こんにちは、Recruit-CSIRT 市田です。 この記事では、Recruit-CSIRTが日頃サーバーにおける侵害調査の初動をどのようにやっているかをお伝えします。 サイバー攻撃時の初動、トリアージ もしみなさんが、「システムがサイバー攻撃を受けて侵害されていないか」を確かめるときどのようなことを行っていますか? 侵害(Compromise)とは、システムに不正アクセス、侵入をするという意味で捉えていただければと思います。 まだ、どうやって侵害されたのか・過去何が起こっていたのか・今何が起こっているのかが不明瞭であり、どのサーバーから手をつけたらいいか迷う状況にて、インシデント対応では「トリアージ(Triage)」という処置を行います。サイバーインシデントの復旧や対策の優先度を決めるための調査のことです。 これは、医療現場などでも使われている言葉で、救急救命の際に患者の容体を把握しどの