［2018/10/24に開催した「Lead Initiative 2018 Technical TRACK」の講演資料です］ マルウェアの感染は誰にでも起こりうるものです。しかし、感染発覚の直後にウイルススキャンを実行するなどの間違った対応により、マルウェアが何を行ったかの「痕跡」を消失させてしまうなど、その後の調査に支障をきたしてしまうことがあります。マルウェアによる被害を調査するためには、皆様の正しい初動が大切です。本講演では、感染直後にとるべき対応について、実際にノートPCをマルウェアに感染させるデモを交えながらご紹介します。 ▼講演者 鈴木 博志（セキュリティ本部 セキュリティ情報統括室 マルウェア＆フォレンジックアナリスト） 梨和 久雄（セキュリティ本部 セキュリティ情報統括室 スレットアナリスト） 六田 佳祐（セキュリティ本部 セキュリティビジネス推進部 セキュリティオペレーションセンター アナリスト）

1. マルウェア感染！！そのときあなたがや
るべきこと、やってはいけないこと
初期対応の鉄則
株式会社インターネットイニシアティブ
鈴木博志、梨和久雄、六田佳祐

2. 自己紹介

3. 自己紹介
• 鈴木博志（すずきひろし ）、梨和久雄（なしわひさお）
• セキュリティ本部 セキュリティ情報統括室
• IIJグループのCSIRT（事案対応チーム）であるIIJ-SECT
に所属し、顧客や自社の事案対応などを行う。
• 六田佳祐（むだけいすけ）
• セキュリティ本部 セキュリティビジネス推進部 セキュリ
ティオペレーションセンター
• SOC（セキュリティオペレーションセンター）にて、顧
客のインシデント発見と対応を行う。

4. 自己紹介
• Black Hat USA 2018
でのトレーニング提供と
スピーカーとして登壇 [1]

5. アジェンダ

6. 本日のアジェンダ
• マルウェア感染デモ
• 攻撃者の視点から、PCの遠隔操作とファイルの盗み出し実演
• SOCによる検知と連絡デモ
• 初動対応の際にやるべきこと、やってはいけないこと
• インシデントレスポンスの初動対応デモ

7. マルウェア感染デモ

8. マルウェア感染と情報窃取デモ
• 今回はMicrosoft Wordのマクロを悪用したマルウェア感染
手法について実演する。
• 例えば、以下のようなファイルがあり、ユーザがメール本文
に従い、黄色いバーを有効にして、その文書を閉じたとする。

9. マルウェア感染
• たったこれだけの動作で、マクロが動作し、マルウェアをド
ロップして実行し、感染に至ってしまう。
• 20年以上前からマクロの悪用は行われているが、いまだ
に有効な手段の一つであり、脆弱性も不要であるため、
攻撃者に悪用され続けている。

10. 感染後の攻撃者の行動（デモ）
• 本来、攻撃者はこのあとマルウェアを操作し、以下を繰り返
す。
• 侵入したPCやネットワークの調査
• ホストの調査と侵入
• 情報の特定と窃取
• 今回は簡略化して、デスクトップ上のファイルを盗み出すデ
モを行う。
• 攻撃者は大量のファイルを持ち出す場合、rarや7zなどの
アーカイブソフトウェア（圧縮/展開ソフトウェア）で圧縮
して持ち出す。
• 今回もこの手法を使用する。

11. SOC検知、連絡デモ

12. IIJ C-SOCサービスにおけるインシデント検知
• ログやアラートを基にインシデント検知
• 今回はWebプロキシのログ中に含まれていたUser-Agent
から検知
• 複数のログを条件として検知する場合もある
• 2種類の機器から条件を満たすログが出力
• 同一機器から一定条件を満たす複数行のログが出力
12

13. チケット
• 発生したインシデントはチケットして管理
• お客様確認を経て対応完了
• 誤検知など、お客様確認を経ない場合もある
13

14. IIJセキュリティオペレーションセンター
• 通常のIIJオフィスとは独立した
設備
• 取り扱いに注意を要する情報を
使用
• IIJ C-SOCサービスの対応
• IIJセキュリティサービスで
使用する脅威情報の分析・
生成など
14

