ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」
ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」:セキュリティリサーチャーからの提案(後編)(1/3 ページ) 「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER:Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。 マカフィーのセキュリティカンファレンス「MPOWER:Tokyo」で講演を行ったソフトバンク・テクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏。 レポート記事の前編では、2017年に流行した「WannaCry」などの例を挙げながら、「セキュリティの基礎を再度確認し、土台をしっかりすること」「個人情報以外も狙われることを知り、インシデントが発生したら、社会貢献と考えて正しく情報公開を行う」という、辻氏の提案
WannaCryが浮き彫りにした泣きたくなるほど取り残されたシステム - 雑種路線でいこう
昨晩から騒がしくなってきたランサムウェアWannaCryの大規模感染。従来のようにメールで感染した後、3月の定期更新で修正されたSMBの脆弱性を突いて横に広がるらしく、これまでのランサムウェアよりは広範囲に広がっているようだ。当初は日本の被害は確認されていないという話もあったけれども、時差の関係で先に休みに入ってしまったから確認できていないだけで、月曜には阿鼻叫喚を見られるかも知れない。この程度の攻撃でこれだけ被害があったことは、世界中で「取り残されたシステム」が依然として世の中を支えていることを図らずも浮き彫りにしている。 報道のされ方としては2003年のBlasterを彷彿とさせるが、実際そこまで広がりはしまい。Blasterが悪用していたMSRPC DCOMは全てのPCで動いていたけれども、Wannacryが悪用するMS17-010はファイル共有しているPCにしか影響しない。いまどき
セキュリティ事故対応に備えて知っておきたい「ディスクコピー」の手順
FTK Imagerを利用したディスク保全の手順 事前準備: 1.FTK Imager Liteを公式サイトからダウンロードする 2.FTK Imager LiteをZIPから展開し、外付けHDDなどに保存しておく。このとき、外付けHDDには、ディスクのコピーファイルも保存するため、十分なサイズのものを用意する 作業手順: 1.FTK Imagerを保存した外付けHDDを保全対象PCに接続する 2.FTK Imagerを起動する 3.ディスク保全機能を立ち上げる 4.「Select Source」を指定する 保全するディスクの形式を選択する。PCの保全であれば、「Physical Drive」を選択する 5.「Select Drive」を指定する 保全する対象のディスクを正しく選択する 6.「Create Image」で保存先を指定する Addボタンを押し、保存先指定の画面を呼び出す 7.
セキュリティ事故対応における“オープンソース”活用法指南(応用・解析編)
セキュリティ事故対応における“オープンソース”活用法指南(応用・解析編):初動対応用データ保全ツール「CDIR Collector」解説(後編)(1/3 ページ) セキュリティインシデントへの初動対応に役立つツール「CDIR Collector」の活用方法について解説する本連載。後編では、ネットワーク経由での利用や抽出したデータの解析方法などを紹介します。 連載目次 前回は、インシデント発生時の初動対応の現状や、USBメモリを使って「CDIR Collector」でデータを保全する手順などを紹介しました。今回は設定のカスタマイズやUSBメモリ以外を用いた方法を中心に紹介していきます。 設定ファイル「cdir.ini」のカスタマイズ CDIR Collectorではメモリとディスク内の主要データを取得することができますが、状況によっては「再起動されているためメモリは取得しても意味がない」「取
セキュリティ事故対応における“オープンソース”活用法指南
セキュリティ事故対応における“オープンソース”活用法指南:初動対応用データ保全ツール「CDIR Collector」解説(前編)(1/3 ページ) 本稿では、セキュリティインシデントへの初動対応に役立つツール「CDIR Collector」の活用方法について、実際に企業の現場でインシデント対応に携わる筆者が、自身の経験談を交えつつ解説します。 難しいセキュリティインシデントの初動対応 外部からの不正アクセスによるウイルス感染、情報流出といったサイバー攻撃が、国内外で後を絶ちません。筆者は現在、企業のセキュリティインシデント(以降、インシデント)の発生原因や被害の詳細を特定するための「フォレンジック技術」を活用した調査に携わっていますが、被害PCを解析していてよく感じるのは、「組織がインシデントを認識した後の初動対応によって、有益な情報が消失しているケースが非常に多い」ということです。 そこ
セキュリティベンダーが解説する「事故対応を外注するなら絶対に守ってほしいポイント」
このうち、例えばメモリ内のデータは、OSをシャットダウンすると消去されるため、「揮発性情報」と呼ばれます。メモリ解析によって、必ずしも事故対応の決定打となる情報を得られるわけではありませんが、メモリにしか痕跡が残らないような被害を受けた場合、OSのシャットダウンで証拠が消えてしまいます。 そのため、コンピュータが起動している状態で証拠となるコンピュータを確保できた場合は、電源を落とさずにメモリ内のデータを維持することを検討します。加えて、そのままでは被害が広がる可能性がある場合は、コンピュータをネットワークから切り離します。厳密にはネットワークからの切り離しによってもメモリ内の情報は変化し、一部が消失してしまうのですが、被害拡大の防止を目的としている場合は必要な対処です。 なお、ネットワークから切り離すコンピュータがサーバ系で、ログのローテーション(ログファイルのバックアップと初期化の自動
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
