<4D F736F F F696E74202D20552D DC58F4994AD955C8E9197BF816A89DF8B8E82C696A F08CA992CA82B7838D834F95AA90CD76382E70707

Similar documents
プレゼンテーション

KSforWindowsServerのご紹介

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

中小企業向け サイバーセキュリティ対策の極意

QMR 会社支給・貸与PC利用管理規程180501

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

ログを活用したActive Directoryに対する攻撃の検知と対策

マイナンバー対策マニュアル(技術的安全管理措置)

製品概要

McAfee Application Control ご紹介

1.indd

目次 1. 概要 製品構成 用語集 SECUDRIVE Device Control Basic インストールUSBメモリの構成 プログラムのインストール 体験版から正規版への変更

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

f-secure 2006 インストールガイド

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

マルウェアレポート 2017年12月度版

Trend Micro Security for Mac 持込 PC 用インストールマニュアル [Mac OS 用 ] 作成 :2018 年 12 月 改訂 :2019 年 2 月 情報環境機構

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

中小企業向け サイバーセキュリティ対策の極意

f-secure 2006 インストールガイド

困ったときにお読みください

目次 1 はじめに アンインストール前の注意点 Sophos アンインストール手順 アンインストーラの場所を確認する アンインストーラの実行 F-Secure Client Security for Mac インストー

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

Microsoft PowerPoint - Logstorage镣撺ㅂㅅ㇯_for_SKYSEA_Client_View_ pptx

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

BACREX-R クライアント利用者用ドキュメント

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

Ver.50 改版履歴 版数 日付 内容 担当 V..00 0//6 初版発行 STS V..0 03/4/7 サポート環境の追加 STS V..0 06/9/5 画面の修正 STS V /4/ 画面の修正 STS V // 文言と画面修正 FireFox のバージョン変更に

マルウェアレポート 2018年2月度版

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

1. はじめに本書では WindowsOS 用 Dr.Web アンチウイルス 及び Dr.Web Security Space に含まれている Dr.Web Firewall コンポーネントをインストールし 使用する方法を説明しています 2. そもそも Firewall とはそもそも Firewal

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

目次 専用アプリケーションをインストールする 1 アカウントを設定する 5 Windows クライアントから利用できる機能の紹介 7 1ファイル フォルダのアップロードとダウンロード 8 2ファイル更新履歴の管理 10 3 操作履歴の確認 12 4アクセスチケットの生成 ( フォルダ / ファイルの

PowerPoint プレゼンテーション

共有フォルダ接続手順 1 共有フォルダ接続ツールのダウンロード 展開 CSVEX のトップページから共有フォルダ接続ツールの zip ファイルをダウンロードします ダウンロードした zip ファイルを右クリックして すべて展開 を選択します (Windows 環境では zip ファイルを解凍しなくて

KDDI Smart Mobile Safety Manager ( 基本プラン /4G LTE ケータイプラン ) オプション機能説明 2018 年 2 月 27 日現在 KDDI 株式会社 ver Copyright 2018 KDDI Corporation. All Rights

f-secure 2006 インストールガイド

パソコンをご利用中に Windows のシステム警告 ドライバの更新 システムの破損 等の見慣れない 不審なメッセージが表示された場合の対処法についてドキュメント ID: TS 環境 Windows 10 Windows 8.1 Windows 7 概要 このページでは インターネットを

Mozilla Thunderbird アカウント設定手順 株式会社アマダアイリンクサービス

v6

上手くん α シリーズ移行手順 上手くん α シリーズ移行手順 上手くん α シリーズ移行手順 1 処理の流れ 1 2 古い PC で行う操作 2 3 新しい PC で行う操作 /09/10 第 2 版

福岡大学ネットワーク認証・検疫システム実施マニュアル

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

セキュリティオンライン Powered by Symantec インストールマニュアル 第 9 版 2016 年 7 月 19 日 1

i-square よくあるご質問 (F)~ ログイン : 取引先用 ~ 1. 初期設定ガイド i1-1. 初期設定ガイドはありますか? はい ございます 最新の i-square 初期設定ガイドを 以下にご案内させていただきます PCの初期設定について i-square の初回ご利用時 及び パソコ

