CSIRT小説「側線」 第11話:鑑識(後編):CSIRT小説「側線」(2/2 ページ)
自社を攻撃した犯人について、本格的な調査を始めた「ひまわり海洋エネルギー」のCSIRT。コマンダーのメイは、フォレンジック(鑑識)を担当する識目(しきめ)の元を訪ね、その仕事について詳しく聞こうとしていた。
識目は頭をつるりとなでて答えた。
「ああ、まず対象となるOSやそこで使われるコマンド、システムファイルの役割などは、基礎知識として必要だね。さらに、その機器で使われるプログラミング言語の構造やプログラムロジックに関する知識が要る。また、攻撃者が狙ってくるだろう、脆弱(ぜいじゃく)性に関する知識も必要だよ。ここまでは仕事をする上での基本。
その上で、さっき話したフォレンジックに関する知識――隠された真実を見つけるためのメモリダンプ(注)解析能力や、ウイルスがどのような振る舞いをするのかを見極めるウイルス解析能力、場合によっては機械語から動作を逆算するリバースエンジニアリングの能力、そのためのバイナリ解析ツールを利用できる能力も要るね。最終的には、これらを駆使してセキュリティイベントの相関分析を行い、見当を付けていくことになる。技術もそうだけど、経験がモノを言うね」
――識目は二の腕をペシペシとたたきながらご満悦だ。
注:メモリダンプ(memory dump):ある特定の瞬間にメモリに展開されていたプログラムやデータの内容を丸ごと複写したもの。その当時の実行状態やプログラムの内容などが記録される。あるプログラムに異常が生じた場合、その原因や欠陥を調べる過程に使われることがある。
メイが驚く。
「そんなに多くの知識が必要とは……一般企業では、そのような知識をお持ちの人はいらっしゃらないのではないでしょうか?」
識目が答える。
「もちろん。フォレンジックが主に活躍するのは、警察や検察あたりかなぁ。防衛に関わる組織にも必要だとは思うけど。セキュリティベンダーの中には、これを専門に取り扱う企業もあるね。一般企業でフォレンジックエンジニアを抱えているケースはまれだと思う。ツールを流すことくらいはやると思うけど。第一、そんなにいつもフォレンジックエンジニアが活躍するようなセキュリティ状況だとヤバいよ。普通は必要に応じてアウトソーシングすればいいんじゃないかな」
「同じ警察関係でも、鯉河(こいかわ)さんとはずいぶん違いますね」
メイが感心して聞く。
「鯉川はインベスティゲーターだからね。こっちが鑑識ならば、鯉河は刑事。お互いに協力し合うけど、仕事内容は全く違うよ。
鯉河の場合は、情報を収集し、インテリジェンスを活用できる能力、国家間の関係やハクティビストに関する分析能力、証拠の押収、保存の知識、ウチの会社のシステムに関する知識を基本として、犯人特定のための捜査能力や尋問に関するコミュニケーション能力と知識を使う。まぁ、このあたりはお手の物だけどね。
それに加えて攻撃者の戦術や技術、手順に関する知識。ここは見極(みきわめ)と協力してやっているみたいだね。サイバー犯罪に関する法律的知識も必要だけど、ここは彼は嫌がってるね、ははは。相手がワイスだからかな?」
立法Wythe遵子:「法律は仕事を邪魔するのではなく、自分たちを守ってくれる」という信念を持つ。教育担当とは仲が良いが、CSIRT全体統括に対しては冷ややかな態度をとる。善(ぜん)さんに癒やされている。
――メイはここでも小さなチームワークのつながりを感じた。キュレーター、インベスティゲーター、フォレンジックエンジニア、リーガルアドバイザー。もちろん、リサーチャーもここに加わるだろう。悪意のある行為や犯人像を特定するために必要なチームだ。
「よく分かりました。それで、今回のフォレンジック結果からは、どんなことが分かったのですか?」
識目が答える。
「ブラウザのエクステンション、つまりプラグインやアドオンとかいう追加プログラムに怪しい物があると見ている。普通はまともに動いていて、もちろん、ウイルス対策ソフトにも引っ掛からないけど、ある特定のタイミングか何かで、インターネット上からウイルスを引き込むような動きをしている。
もちろん、安全のために見極にはその通信先になっている不審なサイトをブロックするように言ってあるけど。志路(しじ)さんにも、この怪しいエクステンションから得られた情報を渡してあるよ。こういう情報はCSIRTで共有すべきだろうね。志路さんが内容を整理した後でメイちゃんにも情報がいくと思うよ。羽生(はぶ)ちゃんから情報連携するように言っておくといいね」
「でも、今回のような案件で、よくそこまで分かりましたね」
識目が言う。
「決して一人で解決したわけではないけどね。オジサンチーム総動員だ。志路さんからの依頼や、見極と鯉河の調査によるものも大きいよ。鯉河には調査の裏取りや新しい情報の確認を兼ねて、今インターポールへ行ってもらっているところだけどね」
――タイミング良く、識目の電話が鳴る。
「あ、見極か。何? あぁ、そうー。鯉河から電話があったと。それで? うん、うん。おー、そりゃ良かった。大収穫だね。帰国が楽しみだ。了解、了解」
――上機嫌でメイに話す。
「だいたい当たっているそうだよ。もう少し詳細なデータもインターポールで得られた様だね」
メイは目を見開いて言う。
「さすがですね、識目さん。すごいです。みんな、すごいです」
メイは少し興奮して、何てすごいチームなんだろうと感心した。
識目はうんうんと何度もうなずいて、つるりと頭をなでた。
【第11話完 第12話に続く】
イラスト:にしかわたく
関連記事
- CSIRT小説「側線」 第9話:レジリエンス(後編)
「この製品さえ入れれば、御社のセキュリティは絶対に安全です!」「AIでどんな攻撃も防ぎます」――って、本当に確証はあるの? 前回の攻撃で、社内の防衛装置を無効化されてしまった「ひまわり海洋エネルギー」では、本当に有効なセキュリティ戦略を探そうと、道筋(みちすじ)がベンダーの営業担当に話を聞き始めた。ヒートアップする会話の焦点とは一体……? - CSIRT小説「側線」 第9話:レジリエンス(前編)
前回の攻撃で、ほとんどの防衛装置を無効化された「ひまわり海洋エネルギー」。あと少しで機密情報を失うところだった社内では、セキュリティシステムの見直しが始まる。それは、CSIRTのソリューションアナリスト、道筋(みちすじ)が新たな使命を与えられたことを意味していた……。 - CSIRT小説「側線」 第8話:全滅(後編)
本来防げるはずのウイルスが役員の端末に入り込み、機密情報を流出させていた――。メイたちCSIRTのセキュリティ防衛装置を「全滅」させた仕掛けとは。一方、CISOの小堀は、説明責任を果たそうとある行動に出る。 - CSIRT小説「側線」 第8話:全滅(前編)
「ひまわり海洋エネルギー」新生CSIRT結成から数カ月。ようやくインシデント対応に慣れ始めたチームに緊急事態の一報が入る。会社の幹部が所有する端末が繰り返していた“異常な通信”とは一体……? - CSIRT小説「側線」 第7話:協調領域(後編)
「従業員の心得」「コンプライアンス」「ハラスメント防止」――忙しい業務に加わる“講習三昧”に苦情の声をあげる社員たちに、一体どうすればセキュリティ教育を真剣に受けてもらえるの? 悩みぬくCSIRTの教育担当に、ベテランがくれたアドバイスとは。
Copyright © ITmedia, Inc. All Rights Reserved.