CSIRT小説「側線」 第11話:鑑識(後編)CSIRT小説「側線」(2/2 ページ)

» 2018年11月02日 07時00分 公開
[笹木野ミドリITmedia]
前のページへ 1|2       

 識目は頭をつるりとなでて答えた。

 「ああ、まず対象となるOSやそこで使われるコマンド、システムファイルの役割などは、基礎知識として必要だね。さらに、その機器で使われるプログラミング言語の構造やプログラムロジックに関する知識が要る。また、攻撃者が狙ってくるだろう、脆弱(ぜいじゃく)性に関する知識も必要だよ。ここまでは仕事をする上での基本。

 その上で、さっき話したフォレンジックに関する知識――隠された真実を見つけるためのメモリダンプ(注)解析能力や、ウイルスがどのような振る舞いをするのかを見極めるウイルス解析能力、場合によっては機械語から動作を逆算するリバースエンジニアリングの能力、そのためのバイナリ解析ツールを利用できる能力も要るね。最終的には、これらを駆使してセキュリティイベントの相関分析を行い、見当を付けていくことになる。技術もそうだけど、経験がモノを言うね」

 ――識目は二の腕をペシペシとたたきながらご満悦だ。

注:メモリダンプ(memory dump):ある特定の瞬間にメモリに展開されていたプログラムやデータの内容を丸ごと複写したもの。その当時の実行状態やプログラムの内容などが記録される。あるプログラムに異常が生じた場合、その原因や欠陥を調べる過程に使われることがある。

photo 鯉河平蔵:警視庁からの出向。捜査の赤鬼と呼ばれる。キュレーターの見極とはよく議論になり、けんかもするがお互いに信頼している。年甲斐もなく車の色は赤。広島出身

 メイが驚く。

 「そんなに多くの知識が必要とは……一般企業では、そのような知識をお持ちの人はいらっしゃらないのではないでしょうか?」

 識目が答える。

 「もちろん。フォレンジックが主に活躍するのは、警察や検察あたりかなぁ。防衛に関わる組織にも必要だとは思うけど。セキュリティベンダーの中には、これを専門に取り扱う企業もあるね。一般企業でフォレンジックエンジニアを抱えているケースはまれだと思う。ツールを流すことくらいはやると思うけど。第一、そんなにいつもフォレンジックエンジニアが活躍するようなセキュリティ状況だとヤバいよ。普通は必要に応じてアウトソーシングすればいいんじゃないかな」

 「同じ警察関係でも、鯉河(こいかわ)さんとはずいぶん違いますね」

 メイが感心して聞く。

 「鯉川はインベスティゲーターだからね。こっちが鑑識ならば、鯉河は刑事。お互いに協力し合うけど、仕事内容は全く違うよ。

 鯉河の場合は、情報を収集し、インテリジェンスを活用できる能力、国家間の関係やハクティビストに関する分析能力、証拠の押収、保存の知識、ウチの会社のシステムに関する知識を基本として、犯人特定のための捜査能力や尋問に関するコミュニケーション能力と知識を使う。まぁ、このあたりはお手の物だけどね。

 それに加えて攻撃者の戦術や技術、手順に関する知識。ここは見極(みきわめ)と協力してやっているみたいだね。サイバー犯罪に関する法律的知識も必要だけど、ここは彼は嫌がってるね、ははは。相手がワイスだからかな?」

photo 立法Wythe遵子:「法律は仕事を邪魔するのではなく、自分たちを守ってくれる」という信念を持つ。教育担当とは仲が良いが、CSIRT全体統括に対しては冷ややかな態度をとる。善(ぜん)さんに癒やされている。

 ――メイはここでも小さなチームワークのつながりを感じた。キュレーター、インベスティゲーター、フォレンジックエンジニア、リーガルアドバイザー。もちろん、リサーチャーもここに加わるだろう。悪意のある行為や犯人像を特定するために必要なチームだ。

 「よく分かりました。それで、今回のフォレンジック結果からは、どんなことが分かったのですか?」

 識目が答える。

 「ブラウザのエクステンション、つまりプラグインやアドオンとかいう追加プログラムに怪しい物があると見ている。普通はまともに動いていて、もちろん、ウイルス対策ソフトにも引っ掛からないけど、ある特定のタイミングか何かで、インターネット上からウイルスを引き込むような動きをしている。

 もちろん、安全のために見極にはその通信先になっている不審なサイトをブロックするように言ってあるけど。志路(しじ)さんにも、この怪しいエクステンションから得られた情報を渡してあるよ。こういう情報はCSIRTで共有すべきだろうね。志路さんが内容を整理した後でメイちゃんにも情報がいくと思うよ。羽生(はぶ)ちゃんから情報連携するように言っておくといいね」

 「でも、今回のような案件で、よくそこまで分かりましたね」

 識目が言う。

 「決して一人で解決したわけではないけどね。オジサンチーム総動員だ。志路さんからの依頼や、見極と鯉河の調査によるものも大きいよ。鯉河には調査の裏取りや新しい情報の確認を兼ねて、今インターポールへ行ってもらっているところだけどね」

 ――タイミング良く、識目の電話が鳴る。

 「あ、見極か。何? あぁ、そうー。鯉河から電話があったと。それで? うん、うん。おー、そりゃ良かった。大収穫だね。帰国が楽しみだ。了解、了解」

 ――上機嫌でメイに話す。

 「だいたい当たっているそうだよ。もう少し詳細なデータもインターポールで得られた様だね」

 メイは目を見開いて言う。

 「さすがですね、識目さん。すごいです。みんな、すごいです」

 メイは少し興奮して、何てすごいチームなんだろうと感心した。

 識目はうんうんと何度もうなずいて、つるりと頭をなでた。

【第11話完 第12話に続く】

Photo CSIRT小説「側線」 人物相関図

イラスト:にしかわたく

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