えいされた情報がダークウェブ上で出回ることがあります。ダークウェブの調査を専門の知識がない人が行うのは困難であるため、ダークウェブの調査をサポートする場合があります。
Ivanti Connect Secureの脆弱性を悪用した攻撃の調査方法についての相談
ご存じのとおり、VPN機器の脆弱性が悪用されるインシデントは多くなっています。このようなこれまで攻撃のターゲットになっていなかった機器を調べることについては、多くの組織で知見が少なく、どのように調査したらよいのか試行錯誤することになります。この相談では、セキュリティベンダーからIvanti Connect Secureの脆弱性を悪用した攻撃の被害を受けたVPN機器を調査する方法についての問い合わせをいただきました。JPCERT/CCでは、過去の調査事例などを参考に、どのようなログを調査したらよいのか、実際のインシデント事例を紹介しました。 このような新たな脅威に対する調査手法に関しては、セキュリティベンダーなどさまざまな組織の日々の情報提供によって蓄積されており、そのような知見をフィードバックできる可能性があります。
マルウェアNOOPDOORの感染被害の情報提供
この情報提供では、セキュリティベンダーの調査によってマルウェアNOOPDOORが確認されたことから、被害組織からマルウェアなどの情報提供をいただきました。このような標的型攻撃の場合、長期間組織内にマルウェアが潜伏して、さまざまな情報が漏えいしている可能性があります。JPCERT/CCでは、セカンドオピニオンとしてログの分析やディスクイメージのフォレンジック調査を実施し、侵入経路の特定や情報漏えいの有無、攻撃者による感染拡大の有無の調査を実施しました。 標的型攻撃などインシデントの重大性によっては、ログ分析だけではなくフォレンジック調査などを実施してインシデントの詳細調査をサポートする場合もあります。
Palo Alto Networks製品の脆弱性を悪用する攻撃の情報提供
この情報提供では、Palo Alto Network製品の脆弱性(CVE2024-3400)を悪用したと思われる攻撃ログが発見されたとの情報提供が複数の組織からありました。JPCERT/CCでは、いただいたログを分析するとともに、攻撃元IPアドレスの特定、攻撃により発生する被害を相関的に分析・特定し、情報提供いただいた各組織にフィードバックしました。 また、これらの情報をJPCERT/CCの注意喚起に反映し、他の組織の参考となるように活用いたしました。
Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起
https://www.jpcert.or.jp/at/2024/at240009.html
おわりに
日々、新たな脅威が発生する現状において、自組織だけでインシデント対応を進めるのは効率的ではありません。セキュリティベンダーなどさまざまな組織の協力を得ることでスムーズに対応が進みます。もしも、セキュリティインシデントが発生してしまった際は、セキュリティベンダーやJPCERT/CCへの相談をご検討ください。また、セキュリティインシデントの調査を支援する方々も、インシデント調査時のちょっとした疑問などJPCERT/CCに聞いてみたいことがありましたら、お気軽にご連絡いただければと思います。
なお、ご相談いただいた内容に対するサポートは、ヒアリング状況を参考に決定させていただいております。今回紹介したサポート内容をすべての被害組織に対して提供できるわけではありませんのでご了承ください。また、これらのサポートはインシデントの被害低減、問題解決を目的にしているため、インシデントに関する報告書の作成や法的な対応のサポートなどはお答えできかねますので、あらかじめご了承ください。
インシデントレスポンスグループ 朝長 秀誠
