ハッキングされてしまったときの対処方法

職場の同僚は、実際にハッキングされたらどうすべきか知っているだろうか?知らないのであれば、このクイックガイドをダウンロードして、コンピュータがハッキングされた場合の対処方法をぜひ確認してほしい。

ビジネスセキュリティのベストプラクティス, ビジネスセキュリティニューズ // 2016-07-11

セキュリティへの意識が高く知識が豊富な従業員でさえも、セキュリティ問題にどう対処すべきか十分に分かっていないことがよくある。危険にさらされているのか、単なるIT上の問題なのか見分けることさえ困難だ。エフセキュアサイバーセキュリティサービスのエキスパートであるJanne Kauhanenよると、人は多くの場合、ハッキングされたと思うとパニックになりストレス状態に陥る。そして、正しい対応ができないために事態を悪化させてしまうこともありうる。

したがって、ハッキングされたと思ったら、自暴自棄になって窓からコンピュータを投げ捨てる前に、次の方法をぜひ試してほしい。まず落ち着いてこの手順に従い、被害を最小限に抑えて何が起こっているのかを見極めることで、会社の時間とお金を無駄にせずにすむとともに、悩みの種も解決できるのだ。

  1. パニックにならない:これは当然のことに聞こえるが、Janneいわく、パニックは典型的な最初の反応なのだそうだ。「セキュリティ上の事件は企業にとって極めて深刻です。同時に、従業員は自分を責めてはいけません。また、個人情報や雇用主に隠したいウェブ閲覧履歴を削除するなど、過剰に反応しないようにしてください(誰でも私用で職場のPCを使っています。だから、隠す意味がありません)。最善の対応は、落ち着いて、状況を改善するためにできることに集中することです」とJanneは言う。
  2. コンピュータや機器の電源を切らないパニックになった人々の多くがしてしまうよくある間違いが、機器の電源を切ってしまうことだ。確かに、ハッキングされたコンピュータも電源が通じていなければ、大きなダメージを与えることもないだろう。だが、実はこれが攻撃者を助けることにもなるのだ。基本的に、電源を切ると機器のランダムアクセスメモリ(RAM)に保存されている情報が消去されてしまう。調査員にとってこの情報は非常に重要だ。「電源を切ることは、攻撃者が誰かを示す手がかりや彼らが何をしたのかを明らかにする証拠を消すようなものです。ですから、電源を切ると調査員の作業が一層困難になり、ハッカーを助けることになるのです」とJanneは指摘する。

    結局、攻撃者の逃げ切りを助けることになり、ハッキング後のフォレンジクス作業にさらに費用と時間がかかってしまう。だから、コンピュータの電源は切るべきではないのだ。調査員が作業をする前に、バッテリーが切れないように電源に接続しておくのもよい。

    1. 機器のネットワーク接続を遮断する「できれば物理的に」とJanneは言う。コンピュータの電源を切ることは敵を資することになるが、ネットワーク接続をそのままにしておくことは絶対に許されない。「あなたのコンピュータはハッキングされたかもしれませんが、まだこの時点では、攻撃者にネットワーク全体を移動するチャンスがあったとはあまり考えられません。ですから、ネットワーク接続を遮断することで、攻撃者がハッキングしたコンピュータを通じてネットワークの奥深くまで入り込まないようにすることができます」。以下は、多くの人々が仕事で使用しているネットワークの例である。
      • Wi-Fi
      • Bluetooth
      • NFC
      • モバイルデータネットワーク(SIMカードを取り外す)

そして当然のことだが、被害に遭った機器に(物理的またはワイヤレスネットワークにより)接続されているリムーバブルストレージ機器(携帯やタブレットを含む)は、どんな種類のものであっても、使用を続けてはいけない。

    1. コンピュータに触るのを止める最初の3つの手順が終わったら、ゴールまであと少しだ。ここまでで、攻撃者がハッキングされた機器から会社のネットワーク内を動き回らないようにすることができた。証拠も消さずに残っている。その証拠があれば、他の者(自社のCISOや専門のフォレンジクス調査員など)が攻撃を追跡し、いつどのように侵害されたのか、攻撃者は何をしたのか、そして運が良ければ攻撃者が何者かも分かる。だからしばしの間は安心して、深呼吸をし、ここまでは事件に正しく対応できたと自分を褒めてあげよう。
    2. 起こったことを書き留める落ち着いて自分を取り戻し、考えをまとめたら、何が起こったのかを記録する必要がある。そのために自分のコンピュータをもう使用したくはないだろうから、紙とペンを手にとればいい。思い出せる限り細かいところまで書き留めてみよう。何がきっかけで問題があると感じたのか、何をしていたときに問題があると気づいたのか、問題を発見してから何をしたか、最近怪しいメールや通信がなかったか、自分のコンピュータでリムーバブルストレージ機器や他の周辺機器を使用してないかなどを書き出してみるのだ。

Janneによれば、「事件が起こった日付と時間は特に重要です。機器には多くの潜在的証拠が残されているので、いつ何が起きたのかがわかっていると、範囲が絞りこめて作業も速く進められる」のだそうだ。

  1. ヘルプを求める「この段階でヘルプを依頼してください」とJanneは言う。企業、時には各従業員によって、どこにヘルプを求めるかは若干異なるが、CISOでも外部のセキュリティコンサルタントでもかまわないので、問題をもっと多くの人に確認してもらおう。

上記の手順を記載したイラスト付きガイドのダウンロードは、こちらから。

ハッキングされてしまったときの対処方法」への2件のコメント

  1. 「ハッキング」がバックドアによる侵入といった話なら、電源を切らないのも一理ありますが、解析業者にPCを送るにはどのみち電源は切るでしょう。
    そして最近多いランサムウェア入り添付ファイルを開いたといった場合は、電源は即座に切るべきです。
    「ハッキング」かどうかの切り分けがエンドユーザにはできないというのが課題。

    いいね

    • コメントありがとうございます。原文の作者に回答の確認をとっておりましたため、反映が遅くなり、申し訳ありません。以下、原作者よりの回答を翻訳させていただきます。

      「素晴らしい質問をいただき有難うございます。情報システムの責任者や、会社のサイバーセキュリティ担当者と話すまで電源を切らない、ということは、それ以下に提案する方法の最初のステップにすぎません。責任者に報告して事態を理解してもらえば、ブログに記載していた一般的なアドバイスを超えた適切なプロセスを指示してもらえます。電源を切ってどこかに送るべきなのか、オンサイトサポートを依頼するべきなのか、など。

      ここでは、すぐに電源を切らないことを推奨していますが、マルウェア、ブラックアウトなどといった制御不能な事態により、電源を切ることを余儀なくされることもあります。その場合は、サポートをもらえる担当者と連絡が付くまでの間に、出来ることをするだけです。

      この回答がお役に立てれば幸いです。」

      Good question! Not powering down the machine until you speak to a CISO or someone else involved with your company’s cyber security is just one of the first steps we suggest following. But if you’ve contacted the appropriate person and made them aware of the situation, they can give you specific instructions on how to proceed beyond the general advice we’ve provided (including whether or not you should power down the machine and ship it somewhere, or whether someone should come to you and conduct an onsite investigation).

      And while this guide recommends against immediately powering down a machine that you think has been hacked, it’s perfectly possible that circumstances beyond your control makes this impossible. If you’re forced to power down your infected machine (by malware, a blackout, etc.) simply proceed as best you can until you contact someone for further assistance.

      Hope this answers your question ☺

      いいね

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中