「サイバーレスキュー隊(J-CRAT)技術レポート2017」を公開
2018年3月30日
省庁・団体名
独立行政法人情報処理推進機構
概要
IPAは技術レポート「サイバーレスキュー隊(J-CRAT)技術レポート2017 インシデント発生時の初動調査の手引き~WindowsOS標準ツールで感染を見つける~」を公開しました。
内容
不審なメールの添付ファイルを開いてしまったと報告や相談を受けたら、システム管理者のあなたはどうしますか?
そのインシデントが標的型攻撃だった場合、ウイルス対策ソフトで検知しにくいこともあり、感染しているのかどうかも不明で、なかなか次のアクションを選択することが難しいものです。その間にも、標的型攻撃は着々と組織システムを蝕んでいきます。このようなインシデント検知時に、「PCでいくつかの調査」をおこない、その結果から、標的型攻撃で使われるマルウェアの感染嫌疑を「不審点があるかどうかを評価」することで「アタリ」をつける手法を紹介します。
今回の技術レポートでは、J-CRATのレスキュー活動で実際におこなっている初動対応の一部である「WindowsOS標準ツールで感染を見つける」方法を解説しています。組織のシステム管理者やセキュリティ担当者が、これを読んで実際にインシデント発生時の対応のひとつとして、また、次のアクションへ進むための判断材料として、このような調査を選択できることを目標としています。本レポートの特長は以下です。
標的型攻撃における調査の全体像がわかる早見表をつけており、インシデント検知時の「感染しているかどうか」から、対策実行後の「対策の有効性」まで、どのような調査をすべきかがわかるように解説しています。
調査の基礎知識として、標的型攻撃マルウェアの特性やOS上の留意点について解説しており、初心者にも理解が進むようにしています。
情報収集コマンドの解説に、実行例を多く記載し、実作業でのガイドとなるようにしています。
評価の解説においても、実例をもとにした解説や攻撃事例と痕跡を紹介し、実際の評価の参考になるようにしています。
本レポートを活用して得られたインシデント情報は、ぜひJ-CRATへ情報提供いただき、わが国のサイバー状況把握(Cyber Domain Awareness)にご協力ください。
詳細
お問い合わせ
IPA標的型サイバー攻撃特別相談窓口
Tel: 03-5978-7599 Fax: 03-5978-7525
公表日
2018年3月29日(木)