セキュリティへの意識が高く知識が豊富な従業員でさえも、セキュリティ問題にどう対処すべきか十分に分かっていないことがよくある。危険にさらされているのか、単なるIT上の問題なのか見分けることさえ困難だ。エフセキュアサイバーセキュリティサービスのエキスパートであるJanne Kauhanenよると、人は多くの場合、ハッキングされたと思うとパニックになりストレス状態に陥る。そして、正しい対応ができないために事態を悪化させてしまうこともありうる。
したがって、ハッキングされたと思ったら、自暴自棄になって窓からコンピュータを投げ捨てる前に、次の方法をぜひ試してほしい。まず落ち着いてこの手順に従い、被害を最小限に抑えて何が起こっているのかを見極めることで、会社の時間とお金を無駄にせずにすむとともに、悩みの種も解決できるのだ。
- パニックにならない:これは当然のことに聞こえるが、Janneいわく、パニックは典型的な最初の反応なのだそうだ。「セキュリティ上の事件は企業にとって極めて深刻です。同時に、従業員は自分を責めてはいけません。また、個人情報や雇用主に隠したいウェブ閲覧履歴を削除するなど、過剰に反応しないようにしてください(誰でも私用で職場のPCを使っています。だから、隠す意味がありません)。最善の対応は、落ち着いて、状況を改善するためにできることに集中することです」とJanneは言う。
- コンピュータや機器の電源を切らない:パニックになった人々の多くがしてしまうよくある間違いが、機器の電源を切ってしまうことだ。確かに、ハッキングされたコンピュータも電源が通じていなければ、大きなダメージを与えることもないだろう。だが、実はこれが攻撃者を助けることにもなるのだ。
基本的に、電源を切ると機器のランダムアクセスメモリ(RAM)に保存されている情報が消去されてしまう。調査員にとってこの情報は非常に重要だ。「電源を切ることは、攻撃者が誰かを示す手がかりや彼らが何をしたのかを明らかにする証拠を消すようなものです。ですから、電源を切ると調査員の作業が一層困難になり、ハッカーを助けることになるのです」とJanneは指摘する。
結局、攻撃者の逃げ切りを助けることになり、ハッキング後のフォレンジクス作業にさらに費用と時間がかかってしまう。だから、コンピュータの電源は切るべきではないのだ。調査員が作業をする前に、バッテリーが切れないように電源に接続しておくのもよい。
- 機器のネットワーク接続を遮断する:「できれば物理的に」とJanneは言う。コンピュータの電源を切ることは敵を資することになるが、ネットワーク接続をそのままにしておくことは絶対に許されない。「あなたのコンピュータはハッキングされたかもしれませんが、まだこの時点では、攻撃者にネットワーク全体を移動するチャンスがあったとはあまり考えられません。ですから、ネットワーク接続を遮断することで、攻撃者がハッキングしたコンピュータを通じてネットワークの奥深くまで入り込まないようにすることができます」。以下は、多くの人々が仕事で使用しているネットワークの例である。
- Wi-Fi
- Bluetooth
- NFC
- モバイルデータネットワーク(SIMカードを取り外す)
そして当然のことだが、被害に遭った機器に(物理的またはワイヤレスネットワークにより)接続されているリムーバブルストレージ機器(携帯やタブレットを含む)は、どんな種類のものであっても、使用を続けてはいけない。
- コンピュータに触るのを止める:最初の3つの手順が終わったら、ゴールまであと少しだ。ここまでで、攻撃者がハッキングされた機器から会社のネットワーク内を動き回らないようにすることができた。証拠も消さずに残っている。その証拠があれば、他の者(自社のCISOや専門のフォレンジクス調査員など)が攻撃を追跡し、いつどのように侵害されたのか、攻撃者は何をしたのか、そして運が良ければ攻撃者が何者かも分かる。だからしばしの間は安心して、深呼吸をし、ここまでは事件に正しく対応できたと自分を褒めてあげよう。
- 起こったことを書き留める:落ち着いて自分を取り戻し、考えをまとめたら、何が起こったのかを記録する必要がある。そのために自分のコンピュータをもう使用したくはないだろうから、紙とペンを手にとればいい。思い出せる限り細かいところまで書き留めてみよう。何がきっかけで問題があると感じたのか、何をしていたときに問題があると気づいたのか、問題を発見してから何をしたか、最近怪しいメールや通信がなかったか、自分のコンピュータでリムーバブルストレージ機器や他の周辺機器を使用してないかなどを書き出してみるのだ。
Janneによれば、「事件が起こった日付と時間は特に重要です。機器には多くの潜在的証拠が残されているので、いつ何が起きたのかがわかっていると、範囲が絞りこめて作業も速く進められる」のだそうだ。
- ヘルプを求める:「この段階でヘルプを依頼してください」とJanneは言う。企業、時には各従業員によって、どこにヘルプを求めるかは若干異なるが、CISOでも外部のセキュリティコンサルタントでもかまわないので、問題をもっと多くの人に確認してもらおう。
上記の手順を記載したイラスト付きガイドのダウンロードは、こちらから。
会社のPCがウィルスに感染したら!?
カテゴリ