HOME»情報処理安全確保支援士掲示板»マルウェア感染時の対応
投稿する
SCの過去問でもマルウェア感染したときの対応を問う問題が何回か出題されています。
結論から言うと、その時の状況・優先事項によって変化するです。
以下対応例です。
1.ネットワークを切り離す
・感染防止のために即時切り離す
・速やかにメモリダンプを取得したのちに切り離す
2.電源を切る
・PCの場合、調査のために電源を入れたままにしておく
・サーバの場合、データの完全性を確保するために即時停止する
3.マルウェアスキャン
場合によると思われます
以上のように状況によってとるべき行動は変化します。
逆に最初から決め打ちで考えてしまうと、状況を踏まえたSCの設問に解答
できなくなってしまいます。
それもケースによります。
上の例では完全性をあげているので、重要データで、1バイトでも破壊されて
問題がある場合は、即時OSシャットダウンとなるでしょう。
そうして、ディスクのイメージなどを確保することにより、最低限のデータを
担保できると考えます。
しかし、サービス停止が伴います。サービス停止を伴ってまでも、完全性を
守るというレベルになると、経営陣判断まで必要になります。
その場合のスピード感についてはかなりシビアなものになります。
別の例としてサーバがクラスタリング構成で、データが共有ディスク上に
あるのであれあば、即時OS停止してもサービスへのインパクトは小さいと
考えられます。
このように、マルウェア対応は
・方針
・優先項目
・サービス影響
等を総合的に加味して対応するという点において、想像以上に複雑な対応が
必要となります。
マルウェアに感染しても手順に従えば、簡単に対応できるというイメージは
払拭したほうがよいと思います。
SCの設問でもIRTの対応として、影響と猶予時間を判断することが求められて
います。
マルウェア感染時の対応 [1460]
AP2さん(No.1)
マルウェア感染した際、取るべき行動を教えてください。
1.ネットワーク(切り離す/切り離さない)→切り離す
…ネットワーク情報収集できなくなってしまうがいいか?
2.PCの電源(切る/切らない)→切らない
…付けっぱなしだとマルウェア感染が拡大し、内部データがより破壊されてしまわないか?
3.マルウェアスキャン(行う/行わない)→行わない
…IT業者から「スキャンをかけると証跡が消える」と情報頂いたが、本当のことか?
こちら合っているか、補足事項等ありましたら併せて教えて頂けませんか?
恐れ入ります、お願い致します。
1.ネットワーク(切り離す/切り離さない)→切り離す
…ネットワーク情報収集できなくなってしまうがいいか?
2.PCの電源(切る/切らない)→切らない
…付けっぱなしだとマルウェア感染が拡大し、内部データがより破壊されてしまわないか?
3.マルウェアスキャン(行う/行わない)→行わない
…IT業者から「スキャンをかけると証跡が消える」と情報頂いたが、本当のことか?
こちら合っているか、補足事項等ありましたら併せて教えて頂けませんか?
恐れ入ります、お願い致します。
2024.03.29 07:52
pixさん(No.2)
★SC ダイヤモンドマイスター
>こちら合っているか、補足事項等ありましたら併せて教えて頂けませんか?
>恐れ入ります、お願い致します。
SCの過去問でもマルウェア感染したときの対応を問う問題が何回か出題されています。
結論から言うと、その時の状況・優先事項によって変化するです。
以下対応例です。
1.ネットワークを切り離す
・感染防止のために即時切り離す
・速やかにメモリダンプを取得したのちに切り離す
2.電源を切る
・PCの場合、調査のために電源を入れたままにしておく
・サーバの場合、データの完全性を確保するために即時停止する
3.マルウェアスキャン
場合によると思われます
以上のように状況によってとるべき行動は変化します。
逆に最初から決め打ちで考えてしまうと、状況を踏まえたSCの設問に解答
できなくなってしまいます。
2024.03.29 08:14
ぬささん(No.3)
pixさんの回答で1つ便乗して質問したいです。
「サーバの場合、データの完全性を確保するために即時停止する」ですが、即時停止とはシャットダウンのことでしょうか?
それともアプリケーションなどのソフトウェアだけを機能停止することでしょうか?
「サーバの場合、データの完全性を確保するために即時停止する」ですが、即時停止とはシャットダウンのことでしょうか?
それともアプリケーションなどのソフトウェアだけを機能停止することでしょうか?
2024.03.29 08:59
pixさん(No.4)
★SC ダイヤモンドマイスター
>pixさんの回答で1つ便乗して質問したいです。
>「サーバの場合、データの完全性を確保するために即時停止する」ですが、
>即時停止とはシャットダウンのことでしょうか?
>それともアプリケーションなどのソフトウェアだけを機能停止することでしょうか?
それもケースによります。
上の例では完全性をあげているので、重要データで、1バイトでも破壊されて
問題がある場合は、即時OSシャットダウンとなるでしょう。
そうして、ディスクのイメージなどを確保することにより、最低限のデータを
担保できると考えます。
しかし、サービス停止が伴います。サービス停止を伴ってまでも、完全性を
守るというレベルになると、経営陣判断まで必要になります。
その場合のスピード感についてはかなりシビアなものになります。
別の例としてサーバがクラスタリング構成で、データが共有ディスク上に
あるのであれあば、即時OS停止してもサービスへのインパクトは小さいと
考えられます。
このように、マルウェア対応は
・方針
・優先項目
・サービス影響
等を総合的に加味して対応するという点において、想像以上に複雑な対応が
必要となります。
マルウェアに感染しても手順に従えば、簡単に対応できるというイメージは
払拭したほうがよいと思います。
SCの設問でもIRTの対応として、影響と猶予時間を判断することが求められて
います。
2024.03.29 09:11
ぬささん(No.5)
ありがとうございます
2024.03.29 19:56
AP2さん(No.6)
ありがとうございました!
2024.03.30 09:57