インシデント対応の象徴的行動、だが・・

定番のように行われているインシデント対応に「端末をネットワークから遮断する」という行動があります。要はLANケーブルをPCから「抜く」対応です。インシデント対応の象徴ともいえる行動といえるかもしれません。

この対応を絶対の「正」として対応している組織を今でも見かけます。

しかし、インシデント発生時にケーブルを抜くかどうかについては、議論が分かれる所なのです。今回は改めてその点を再考してみたいと思います。

悪手にもなり得る

被害を最小限に抑えるためには、インターネットとの接続を遮断することは有効であるため、一刻も早く抜線したくなる気持ちはよくわかりますが、緊急時こそ、この判断を誤らないようにしなくてはなりません。実はインシデント対応時にウェイトを置く箇所によって、この初手が変わってくるのです。

昔のようなワームが隆盛していた時代にはこの抜線は最適解といえました。それはワームが感染機能しか持たず、インシデント対応として重要な目的だったのは「迅速な回復」であったからです。

しかし、インシデント対応の目的を「原因究明」とした場合これは悪手になり得ます。

近年のマルウェアの特徴として、システム上、特にハードディスク上に残す痕跡が少なくなっていることが挙げられます。そのためメモリ上に残されている揮発性情報の確保が重要な要素となっています。

しかし、OSによっては「ネットワークケーブルを抜く」ことで揮発性情報のステータスが変化してしまう場合があります。CPU の情報(レジスタ、キャッシュ)、ルーティングテーブル、ARPキャッシュ、プロセステーブル、カーネル統計、メモリ状態など貴重な究明のための情報が失われてしまう可能性があるのです。

インシデントの内容や状況に応じてこの抜線判断を行うようにしなければなりません。

時代とともに対応も変化する

前述のワームがマルウェアの中心だった時代は、知恵比べを行う相手はワームでした、しかし現在の高度なサイバー攻撃では、ヒト対ヒトの攻防戦が繰り広げられています。

不正プログラムが、インターネット接続が確認されなくなると活動を中止したり、自身をアンインストールして証拠を隠したりするケースもあります。これでは抜線を行うことは、証拠隠滅に手を貸すようなものとなってしまいます。

抜線が意味を為さないわけではありません。しかし反面、それにより失うものがあることを考慮に入れておくべきなのです。

なお、有事にこの辺りの判断を行うことは難しいものがあります。そのため、普段から対応を検討しておき、手順にまとめておき、それに従って対応することが求められます。