E S E T F i l e S e c u r i t y LAN DISK H シリーズパッケージ ( 機能追加 ) ご注意 事前に本パッケージの追加をおこなってください パッケージの追加方法は 画面で見るマニュアル をご覧ください 本パッケージの追加は HDL-H シリーズファームウェアバー

Enterprise Premium 電子証明書発行サービス Windows ストア電子証明書インストール手順書 Ver2.0 三菱電機インフォメーションネットワーク株式会社

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

オンライン申請事前準備

グループ一覧を並び替える すべてのユーザー グループの並び順を変更する ユーザーの登録

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

クライアント証明書導入手順書

情報漏洩対策ソリューション ESS REC のご説明

1. 新パソコンの準備 新パソコンに 障害者総合支援電子請求受付システムを利用するうえで必要な 動作環境の確認及びセキュリティの設定等を行います (1) 動作環境の確認新パソコンの OS 等ソフトウェアのバージョンが障害者総合支援電子請求受付システムの動作環境を満たしていることを確認します 1 新パ

2 章必要なものを用意する パソコン (PC) 推奨環境以下の Windows パソコンのみでのご利用となり スマートフォンやタブレットは推奨環境対象外です なお 携帯電話からはご利用いただけません 最新の利用環境および留意事項につきましては 当金庫までお問い合わせください ( 平成 28 年 1

Ver.70 改版履歴 版数 日付 内容 担当 V /09/5 初版発行 STS V /0/8 証明書バックアップ作成とインストール手順追加 STS V /0/7 文言と画面修正 STS V..0 0//6 Firefox バージョンの変更 STS V..40

クライアント証明書インストールマニュアル

基本プラン向け ( インターネット接続管理 バックアップ メッセージ通知 ウイルス対策 Web フィルター ) 2

マカフィー R セキュリティサービス (Mac 版 ) インストール 基本操作 アンインストールマニュアル McAfee と McAfee のロゴは 米国およびその他の国における McAfee LLC の商標です 中部ケーブルネットワーク株式会社 第 1.5 版 2018/11/5

迷惑メール対策[Barracuda]操作マニュアル

PowerPoint プレゼンテーション

(Microsoft Word - VisionPro\203C\203\223\203X\203g\203\214\201[\203V\203\207\203\223\203}\203j\203\205\203A\203\ doc)

RW-5100 導入説明書 Windows7 用 2017 年 7 月 シャープ株式会社

目次 電子証明書発行手順書 - Ver ご準備いただくもの 証明書発行手順... 1 (1) ダウンロード... 1 (2) インポート... 3 (3) 証明書の確認と古い証明書の削除... 6 (4) ファイルの保管 システム利用時のログイン方法... 8

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

スマートデバイス利用規程 1 趣旨 対象者 対象システム 遵守事項 スマートデバイスのセキュリティ対策 スマートデバイスの使用 スマートデバイスに導入するソフトウェア スマー

ログイン時の ID パスワードは マイページ と同一です インストール前の状態の場合 ログイン後に表示されるページの ライセンス一覧 に該当製品シリアルの表示はされません インストール完了後 ライセンス管理ページご利用シリアルの一覧が表示されます 以上でライセンス管理ページの作成は完了です なお セ

バックアップについての注意点 自動バックアップ設定後も 正常にデータが保管されているか定期的に必ず確認してください 定期的に必ず確認してください 設定後であっても様々な理由で突然バックアップが失敗していることもあるためです 複数の場所や媒体に定期的に保管することを強くおすすめします! 特に同じ建屋内

バーコードハンディターミナル BT-1000 シリーズセットアップガイド ( 第 1 版 ) CE ***

証明書インポート用Webページ

鳥取県物品電子入札システムセキュリティ ポリシー設定マニュアル IC カードを利用しない応札者向け 第 1.7 版 平成 31 年 2 月鳥取県物品契約課 鳥取県物品電子入札システムセキュリティ ポリシー設定マニュアル Ver.01-07

一太郎2014 徹 ダウンロード版 インストールガイド

平成 31 年 2 月 22 日 岐阜県電子入札システムクライアント PC の Internet Explorer 11 設定手順 ( 受注者用 ) 岐阜県電子入札システムを利用するには インターネットエクスプローラーの設定を行う必要があります 設定項目の一覧 ( クリックすると説明箇所へジャンプし

目次 1. はじめに ご利用条件 証明書配付システムの停止時間 実施手順 電子証明書の取得手順 Windows 証明書ストアへの電子証明書インポート手順 電子証明書インポート完了確認.