15. 検知のための努力
• マルウェアにおいては、新種のマルウェアの発見や、既知の
マルウェアが更新されるのに対応するため、日々様々な努力
をしている。
• 検知のための努力（例）
• レピュテーション情報（ホストの信用情報）を集め、そ
の情報をルール化する。
• マルウェアを収集、解析して特徴を抽出し、ルール化す
る。
• 今回のデモではこれのおかげで検知できた。
• 機械学習、ディープラーニングで検知 [2]

16. 検知後の初動対応
（お客様側の対応）

17. 初動対応
• ここで質問です。
• このようにIIJから通知を受けた場合、皆さんはどのように
対応していますか？
• 何はともあれ、まずはウイルス対策ソフトでフルスキャ
ン。
• フルスキャンして、何も見つからなかった、もしくは１
個マルウェアが見つかって、それを削除したからOK。
• うちに限ってそんなわけない。対応しなくてもいいか。
• 単にPCの調子が悪いだけだろう。再起動しよう。
• とにかく怖いので、電源をブチっと！
• 腕に自信あり！自分で切り分ける。
• LANケーブルを引っこ抜いたから、これでもう安心。

18. （初動対応の多くの場合において）
これらは最初の段階で
「やってはいけない」行動です！

19. ウイルス対策ソフトでフルスキャン
→ 素人探偵が手袋もつけず、鑑識が入る前に土足で入って現
場を踏み荒らしてしまうようなものです。
• フルスキャンの動作によってメモリやファイルシステムの未
使用領域に残っている有用な証拠を上書きしてしまう可能性
がある。
• リアルタイム検知で検出されなかったケースでは、フルス
キャンをかけてもほとんどの場合検出することはできない。

20. 1つマルウェアを発見して対応を終了
→フルスキャンをかけて見つからなかった、もしくはマル
ウェアを１つ発見し駆除したとして、それで終わりでいいの
でしょうか？
• 実際のインシデントでは、１つの端末から複数のマルウェア
が検出されることが多い。
• 同じマルウェアにほかの端末が感染していることも多い。
→詳しく調査せずに事案をクローズするのは危険。

21. 自分で切り分け
→正しい手順を把握している人は構いませんが、多くの場合、
間違った対応をしてマルウェアの痕跡を消してしまったり、
上書きしてしまうことが多いです。
• 以前の事案で、ユーザ自身がマルウェアを駆除しようとして
あるレジストリキーの削除を試みたことがあった。
• ところが、そのマルウェアは該当キーの削除を検知し、書き
戻す機能を持っていたため、キーの最終更新日時が更新され
てしまい、感染日時を喪失してしまった。

22. 再起動、電源断
→これらによってメモリは揮発し、メモリ解析ができなくな
ります。また、シャットダウン時、ブート時の動作によって
イベントログやスワップファイルなど、様々なデータや未使
用領域が上書きされます。

23. LANケーブル断
→厳密にいうと、端末のネットワークの状態が変わってしま
うため、メモリ解析においてマルウェアの通信先が消失する
可能性があります。
またこの状態で長時間放置すると、ログのローテーションや、
ウイルス対策ソフトの定期フルスキャンなどがかかり、必要
な情報が失われる可能性もあります。

24. では、いったいどうすれば
いいのでしょうか？

25. 正解は、正しいインシデントレスポ
ンス手順にのっとって実施すること
です。

26. インシデントレスポンス

27. インシデントレスポンスとは？
• 事案対応のこと。何らかの事件、事案が発生した場合に対処
を行い、どのような被害が出たのかの確認や、再発防止のた
めの方策を考える。
• マルウェア感染の事案対応はフォレンジック調査とマルウェ
ア解析を駆使して行う。

