サイバー攻撃からエンドポンを守る「分析編」

サイバー攻撃の実態とログ活用について

IPA（独立行政法人 情報処理推進機構）によると、毎年多くの情報漏えい・紛失事故が発生しており、その原因としてウイルス感染・不正アクセスによって引き起こされた事案は全体の49.6%と半数近くを占めています。サイバー攻撃の被害を防ぐためにはウイルス感染・不正アクセスといった外的要因の対策が必要不可欠だと言えます。

また経済産業省が公表している資料によると、サイバー攻撃を受けてから検知するまでの日数は世界平均約100日なのに対し、APAC（アジア太平洋地域）は172日と世界平均よりも多くの時間を要していると報告されています。昨今のサイバー攻撃の手口は巧妙化し、被害に気づけず対処が遅れる場合もあるため、マルウェアの侵入や攻撃されたことにいち早く気づくことがポイントになると言えるでしょう。

そのような中、2022年4月に改正個人情報保護法が施行されました。個人情報を取り扱う全ての組織を対象に、情報漏えいが発覚した場合には被害者本人への通知や個人情報保護委員会への報告が義務化され、加えて発覚してから5日以内に報告が必要になりました。法への対応としても、いつ攻撃を受け、被害状況がどの様になっているのかを早急に把握し報告することが求められています。

早急な報告のための有効な手段として、PCの操作履歴をデータとして残すログ取得サービスが挙げられますが、改正個人情報保護法だけでなく他の法律やガイドラインを考慮すると、長期間のログ保存が必要な場合もあります。

検知から特定までの“ 3つのステップ ”

PCがマルウェアに感染する時、そこには多くの場合きっかけとなる操作があります。

メールに添付された悪意のあるプログラムを含むファイルをダウンロードすることや、マルウェアが仕込まれたWebサイトにアクセスするなどの操作は、人のふるまいをきっかけに感染すると言えます。万が一感染してしまった場合、どの操作がきっかけとなって感染してしまったのか、初期感染した日時やマルウェアの侵入経路、他に感染しているPCがあるかどうか影響範囲を確認し、拡散防止に努めることが大切です。それでは実際どのようにして検知から特定まで行えばよいのでしょうか。3つのステップでご紹介します。

マルウェアの実行をすぐ把握

ログ取得ツールを導入することで、ファイル操作やWebアクセスなどのあらゆる種類のログを蓄積できる一方で、膨大な量のログを日々の業務の中で一つ一つ確認できないという課題があります。ログ取得ツールのアラート通知機能により、マルウェアが侵入した際にメールで通知を受け取ることができるため、マルウェアが実行されたことをすぐに把握することができます。

感染拡散状況を確認

1台でもマルウェアに感染してしまうと、ネットワークを介して他のPCや共有サーバーに感染する原因となります。
感染すると個人情報など守るべき情報が外部へ持ち出される危険性が高まり、情報漏えいなどの二次被害を招く可能性も高まります。
1台でも感染が発覚した場合は、他に感染したPCがないかどうかを確認する必要があり、すぐに拡散状況の確認をする必要があります。

きっかけを特定

マルウェアが検知される前後で、どのような操作をしていたのかを確認することできっかけとなった操作を特定することが大事になってきます。

ログ取得ツールを使用しきっかけとなる操作を特定する中で、ポリシー違反に該当する操作が確認された場合は、根拠に基づいた指導や教育を実施することができます。またログを取得していることを周知することで、不適切な行為を抑止することも可能です。再発防止策を検討し実行するためにも、PCの操作ログの活用は欠かせません。