スライド 1

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

関電グループファイル宅配サービス利用マニュアル

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

2 1: ネットワーク設定手順書 が完了後に行なってください 鏡野町有線テレビ 各種設定手順書 この手順書では以下の内容の手順を解説しています メール設定 ホームページの掲載 お客様がご利用の OS により設定方法が異なる部分があります OS をご確認の上 作業を行なってください お客

管理者マニュアル

Microsoft Word - Gmail-mailsoft設定2016_ docx

セキュリティ 360 Powered by Symantec インストールマニュアル 第 9 版 2016 年 7 月 19 日 1

共通フィルタの条件を設定する 迷惑メール検知 (SpamAssassin) の設定 迷惑メール検知 (SpamAssassin) とは.

Microsoft Word - FTTH各種設定手順書(鏡野地域対応_XP項目削除) docx

動作環境設定

PowerPoint プレゼンテーション

Microsoft Word - MyWebMedical40_client_guideIE8.doc

PowerPoint プレゼンテーション

セキュリティベーシック Powered by Symantec インストールマニュアル 第 8 版 2015 年 8 月 3 日 1

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

PowerPoint プレゼンテーション

Microsoft Word - sp224_2d.doc

RW-4040 導入説明書 Windows 7 用 2017 年 7 月 シャープ株式会社

Proselfの利用方法

Microsoft Word - JAFZ01)[Office365]OneDrive_for_Business利用手順.docx

スライド 1

Transcription:

過去と未来を 通すログ分析 真のウィルス対応は ウィルスを削除した時から始まる 東北インフォメーション システムズ株式会社本間淳平

会社概要 社名東北インフォメーション システムズ株式会社 [ 略称 :TOiNX( トインクス )] 本社所在地 980-0021 宮城県仙台市 葉区中央 丁 9 番 10 号セントレ東北 TEL(022)799-5555 FAX(022)799-5561 従業員 685 名 ( 平成 26 年 7 1 時点 ) 株主東北電 株式会社 主な事業内容 東北電 情報システム企画 開発 運 ヘルプデスク 東北電 企業グループ情報システム企画 開発 運 ヘルプデスク クラウドサービス 彩雲 ( さいうん ) セキュリティサービス ( 標的型攻撃メール対応訓練サービスほか ) idc ( インターネット データセンター ) ( 丸ごと! バックアップ サービス ) 事労務業務 援 ( 事労務総合パッケージ Co. 労 ( コジロー ) ) 電 認証サービス ( 電 証明書発 サービス ) など

目次 1. サービス立ち上げの背景 2. ログ分析を主軸としたサービス 3. ログ分析の手法とその効果 ( 対応事例 ) 4. 成果と課題

1. サービス立ち上げの背景

はじめに 1.1 サービス立ち上げの背景 サイバー攻撃の脅威の増大ウィルスを利用したサイバー攻撃が年々増加対策レベルの低い関連企業を踏み台に大企業を狙う手法も 情報を守る義務東北電力の業務は企業グループ各社と情報連携お客様情報や施設情報の安全確保が大前提 東北電力企業グループが一丸となって情報漏洩対策に取り組む必要がある!

はじめに 1.2 情報セキュリティへの取り組み 2006 年度 2008 年度 2010 年度 2012 年度 2014 年度 技術的対策 企業グループ情報通信ネットワーク基盤の運用 ( セキュリティ対策機能 インターネット回線共通化 IC カード認証など ) 統合グループウェアの運用 情報セキュリティ管理強化 ( 情報セキュリティの管理体制 & ルール & プロセス整備 ) 管理的対策 論文テーマ ログ分析を主軸としたウィルス対応支援サービス サービス対象 企業グループ 32 社

2. ログ分析を主軸としたサービス

ログ分析を主軸としたサービス 2.1 ウィルス対応は削除したら終わり? ウィルス対策ソフトでウィルスを削除すれば もう大丈夫 問題ない 本当に? 家に空き巣が入った場合でも同じことが言えるか? 二度と被害に遭わないよう対策すべきではないか? 何を盗まれたか確認しなくてよいのか? 過去の原因 と 未来の影響 を調査して それぞれのリスクに対応する必要がある!

