Web制作会社E様 の事例
デジタルフォレンジック調査
Contact
-
問合せ
- サーバに不正侵入を受けた恐れがあるため、数十台規模のサーバ全てにフォレンジック調査を実施してほしい。
実際に侵入を受けた可能性が高いのは3台のサーバで、それ以外のサーバについては侵入の明確な根拠はないものの、念のために調査を行いたい。数十台すべてを詳細調査すると調査期間と費用が非常に大きくなってしまうため、適切な方法を提案してほしい。
Solution
課題
詳細なヒアリングを進めたところ、以下のような状況が明らかになりました。
- 不正侵入が確実に確認されているサーバは実際には3台のみ
- その他数十台のサーバについては、不正侵入の可能性を否定できないため念のための調査を希望
- 全サーバに対する詳細なフォレンジック調査を実施した場合、調査期間の長期化とコストの増大が懸念される
- インシデント対応の観点から、できるだけ迅速な調査完了が求められる
提案
当社では、お客様の状況と予算を考慮し、以下の段階的アプローチを提案しました。
- 確実に侵害が確認された3台のサーバに対する詳細フォレンジック調査
- メモリダンプ解析、タイムライン分析、アーティファクト分析など包括的な調査
- 攻撃者の侵入経路、活動内容、影響範囲の詳細な特定
- 残りのサーバに対するファストフォレンジック
- 主要なログファイルの分析
- 既知の攻撃痕跡のスキャン
- 不審なプロセス・ファイル・接続の検出
- 段階的な調査アプローチ
- 初期調査の結果、追加サーバへの侵害が確認された場合のみ、詳細調査の対象を拡大
- 証拠に基づいた調査範囲の最適化
Result
実際に調査を進めたところ、3台のサーバにおいて不正アクセスの痕跡を確認しましたが、その他のサーバには不審な兆候が見つかりませんでした。ファストフォレンジックの結果も問題がなかったため、追加の詳細調査を行う必要はなく、結果的に当初想定されていた全サーバの詳細調査に比べて調査期間を10分の1程度に短縮し、大幅なコスト削減にもつながりました。また、最もリスクの高い3台を優先的に調査したことで、迅速に初動対応を行うことができ、リスクを最小限に抑えることにも成功しました。
