レスポンス活動の網羅性を高めるための要求事項(前半)- ASERT Japan名誉アドバイザー 名和利男

投稿者:ASERT Japan名誉アドバイザー名和 利男

投稿日:2017/5/15

 筆者の経験の限りであるが、2017年1月から4月までの日本国内で発生しているサイバー攻撃の動向変化として、次のような特徴を強く感じている。

 このような攻撃対処支援に相当数関与させていただいたが、前者は個人情報流出事案ではなく、後者は証跡不足のため被害特定と原因追求を断念した。そのため、現時点において、いずれも外部への公表・共有や関係する公的機関への報告は実施されていない。

 筆者は、組織を守る立場で関与しているため、当該組織の許諾を得ない限り、組織や業種を完全匿名にしたとしても、攻撃詳細をお知らせすることはない。(この記述を書くだけでも、関係する方々に慎重に確認いただいた。)

 しかし、外資系のセキュリティ企業がブログ等でレポートしているファイルレス・マルウェアの仕組みとは異なる点が多く、日本組織特有の内部システム・ネットワークの環境に適用させている可能性があるため、当該組織から許諾を得られ次第、このブログで紹介したいと考えている。

 今回のブログでは、このような攻撃対処支援等において、筆者が現場及び管理者に対して「レスポンス活動の網羅性を高めるための要求事項」として、実際に口頭や文書でアドバイスしたものの中で、あたりが良かったもの(効果が感じられたもの等)を紹介させていただく。すでに、IPAJPCERT/CCが、素晴らしいガイドラインを公開しているので、そちらも確認していただきたい。

【攻撃を受ける前の状態】

【攻撃の検知・認知】

<後半に続く>