ログ分析を主軸としたサービス 2.2 過去の原因 と 未来の影響 の調査 ログ分析による原因調査 再発防止の対応 パソコンの詳細な動作ログを収集 ファイルコピー プロセス起動 Web アクセス USB メモリ利用 etc ログ分析による影響調査 被害軽減の対応

ログ分析を主軸としたサービス 2.3 パソコン動作ログ収集の仕組み 1. 企業グループ各社 12000 台のパソコンにログ収集ツールを導入 2. パソコン動作ログをデータセンターに集約 企業単位で保管 3. ログ検索ツールで必要なログを抽出し 分析 記録可能ログの一部 パソコン名 ユーザー名 ファイル移動元と先 プロセス起動 接続先 URL 外部媒体接続 ファイルダウンロード ファイルアップロード PC 起動 接続デバイス ID ウィンドウタイトル etc

ログ分析を主軸としたサービス 2.4 パソコン動作ログ収集によるメリット ユーザーが覚えていない情報を記録 調査できる 詳細な動作内容とその日時 数年前の記録など ユーザーが認識できない動作を記録 調査できる 画面表示のない動作 プロセスの起動有無など 企業グループ各社の全パソコンのログをユーザーへの負担なく即座に一斉調査できる 特定の媒体の使用状況 特定プロセスの動作有無など

ログ分析を主軸としたサービス 2.5 サービスの流れ

3. ログ分析の手法とその効果 ( 事例紹介 ) 事例 (1) Web 閲覧で感染するウィルス 事例 (2) 有用なツールに偽装するウィルス 事例 (3) 外部媒体を経由して感染するウィルス 事例の中で Web サイトの URL は加工しています ご了承ください

ログ分析の手法とその効果 3.1 事例 (1)Web 閲覧で感染するウィルス 第一報 1 状況確認 2 原因調査 3 影響調査 ユーザーがインターネット閲覧中 ウィルス対策ソフトでウィルス nazzz.exe を検知した 状況詳細調査 ウィルス検知日時のログ調査 [ ログ ] あるWebサイトに接続した直後にウィルス検知 [ 解析 ] 攻撃者が作成した不正 Webサイトと判明 [ 対応 ] ブラックリスト登録 ( 再発防止 ) 日時 URL ファイル名プロセスタイトル操作名 14:41:48 hxxp://nazzz.pw /index.html iexplore.exe 接続 14:41:50 C:\Program Files\ ウィルスAlert.msg VirusScan.exe ウィルス検知ファイル参照

ログ分析の手法とその効果 3.1 事例 (1)Web 閲覧で感染するウィルス 原因調査 1 検知直前のログ調査 [ ログ ] 不正 Web サイト接続の直前 レストラン Web サイトに接続 [ 解析 ] レストラン Web サイトから自動再接続の不正コード発見 [ 対応 ] ブラックリスト登録 ( 再発防止 ) 1 状況確認 2 原因調査 3 影響調査 原因調査 2 ユーザーの Web 閲覧目的のヒアリング [ 調査 ] 私的な目的でインターネット閲覧していた [ 対応 ] 私的利用を控えるよう注意指導 ( 再発防止 ) 原因 2 原因 1 日時 URL ファイル名プロセスタイトル操作名アクティブウィ 14:39:26 hxxp://search.yahoo.co.jp /search;_ylt=aiexplore.exe Yahoo! 検索ンドウカレー料理レ 14:41:38 hxxp://karymax.to /index.html iexplore.exe 接続ストラン X 市 14:41:48 hxxp://nazzz.pw /cgi/diarypro/iexplore.exe 接続 14:41:50 C:\Program Files\ ウィルス Alert.msg VirusScan.exe ウィルス検知ファイル参照

