マルウェア感染！！そのときあなたがやるべきこと、やってはいけないこと

マルウェア感染！！そのときあなたがや
るべきこと、やってはいけないこと
初期対応の鉄則
株式会社インターネットイニシアティブ
鈴木博志、梨和久雄、六田佳祐

自己紹介
• 鈴木博志（すずきひろし）、梨和久雄（なしわひさお）
• セキュリティ本部セキュリティ情報統括室
• IIJグループのCSIRT（事案対応チーム）であるIIJ-SECT
に所属し、顧客や自社の事案対応などを行う。
• 六田佳祐（むだけいすけ）
• セキュリティ本部セキュリティビジネス推進部セキュリ
ティオペレーションセンター
• SOC（セキュリティオペレーションセンター）にて、顧
客のインシデント発見と対応を行う。

自己紹介
• Black Hat USA 2018
でのトレーニング提供と
スピーカーとして登壇 [1]

本日のアジェンダ
• マルウェア感染デモ
• 攻撃者の視点から、PCの遠隔操作とファイルの盗み出し実演
• SOCによる検知と連絡デモ
• 初動対応の際にやるべきこと、やってはいけないこと
• インシデントレスポンスの初動対応デモ

マルウェア感染と情報窃取デモ
• 今回はMicrosoft Wordのマクロを悪用したマルウェア感染
手法について実演する。
• 例えば、以下のようなファイルがあり、ユーザがメール本文
に従い、黄色いバーを有効にして、その文書を閉じたとする。

マルウェア感染
• たったこれだけの動作で、マクロが動作し、マルウェアをド
ロップして実行し、感染に至ってしまう。
• 20年以上前からマクロの悪用は行われているが、いまだ
に有効な手段の一つであり、脆弱性も不要であるため、
攻撃者に悪用され続けている。

感染後の攻撃者の行動（デモ）
• 本来、攻撃者はこのあとマルウェアを操作し、以下を繰り返
す。
• 侵入したPCやネットワークの調査
• ホストの調査と侵入
• 情報の特定と窃取
• 今回は簡略化して、デスクトップ上のファイルを盗み出すデ
モを行う。
• 攻撃者は大量のファイルを持ち出す場合、rarや7zなどの
アーカイブソフトウェア（圧縮/展開ソフトウェア）で圧縮
して持ち出す。
• 今回もこの手法を使用する。

IIJ C-SOCサービスにおけるインシデント検知
• ログやアラートを基にインシデント検知
• 今回はWebプロキシのログ中に含まれていたUser-Agent
から検知
• 複数のログを条件として検知する場合もある
• 2種類の機器から条件を満たすログが出力
• 同一機器から一定条件を満たす複数行のログが出力
12

チケット
• 発生したインシデントはチケットして管理
• お客様確認を経て対応完了
• 誤検知など、お客様確認を経ない場合もある
13

IIJセキュリティオペレーションセンター
• 通常のIIJオフィスとは独立した
設備
• 取り扱いに注意を要する情報を
使用
• IIJ C-SOCサービスの対応
• IIJセキュリティサービスで
使用する脅威情報の分析・
生成など
14

検知のための努力
• マルウェアにおいては、新種のマルウェアの発見や、既知の
マルウェアが更新されるのに対応するため、日々様々な努力
をしている。
• 検知のための努力（例）
• レピュテーション情報（ホストの信用情報）を集め、そ
の情報をルール化する。
• マルウェアを収集、解析して特徴を抽出し、ルール化す
る。
• 今回のデモではこれのおかげで検知できた。
• 機械学習、ディープラーニングで検知 [2]

検知後の初動対応
（お客様側の対応）

初動対応
• ここで質問です。
• このようにIIJから通知を受けた場合、皆さんはどのように
対応していますか？
• 何はともあれ、まずはウイルス対策ソフトでフルスキャ
ン。
• フルスキャンして、何も見つからなかった、もしくは１
個マルウェアが見つかって、それを削除したからOK。
• うちに限ってそんなわけない。対応しなくてもいいか。
• 単にPCの調子が悪いだけだろう。再起動しよう。
• とにかく怖いので、電源をブチっと！
• 腕に自信あり！自分で切り分ける。
• LANケーブルを引っこ抜いたから、これでもう安心。

（初動対応の多くの場合において）
これらは最初の段階で
「やってはいけない」行動です！

ウイルス対策ソフトでフルスキャン
→ 素人探偵が手袋もつけず、鑑識が入る前に土足で入って現
場を踏み荒らしてしまうようなものです。
• フルスキャンの動作によってメモリやファイルシステムの未
使用領域に残っている有用な証拠を上書きしてしまう可能性
がある。
• リアルタイム検知で検出されなかったケースでは、フルス
キャンをかけてもほとんどの場合検出することはできない。

1つマルウェアを発見して対応を終了
→フルスキャンをかけて見つからなかった、もしくはマル
ウェアを１つ発見し駆除したとして、それで終わりでいいの
でしょうか？
• 実際のインシデントでは、１つの端末から複数のマルウェア
が検出されることが多い。
• 同じマルウェアにほかの端末が感染していることも多い。
→詳しく調査せずに事案をクローズするのは危険。

