セキュリティインシデント対応の現場

第4回:シナリオベースで進めてしまうインシデント調査の問題点

小倉秀敏 (日本IBM) 2019年05月10日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 第1回の記事では、われわれが直面した幾つかの問題点について説明した。今回は、その問題の中から実際にわれわれが犯してしまった「シナリオベース調査の問題」について説明しよう。

 シナリオベースの調査の最も大きな問題は、「人には、『一度怪しい』と思ってしまうと、裏付けとなる証拠を探してしまう傾向がある」ことから生じるバイアスだ。シナリオを否定するような証拠があるにもかかわらず、シナリオ通りの結果を導いている他社事例を目にしたこともある。実際、われわれも今回紹介する事例で、そのような経験をしている。実際に調査している最中に、シナリオベースの罠に陥っていることに気がつくのは難しいものだ。ただ、この経験を経て、われわれはシナリオベースの調査にならないよう、注意してインシデント対応を実施するようになった。

調査したインシデント

 ある組織から、不正アクセスによる情報流出が疑われるケースの調査依頼を受けた。内容は、次のようなものだった。

 組織内の従業員にアクセスさせるため、従業員に一対一で対応できるよう重複しない自動生成された個人専用URLを準備し、公開サーバー上に用意した。そのURLはランダムな文字列で構成され、生成はウェブ管理者がPC上で実施している。各従業員に自分専用のURLがメールで個別に通知され、アクセスができるようになっていた。このような状況から、公開サーバーとはいえ、個人の専用URLには、組織内のネットワークからのみアクセスされることが期待されていた。もちろん、各種検索エンジンによってインデックス化されないように対策していた。

 しかし、期待していない組織外の複数のIPアドレスから、個人の専用URLの一部に対して直接アクセスされる状況が発生した。以下は、状況を整理したポイントである。

  • いずれもアクセスはリダイレクトされたものではなく、直接実施されている
  • 特定の個人専用URLに対してのみアクセスされている
  • アクセスを試みているIPアドレスは広く分散している。セキュリティーベンダーと考えられるIPアドレスも含まれている
  • アクセス自体は常に行われているのではなく、散発的に継続している

 これらのことから、一部の個人専用URLが外部に流出したことが強く疑われた。つまり、認知されていない不正アクセスにより、既に攻撃者が侵入している可能性を意味する。この“認知されていない不正アクセス”の可能性を調査することが、われわれIBM X-Force IRISチームへの依頼だった。

状況の確認と調査プランの設定

 まずは依頼組織側からの情報をまとめ、状況を確認した。現在なら、ヒアリングを実施するとともに、各判断の根拠となった証拠の提供を求めるだろう。しかし、当時はヒアリングに頼ってしまった。実はこれも失敗の一つである。ヒアリング結果は次のようなものだった。

  • アクセスは「HTTP GET」によるもの
  • アクセスされた個人専用URLは複数だが、準備された総数に比べればわずか
  • アクセス元のIPアドレスを確認すると、全世界に分散する複数のIPアドレスからアクセスされていて、顕著な偏りはない
  • 個人専用URL自体はウェブサーバーの管理者のPC上で生成されていた

 この段階では、まだ偶然にアクセスされたことを否定する材料は存在していなかったが、偶然であることを示す証拠というものは存在しないため、「何らかの不正アクセスがあったもの」との前提の元、調査を開始した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]