ログ分析の手法とその効果 3.1 事例 (1)Web 閲覧で感染するウィルス 影響調査 1 レストラン Web サイトのウィルス調査 [ 解析 ] 不正 Web サイトに自動で再接続する機能だけを持つ [ 判断 ] 動作したが 情報漏洩リスクはない 1 状況確認 2 原因調査 3 影響調査 影響なし 影響調査 2 不正 Web サイトのウィルス調査 [ 解析 ] 不正 Webサイトに接続するとウィルスが起動する [ 解析 ] 接続の瞬間に検知 ウィルスプロセス起動なし [ 判断 ] 動作しておらず 情報漏洩リスクはない 影響なし 日時 URL ファイル名プロセスタイトル操作名 14:41:48 hxxp://nazzz.pw /index.html iexplore.exe 接続 14:41:50 C:\Program Files\ ウィルスAlert.msg VirusScan.exe ウィルス検知ファイル参照

ログ分析の手法とその効果 3.2 事例 (2) 有用なツールに偽装するウィルス 第一報 ユーザーがパソコンを起動した直後 ウィルス対策ソフトでウィルス pennybee.exe を検知した 状況詳細調査 ウィルス検知日時のログ調査 [ ログ ] ウイルス対策ソフトの更新直後に検知 1 状況確認 2 原因調査 3 影響調査 [ 推測 ] 過去侵入していたウィルスを 更新で検知可能となった 日時フォルダ名ファイル名プロセスタイトル操作名 8:30:56 Windows 起動 8:32:15 C:\Program Files\ ウィルス対策ソフト ptn.120605 VirusScan.exe ウィルス対策ソフト ファイル更新 8:34:18 pennybee.exe プロセス起動 8:34:19 C:\Program Files\ ウィルス対策ソフト Alert.msg VirusScan.exe ウィルス検知ファイル参照

1 状況確認 2 原因調査 3 影響調査ログ分析の手法とその効果 3.2 事例 (2) 有用なツールに偽装するウィルス 原因調査 1 ウィルスのプロセス名で過去ログ調査 [ ログ ] FileOpener インストール中にウィルス初起動 [ ログ ] 同時に BaiduIME を自動でインストール [ 対応 ]DL 元 URL をブラックリスト登録 ( 再発防止 ) 原因調査 2 ツール導入の会社許可有無をヒアリング 原因 1 日時 URL ファイル名プロセスタイトル操作名アクティブウィ 18:52:28 fileopener.com /file-opener/gb/oc/?adniexplore.exe ダウンロードンドウアクティブウィ 18:52:55 C:\Documents andfileopenersetup.exe iexplore.exe 名前を付けて保存ンドウ 18:53:11 C:\Documents andfileopenersetup.exe FileOpenerSetup.exe fo Installer プロセス起動 18:53:56 BaiduJP_Setup.exe Baidu IME Installer プロセス起動 18:54:12 pennybee.exe プロセス起動 [ 調査 ] 会社が非許可のツールを無断導入したと判明原因 2 [ 対応 ] 会社で許可されたソフトを利用するよう指導 ( 再発防止 )

ログ分析の手法とその効果 3.2 事例 (2) 有用なツールに偽装するウィルス 影響調査 1 pennybee の調査 [ 解析 ] 頻繁に広告表示 有償製品の購入を促す [ 判断 ] 動作したが 情報漏洩リスクはない 1 状況確認 2 原因調査 3 影響調査 影響なし 影響調査 2 FileOpener の調査 [ 解析 ] 様々な拡張子に対応と偽りインストールさせようとする [ 解析 ]pennybeeとbaiduimeを同時にインストールする [ 解析 ] 頻繁に広告表示 有償製品の購入を促す [ 判断 ] 動作したが 情報漏洩リスクはない 影響なし 影響調査 3 BaiduIME の調査 影響あり [ 解析 ] キー入力を外部サーバに送信する [ 判断 ]IDやパスワードが漏洩したおそれあり [ 対応 ]Webサービス利用有無確認& パスワード変更

