インシデント発生時に電源を入れたままにすべきか問題 - Qiita

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 更新履歴 2024/6/28 ネットワーク遮断の是非について追記しました。 はじめに とあるセキュリティインシデントにおいて、サーバを電源ケーブルごと引き抜いたという対応が行われ、X（Twitter）ではこの対応について賛否両論が見られました。このうち電源を入れたままにすべきという人の意見には、「マルウェアの中にはシャットダウンすることで自分自身を削除し、感染痕跡を削除するものがある」「メモリを調査すべきなのでシャットダウンすべきではない」のような意見が見られました。 本記事では実際にメモリからどのような情報がわかるか、そしてメモリダン

[hobbiel55]

自分ならメモリダンプから手口が特定できるかもしれないメリットよりも、それ以上のファイルの暗号化等を阻止できる可能性を優先して電源を抜くなあ。犯人特定よりも被害の極小化の方が大事。

[megumin1]

すでに乗っ取られている以上、メモリダンプどころかすべてのコマンドの実行結果は信頼できないですよ。rootがとられているなら、なんでも偽装・改ざんが可能。

[NOV1975]

連続的に攻撃を受けて被害の拡大が予想される時の行動としてどうか、みたいな前提おかず手法の是非だけ議論されてるのがおかしいのよ

[cubed-l]

「個人的な経験からもメモリダンプがないと手も足も出ないというケースはほぼありません」

[gmdualis479]

https://ascii.jp/elem/000/004/203/4203197/

[ene0kcal]

それは悪意あるソフトウェアがどこまで破壊機能を有しているかによるので、解析前に確実に分かるものではないと思うのですが。だからこそインシデント対応手順を事前に用意し、手順にそって進めるしかないかなと。

[fukken]

「電源ケーブルを物理的に抜く」、一般のIT技術者視点だとすぐには出てこない対処法なので（野蛮！）、担当者は素人ではなく一定のセキュリティ知識があり、その上での判断だと思う。

[deep_one]

「停めたはずのプライベートクラウドサーバーが立ち上がる」という状況ではメモリの内容は取れないだろうな。

[rgfx]

仮想化の壁が貫通されてない自信がお有りなら割当CPUを0にしてサスペンド、とかの声も聞こえてきたけどランサム等で組織内部からやられてるんならメモリダンプの保全とか贅沢言わず電プチしてddじゃない？

[azumi_s]

私もあの状況なら電源引っこ抜くかなぁ。

[midnight-railgun]

「トロッコ問題」だな

[yuangao]

単体の物理サーバならLAN抜くだけにしとくけど、仮想化基盤の物理サーバなら電源落とすかな。仮想サーバ間で被害広がってくかもしれんし。

[kaorun]

単純にセキュリティ対策としてのメモリダンプについて語ってもごく一部にしか読まれないので、このタイミングでこの形の釣りタイトルはありだと思うなぁ。

[chiroruxx]

電源を入れたままにすべきか問題ではなくメモリフォレンジックについて書きたいだけなのでは？

[daishi_n]

今回って仮想マシン制御ネットワークまで乗っ取られていたから、メモリダンプ取れたかは微妙。VMwareはメモリと同容量のストレージ確保してるからダンプできない訳ではなさそうだけど

[a2c-ceres]

コアメモリなら電源切っても残ったのにね、と言うのは冗談。現在のCPUはメモリコントローラーも内蔵しているのでメモリユニットだけ切り離してダンプも難しい。現実的にはオフラインバックアップ等の備える対策迄か。

[rrringress]

教科書の知識以上の話はなかなか聞けないのでありがたい

[miragestlike]

エンジニア間でバチバチ喧嘩してた話題だ

[misomico]

シャットダウンするか、電源ケーブルを引っこ抜くか、もまた違いそう

[toaruR]

仮想環境優秀

[umaemong]

電源は気になってた。有識者の解説ありがたい。自分なら電源切るかな。まだ救えるデータが残ってるかもしれないので。

[sisya]

攻撃者は、どうしようもない状態にすることが目的なのだから、正解はないと思う。今回の場合、原因の究明は遅れて(不可能になって)も、まずはユーザ情報を守ることを第一にしたのだろうから、対処は正解と感じる。

[newforms]

電源ケーブル抜いた後ってどうするのだろう

[yuuichi-fuse]

状態を把握できていない状態なら被害の拡大を防ぎたい。そのため電源落として被害状態が変わらない状態に持っていくためにシャットダウンを選びたい。電源落としてシャットダウン中の処理も何もさせたくない。

[s_nagano]

場合による

[lambdalisue]

どっちを選んでも正解じゃないならば、自分なら被害を少なくできる可能性がある方に賭けるな。誰かがどっちを選んでも、それが両方を考慮した上での選択ならば外野がその選択を責めることはできないよね。

[gairasu]

心理的にはウイルスなら他責で業務停止なのに電源引っこ抜きは自責になるのでハードルが高いんだよね。法定停電対応等の経験上、物理が壊れることも過る。ログ云々は論理的に嫌なだけで心理的負担の方が大きい。

[ya--mada]

メモリフォレンジックてやりたいのかなぁ?

[nezuku]

メモリダンプの採取という観点では電源を落とすのは躊躇してしまいがちだが、それより被害拡大防止の傾向が大きくなるか。電源を落とすにしても、正規のシャットダウンだと自爆や証拠隠滅される可能性もあり…

[door-s-dev]

ネットワークを切るというのが一般的な対処という認識なんだけども