『標的型攻撃セキュリティガイド』(岩井博樹/ソフトバンク クリエイティブ)
- 2013/05/18 22:50
- 齋藤公二
標的型攻撃を受けた場合に担当者はどのような行動をとればよいのかをガイドした本です。どう初動対応を行なうのか、どうファイルを解析するのか、被害対策として何を講じればよいのかについて、無料で入手できる解析ツールを使って解説しています。
副題は「偽装メール+マルウェアによる攻撃の概要とフリーツールでできる被害検出と解析のポイント」です。どんなツールを用いてどんな対策を講じるのかは、Amazonのなか見!検索による目次で確認できます。
標的型攻撃対策というと「どのくらい危険なのか」「防ぐにはどんな製品を導入すればいいか」といった話に終始しがちです。そのせいか、対策を求められた担当者がインターネットで情報を探そうとしても、すぐに現場に適用できるような情報を見つけることはとても困難です。「リスクの啓蒙や製品紹介もいいけど、今やらなきゃいけないことを教えてほしい」──本書は、そんな現場のニーズに応えてくれます。
P94の「6-2標的型攻撃の被害調査」には、こうあります。
攻撃をどう防ぐかではありません。攻撃を防げないことを前提として、実際に被害を被った場合にどう対処するかを示したガイドなのです。
具体的な内容を紹介しましょう。本書のキモは、「第6章 初動対応」と「第7章ファイル解析」です。まず、P109の「マルウェア攻撃痕跡の調査」で、こう手順を示します。
そのうえで、不自然なファイル作成日時の調べ方に始まり、攻撃者の作業フォルダの調査方法、パスワードハッシュ取得ツールがシステム内に入り込んでいないかのチェック方法、スタートアップタスクやプログラムの実行履歴からマルウェアの痕跡を探す方法、USBやネットワークからの情報窃取の痕跡を調査する方法などを解説していきます。
6章の半分も読み進めると、登場するツールの数や多岐にわたる使い分け自体に驚かされます。それだけ巧妙な攻撃が実際に行われているということでしょうし、標的型攻撃を防ぐことがどれほど難しいかを示したものでもあると言えます。
その難しさについては、7章の「メモリダンプの解析」(P256)で、次のように書かれています。
痕跡を残さないようにする攻撃者の痕跡をどう見つけるか、ということです。こうなってくると、攻撃者との知恵くらべにほかなりません。そして、「Volatility」を使ったメモリダンプの解析や「Wireshark」を使ったネットワークトラフィック解析、「Sandboxie」によるサンドボックス解析の手順といった知恵の使いどころを解説していきます。
本書の最大の魅力は、そうした知恵やノウハウ、TIPSがふんだんに盛り込まれている点にあります。
こまかいことですが、マルウェアがWebブラウザを使って外部にファイルを送信したかどうかを効率的に確認するには「Web Historian」というツールを使ってブラウザの履歴を読み込み、swf、jar、pdfなどのファイルをフィルタリングするとよいそうです。また、マルウェアによるUSB機器の利用痕跡を確認するには、レジストリに記録された情報を「RegRipper」というツールを使って「rip.exe -p usbstor -r c:\export\reg\system」などとして確認すると効率的だそうです。
そもそも、なぜこんなに詳細なガイドが必要なのでしょうか。本書「はじめに」にはこう書いてあります。
知らずにいるのです。そんななか担当者は標的型攻撃を受けた場合にどのような行動をとればよいのでしょうか。冒頭で触れたテーマの繰り返しになりますが、本書は、おそらくこれまでに誰も答えてこなかったその問いに対して、初めて答えた本なのです。そういう意味では、標的型攻撃対策本の“定番”になっていく本だと思います。
書誌情報
著者:岩井博樹
判型:B5変(182mm x 232mm)
色数:1C
束:18mm(実測)
重量:649g(実測)
ページ数:344ページ
発売日:2013年3月26日
価格:2940円(税込)
ISBN:978-4-7973-7275-5
購入先
電子版 なし(記事公開時)