ログ分析の手法とその効果 3.3 事例 (3) 外部媒体を経由して感染するウィルス 第一報 ユーザーがパソコンを起動した直後 ウィルス対策ソフトでウィルス DriveVR.exe を検知した 状況詳細調査 ウィルス検知日時のログ調査 [ ログ ] ウイルス対策ソフトのアップデート後に検知 1 状況確認 2 原因調査 3 影響調査 [ 判断 ] 過去侵入していたウィルスを 更新で検知可能となった日時フォルダ名ファイル名プロセスタイトル操作名 8:19:06 Windows 起動 8:20:35 C:\Program Files\ ウィルス対策ソフト ptn.111111 VirusScan.exe ウィルス対策ソフト ファイル更新 8:24:01 DriveVR.exe プロセス起動 8:24:02 C:\Program Files\ ウィルス対策ソフト Alert.msg VirusScan.exe ウィルス検知ファイル参照

1 状況確認 2 原因調査 3 影響調査ログ分析の手法とその効果 3.3 事例 (3) 外部媒体を経由して感染するウィルス 原因調査 1 ウィルスのプロセス名で過去ログ調査 [ ログ ] 検知日の一ヶ月前 USB メモリ接続でウィルス初起動 [ 対応 ]USB メモリ初期化 ( 再発防止 ) 日時フォルダ名ファイル名プロセスタイトル操作名デバイス ID 15:23:12 E: Explorer.EXE リムーバブルディスク (E:) USB 接続 15:23:14 E:\ DriveFix.exe Explorer.EXE ファイル参照 15:23:14 C:\ DriveFix.exe Explorer.EXE ファイル参照 15:23:14 DriveVR.exe プロセス起動 原因 1 USB\VID_099D&PID_0123\1 A23456789012[Sony Storage Media USB Device] 原因調査 2 USB メモリ所有者のヒアリング [ 調査 ] 取引先から借用した USB メモリと判明 [ 対応 ] 取引先への注意喚起 ( 再発防止 ) 原因 2 検知日から一ヶ月前のログ

1 状況確認 2 原因調査 3 影響調査ログ分析の手法とその効果 3.3 事例 (3) 外部媒体を経由して感染するウィルス 影響調査 2 DriveVR.exe のウィルス調査 [ 解析 ] 外部媒体経由で他パソコンに感染を拡大する [ ログ ] 複数のパソコンと外部媒体で感染の痕跡を発見 [ 対応 ] 感染したパソコンと媒体を初期化 感染パソコン名感染日時 TAKE-PC05 01/06 19:18 感染媒体種別 TAKE-PC04 01/20 [Sony 18:33 Storage Media USB Device] TAKE-PC07 01/26 [Sony 20:14 Storage Media USB Device] TAKE-PC02 02/03 [Sony 15:23 Storage Media USB Device] TAKE-PC18 02/04 [Sony 10:32 Storage Media USB Device] MATU-PC03 02/07 [Sony 09:37 Storage Media USB Device] TAKE-PC01 02/07 [Sony 13:12 Storage Media USB Device] [USB2.0 Mobile Disk USB Device] 影響調査 2 DriveVR.exe のウィルス調査 [ 解析 ] ウィルスはオンラインゲームの ID とパスワードを窃取する [ 判断 ] 動作したが 情報漏洩リスクはない デバイスID VID_099C&PID_0123\5A12345678901 VID_099C&PID_0123\5A34567890123 VID_099C&PID_0123\5A56789012345 VID_099C&PID_0123\5A78901234567 VID_099C&PID_0123\5A90123456789 VID_099C&PID_0123\5A01223344455 VID_126F&PID_0163\3F98877766665 影響あり 影響なし

4. 成果と課題

成果と課題 4.1 サービス提供前の状況

成果と課題 4.2 サービス提供後の状況 CSIRT Computer Security Incident Response Team

成果と課題 4.3 成果と課題 成果 1. ウィルス感染の原因解明 & 的確な対策で被害を抑制 2. 企業グループ全体で高水準なウィルス対応体制 3. 各社に専門スキルを持つ人材を配置するコストを削減しかし なくならない! 全文英語のスパムメールを開いてウィルス感染 怪しいフリーソフトをインストールしてウィルス感染 課題 ユーザーひとりひとりのセキュリティ意識の向上

おわりにパソコンに侵入したウィルスは 検知 削除されるまでの間に様々な悪事を働いているおそれがあります 放置し 数年後に発覚して大きなコストを支払うか? 適切に対応し 被害を最小限に食い止めるか?

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック