HOME情報セキュリティ「サイバーレスキュー隊(J-CRAT)技術レポート2017」を公開

本文を印刷する

情報セキュリティ

「サイバーレスキュー隊(J-CRAT)技術レポート2017」を公開

最終更新日:2018年3月29日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

IPAは技術レポート「サイバーレスキュー隊(J-CRAT)技術レポート2017 インシデント発生時の初動調査の手引き 
~WindowsOS標準ツールで感染を見つける~」を公開しました。
 不審なメールの添付ファイルを開いてしまったと報告や相談を受けたら、システム管理者のあなたはどうしますか?
 そのインシデントが標的型攻撃だった場合、ウイルス対策ソフトで検知しにくいこともあり、感染しているのかどうかも不明で、なかなか次のアクションを選択することが難しいものです。その間にも、標的型攻撃は着々と組織システムを蝕んでいきます。このようなインシデント検知時に、「PCでいくつかの調査」をおこない、その結果から、標的型攻撃で使われるマルウェアの感染嫌疑を「不審点があるかどうかを評価」することで「アタリ」をつける手法を紹介します。

調べないと始まらない!初動調査のイメージ

 今回の技術レポートでは、J-CRATのレスキュー活動で実際におこなっている初動対応の一部である「WindowsOS標準ツールで感染を見つける」方法を解説しています。組織のシステム管理者やセキュリティ担当者が、これを読んで実際にインシデント発生時の対応のひとつとして、また、次のアクションへ進むための判断材料として、このような調査を選択できることを目標としています。本レポートの特長は以下です。
  • 標的型攻撃における調査の全体像がわかる早見表をつけており、インシデント検知時の「感染しているかどうか」から、対策実行後の「対策の有効性」まで、どのような調査をすべきかがわかるように解説しています。
  • 調査の基礎知識として、標的型攻撃マルウェアの特性やOS上の留意点について解説しており、初心者にも理解が進むようにしています。
  • 情報収集コマンドの解説に、実行例を多く記載し、実作業でのガイドとなるようにしています。
  • 評価の解説においても、実例をもとにした解説や攻撃事例と痕跡を紹介し、実際の評価の参考になるようにしています。
 本レポートを活用して得られたインシデント情報は、ぜひJ-CRATへ情報提供いただき、わが国のサイバー状況把握(Cyber Domain Awareness)にご協力ください。

本レポートの目次

1. はじめに
 1.1. 本レポートの目的と想定読者
 1.2. インシデント対応における調査の全体像
 1.3. 本レポートでの対象範囲と前提環境
2. 基礎知識
 2.1. マルウェア感染の特性
 2.2. 攻撃痕跡を判断するために
 2.3. 情報収集作業の事前知識
 2.4. 共通する手法とツール
3. 情報収集
 3.1. 永続化設定の取得
 3.2. 外部通信情報の取得
 3.3. 実行痕跡の取得
 3.4. 感染頻出箇所の取得
 3.5. 情報収集コマンドの整理
 3.6. 活用例(バッチファイル)
4. 評価
 4.1. 評価の基本的な手順
 4.2. 永続化設定の評価
 4.3. 通信先の評価
 4.4. 実行痕跡の評価
 4.5. 感染頻出箇所の評価
 4.6. 攻撃事例と痕跡
5. おわりに
タイトル 公開日 ダウンロード
サイバーレスキュー隊(J-CRAT)技術レポート2017
 

2018年
3月29日

本件に関するお問い合わせ先

IPA標的型サイバー攻撃特別相談窓口
Tel: 03-5978-7599 Fax: 03-5978-7525 E-mail: 電話番号:03-5978-7599までお問い合わせください。