28. 数ファイル＝
数十～数百万行のコード
数台＝
数十～数百万ファイル
→数ファイル
マルウェアに起因するインシデントレスポンスの手法
ネットワークフォレンジック（数分～数時
間）
• ログ、パケット解析により、被疑ホストを
特定する。
数百～数千台
→数台

29. 数百～数千台
→数台
数ファイル＝
数十～数百万行のコード
マルウェアに起因するインシデントレスポンスの手法
コンピュータフォレンジック（数時間～数週
間）
• 被疑ホストのディスクやメモリイメージか
ら、攻撃者やマルウェアの痕跡を見つけ出
し、事件の全容や影響を推定する。
数台＝
数十～数百万ファイル
→数ファイル

30. 数百～数千台
→数台
数ファイル＝
数十～数百万行のコード
数台＝
数十～数百万ファイル
→数ファイル
マルウェアに起因するインシデントレスポンスの手法
マルウェア解析（数分～数ヶ月）
• マルウェアの通信先や機能を詳しく調査す
ることで、新たな被疑端末の特定やどうす
れば被害拡大を防止し、事態を収束できる
かを検討する。また、フォレンジック調査
に役立つ情報を調査し、事案対応に役立て
る。

31. 検知後の対応（デモ）
• ここでは簡易的ではあるが、その一部を再現する。
1. データの保全（CDIR-Collector）
• メモリや、その他即効性のある有用なデータ（Prefetch, レジストリ,
イベントログなど）を先に保全する。
2. ライブレスポンス（Autoruns）
• プログラムの自動起動箇所の解析する。
3. ファストフォレンジクス（NTFS-Log-Tracker）
• 今回はファイルシステムの管理情報（ジャーナルログ）を解析し、
攻撃者の動作を追跡する。
• この後、必要があればディスクを保全し、マルウェア解析や
さらなる本格的なフォレンジック調査を行って事案を解決に
導く。

32. インシデントレスポンスフロー
32
感染端末所有者への
ヒヤリング
メモリ保全 /
Triaged Acquisition
ディスクフォレンジック、マルウェア解析
ライブレスポンス / ライブフォレンジック
メモリフォレンジック
/ ファストフォレンジック
ディスク保全
LANケー
ブル断OK!
AVフル
スキャン
OK!
シャッ
トダウ
ンOK!

33. まとめ
•正しい初動対応を学びましょう。
•まずやるべきは証拠保全
• 難しい場合は即専門家（IIJやセキュリティ
会社）に相談
•その後は自分たちで分析 or 専門家に依
頼
•定期的に訓練し、いざというときに迅速
に動けるようにしましょう。
33

34. リファレンス
1. Black Hat USA 2018
• Practical Incident Response With Digital Forensics & Malware
Analysis
• https://www.blackhat.com/us-18/training/schedule/#practical-
incident-response-with-digital-forensics--malware-analysis-9569
• Reconstruct the World from Vanished Shadow: Recovering
Deleted VSS Snapshots
• https://www.blackhat.com/us-
18/briefings/schedule/index.html#reconstruct-the-world-from-
vanished-shadow-recovering-deleted-vss-snapshots-9931
2. Black Hat Europe 2018
• Deep Impact: Recognizing Unknown Malicious Activities from Zero
Knowledge
• https://www.blackhat.com/eu-
18/briefings/schedule/index.html#deep-impact-recognizing-
unknown-malicious-activities-from-zero-knowledge-12276

35. 本書には、株式会社インターネットイニシアティブに権利の帰属する秘密情報が含まれて
います。本書の著作権は、当社に帰属し、日本の著作権法及び国際条約により保護されて
おり、著作権者の事前の書面による許諾がなければ、複製・翻案・公衆送信等できません。
本書に掲載されている商品名、会社名等は各会社の商号、商標または登録商標です。文中
では™、®マークは表示しておりません。本サービスの仕様、及び本書に記載されている
事柄は、将来予告なしに変更することがあります。
ご清聴ありがとうございました