6章完了フェーズ

“Change is the end result of all true learning.”

変化とは、真の学習の最終結果なのです。

─Leo Buscaglia(米教育学者 レオ・ブスカーリア)

 直面している脅威を特定し、その脅威がどのようにネットワークにアクセスし、どのように内部ネットワークを動き回ったか調査を行ったら、脅威を取り除くときです。この段階は、完了フェーズ(Finish)と呼ばれ、悪意のある攻撃者がネットワークに侵入した足場を根絶するだけでなく、そもそも不正に侵入できるポイントも是正していきます。

 完了フェーズは、システムからマルウェアを削除する以上のことを含んでいます。そのため、調査フェーズと決定フェーズで多くの時間を費やしたのです。攻撃者の活動を停止させるためには、攻撃グループがどのように攻撃を行っているか理解し、攻撃によって残されたマルウェアや痕跡だけでなく、通信チャネル、足場、冗長化されたバックドア、決定フェーズで明らかになった他の攻撃ポイントについて、すべて排除する必要があります。攻撃者を適切に排除するためには、攻撃グループ、彼らの動機、および攻撃手法について深く理解する必要があります。こうした理解に基づいて、システムを保護し、ネットワークのコントロールを取り戻す際に、自信を持って対応できるわけです。

6.1 完了フェーズ≠ハックバック

 完了フェーズは、ハックバック(Hack Back)を意味するものではありません。なぜなら、適切な権限を持つ政府機関や部署でない限り、ハックバックはとてもとてもよくない考えだからです! なぜでしょうか? それにはいくつかの理由があります。

  • 属性情報の特定(Attribution)は完璧であることはまれであり、誰がハッキングを行っているか結局わからないことも多々あります。また、攻撃者は攻撃基盤から直接攻撃を行うことはほとんどありません。彼らは、他の被害者のマシンを踏み台にして攻撃してきます。つまり、攻撃しているマシンに対して反撃を試みた場合、この対象は病院、知人のコンピュータ、あるいは別の国にあるコンピュータなど本来無害なマシンに反撃していることになり、その国の法律に違反するだけでなく、自国の法律にも違反してしまうため、新たに複雑な問題を持ち込むことになります。 ...

Get インテリジェンス駆動型インシデントレスポンス ―攻撃者を出し抜くサイバー脅威インテリジェンスの実践的活用法 now with the O’Reilly learning platform.

O’Reilly members experience live online training, plus books, videos, and digital content from nearly 200 publishers.