クラウド基盤を標的とした大規模ラインサムウェア攻撃へのインシデント対応と事後対応事例
クライアントの課題・背景
システム会社Lのクラウド基盤に対してのサイバー攻撃により、トロイの木馬による侵入、仮想サーバの大量削除、情報漏洩、ランサムウェアの被害に直面した。
攻撃者は複数のアカウントを乗っ取り、各種ツールを用いてネットワーク内を水平展開。
特権アカウントにより数百台のサーバを削除するという深刻な事態が発生。社内外の影響が甚大で、原因の特定と再発防止策の検討が急務となった。
当社の関わり方・提供したサービス
当社は、本件に対しフォレンジック調査から危機管理対応及びその後のセキュリティ対策までセキュリティライフサイクルに沿って実施した。
<事故対応>
- 被害範囲の特定に向けた全体ヒアリングと資料分析
- インシデントハンドリング対応
○各種ログの保全支援
○フォレンジックによる初期侵入経路の特定と悪用アカウントの洗出し
○フォレンジックによる不正ツールやランサムウェアの暗号化活動や痕跡の特定
○仮想環境やネットワーク機器における統合的なログトレース
○定期会議と報告書の報告会
- 暫定対策支援
○安全性確認診断
○対策仕様策定支援
- 危機管理対応支援
○ホームページ掲載情報支援
○ステークホルダー対応支援
○メディア対応支援
<現状調査><企画設計>
5.恒久対策設計支援
〇リスクアセスメント支援
〇ポリシー策定支援
〇企画設計・運用設計アドバイス
〇CSIRT構築支援
<対策実施><検証・評価><運用>
6.恒久対策構築・運用
〇当社対応導入物の構築
〇SIer側構築との連携
〇定期的安全性確認診断
〇各種教育支援
〇SOC対応
成果・導入効果
事後対応に有効となった事故対応での成果
- 初期アクセスの詳細な特定
MITRE ATT&CK
- 特権アカウントの利用状況や脆弱性の可視化
- 仮想サーバ削除の手口とタイミングの特定により再発防止の材料を提供
- 情報漏洩の可能性と対象ファイルの範囲特定により外部説明準備を支援
- ランサムウェアの種類と拡散経路を明示し、復旧計画に反映
- 原因の明確化と復旧後の適切な恒久対策によりステークホルダーからの信頼回復・向上
クライアントのコメント
「クラウド基盤という特殊な環境下での迅速かつ網羅的な解析により、被害状況の可視化と信頼回復に大きく貢献いただきました。」
担当者視点のこだわり・工夫
クラウド環境かつ仮想化基盤上での事案であったため、複数層にわたるログを横断的に分析。特に特権アカウントの利用ログや、特殊な持ち込みツールの挙動分析に注力した。また、削除された仮想サーバの影響を補完するため、ネットワークログやイベントログを活用し被害の実態把握に努めた。
業界や企業規模の特徴への適応
本事案はクラウドベースのサービスを提供する企業であったため、クラウド特有の脅威と対策が求められた。仮想化環境におけるサーバ横断型の攻撃や、外部からのリモートアクセス、クラウドストレージ連携への対応が中心となる中、当社のクラウド対応フォレンジックノウハウが生かされた。
未来視点・読者へのメッセージ
仮想環境やクラウドは便利な一方、攻撃者にとっても魅力的なターゲットです。物理的隔離が難しい今だからこそ、フォレンジックの準備やログの整備、アカウント管理の厳格化が求められます。「可視化できる環境」こそが次なるインシデントへの最善の備えです。
RELATION
関連記事
CONTACT
万が一のインシデントに備えませんか?
私たちが情報セキュリティをまとめて解決します
ご不明な点はお気軽に
お問い合わせください