自分で切り分け
→正しい手順を把握している人は構いませんが、多くの場合、
間違った対応をしてマルウェアの痕跡を消してしまったり、
上書きしてしまうことが多いです。
• 以前の事案で、ユーザ自身がマルウェアを駆除しようとして
あるレジストリキーの削除を試みたことがあった。
• ところが、そのマルウェアは該当キーの削除を検知し、書き
戻す機能を持っていたため、キーの最終更新日時が更新され
てしまい、感染日時を喪失してしまった。

再起動、電源断
→これらによってメモリは揮発し、メモリ解析ができなくな
ります。また、シャットダウン時、ブート時の動作によって
イベントログやスワップファイルなど、様々なデータや未使
用領域が上書きされます。

LANケーブル断
→厳密にいうと、端末のネットワークの状態が変わってしま
うため、メモリ解析においてマルウェアの通信先が消失する
可能性があります。
またこの状態で長時間放置すると、ログのローテーションや、
ウイルス対策ソフトの定期フルスキャンなどがかかり、必要
な情報が失われる可能性もあります。

では、いったいどうすれば
いいのでしょうか？

正解は、正しいインシデントレスポ
ンス手順にのっとって実施すること
です。

インシデントレスポンス

インシデントレスポンスとは？
• 事案対応のこと。何らかの事件、事案が発生した場合に対処
を行い、どのような被害が出たのかの確認や、再発防止のた
めの方策を考える。
• マルウェア感染の事案対応はフォレンジック調査とマルウェ
ア解析を駆使して行う。

数ファイル＝
数十～数百万行のコード
数台＝
数十～数百万ファイル
→数ファイル
マルウェアに起因するインシデントレスポンスの手法
ネットワークフォレンジック（数分～数時
間）
• ログ、パケット解析により、被疑ホストを
特定する。
数百～数千台
→数台

数百～数千台
→数台
数ファイル＝
コンピュータフォレンジック（数時間～数週
間）
• 被疑ホストのディスクやメモリイメージか
ら、攻撃者やマルウェアの痕跡を見つけ出
し、事件の全容や影響を推定する。
数台＝
→数ファイル

数百～数千台
→数台
数ファイル＝
数台＝
→数ファイル
マルウェア解析（数分～数ヶ月）
• マルウェアの通信先や機能を詳しく調査す
ることで、新たな被疑端末の特定やどうす
れば被害拡大を防止し、事態を収束できる
かを検討する。また、フォレンジック調査
に役立つ情報を調査し、事案対応に役立て
る。

検知後の対応（デモ）
• ここでは簡易的ではあるが、その一部を再現する。
1. データの保全（CDIR-Collector）
• メモリや、その他即効性のある有用なデータ（Prefetch, レジストリ,
イベントログなど）を先に保全する。
2. ライブレスポンス（Autoruns）
• プログラムの自動起動箇所の解析する。
3. ファストフォレンジクス（NTFS-Log-Tracker）
• 今回はファイルシステムの管理情報（ジャーナルログ）を解析し、
攻撃者の動作を追跡する。
• この後、必要があればディスクを保全し、マルウェア解析や
さらなる本格的なフォレンジック調査を行って事案を解決に
導く。

インシデントレスポンスフロー
32
感染端末所有者への
ヒヤリング
メモリ保全 /
Triaged Acquisition
ディスクフォレンジック、マルウェア解析
ライブレスポンス / ライブフォレンジック
メモリフォレンジック
/ ファストフォレンジック
ディスク保全
LANケー
ブル断OK!
AVフル
スキャン
OK!
シャッ
トダウ
ンOK!

まとめ
•正しい初動対応を学びましょう。
•まずやるべきは証拠保全
• 難しい場合は即専門家（IIJやセキュリティ
会社）に相談
•その後は自分たちで分析 or 専門家に依
頼
•定期的に訓練し、いざというときに迅速
に動けるようにしましょう。
33

リファレンス
1. Black Hat USA 2018
• Practical Incident Response With Digital Forensics & Malware
Analysis
• https://www.blackhat.com/us-18/training/schedule/#practical-
incident-response-with-digital-forensics--malware-analysis-9569
• Reconstruct the World from Vanished Shadow: Recovering
Deleted VSS Snapshots
• https://www.blackhat.com/us-
18/briefings/schedule/index.html#reconstruct-the-world-from-
vanished-shadow-recovering-deleted-vss-snapshots-9931
2. Black Hat Europe 2018
• Deep Impact: Recognizing Unknown Malicious Activities from Zero
Knowledge
• https://www.blackhat.com/eu-
18/briefings/schedule/index.html#deep-impact-recognizing-
unknown-malicious-activities-from-zero-knowledge-12276

本書には、株式会社インターネットイニシアティブに権利の帰属する秘密情報が含まれて
います。本書の著作権は、当社に帰属し、日本の著作権法及び国際条約により保護されて
おり、著作権者の事前の書面による許諾がなければ、複製・翻案・公衆送信等できません。
本書に掲載されている商品名、会社名等は各会社の商号、商標または登録商標です。文中
では™、®マークは表示しておりません。本サービスの仕様、及び本書に記載されている
事柄は、将来予告なしに変更することがあります。
ご清聴ありがとうございました

マルウェア感染！！そのときあなたがやるべきこと、やってはいけないこと

More Related Content

What's hot

Similar to マルウェア感染！！そのときあなたがやるべきこと、やってはいけないこと

More from IIJ

マルウェア感染！！そのときあなたがやるべきこと、やってはいけないこと