B01-サイバー攻撃によるインシデント対応

〇インシデント発生時の初動

１．サイバーセキュリティ専門会社へ連絡して相談

　以下２社については相談することは無料。見積をもらってから依頼するか決める。

　依頼すると専任のコンサルタントがついて対応支援してくれる。

　サイバー保険に加入しておいて緊急時はこちらを利用するのが良いだろう。

　なお、各社チケットを購入すると優先的に対応してもらえるのでお金に余力がある

　会社はチケット購入するとよい（余ったチケットは教育や脆弱性診断に使える）

　★サイバー１１９（ラック社）そうだん無料

　https://www.lac.co.jp/consulting/cyber119.html

　★GSX緊急対応サービス　そうだん無料

　https://www.gsx.co.jp/services/emergency.html

　JNSAサイバーインシデント緊急対応企業一覧

　https://www.jnsa.org/emergency_response/

２．社内でできる封じ込め対応を実施

2-１．定番のネットワークから切り離し

　※切り離し後、フォレンジックに備えてシャットダウンはしないこと

2-２．同じウィルスに感染した端末がいないんか同一セグメント内すべての端末をフルスキャン

　※可能であれば対象セグメントの孤立化（valn間通信の遮断やルーティング情報の変更）

2-３．当該セグメントから接続性のある他セグメント端末（サーバ類）の確認

　ウィルススキャン、セキュリティログの確認、不審なプロセスの調査

2-４．当該セグメント起点の不審な通信の確認

　出口（UTM）や中央L3のログ情報を可能であれば相関分析して外部通信をチェック

2-５．アカウント侵害の確認

　認証サーバのログやアカウントの行動履歴を把握し必要に応じてアカウントの無効化対応

　→特に共有アカウントや管理者アカウントの不審なログがないか把握する

３．ウィルスセキュリティベンダーに相談（ランサム等に感染した場合）

　ウィルス検体を送って解析依頼（どんなふるまいするウィルスか調べてもらい、影響把握する）

４．復旧

　もしランサムウェア感染であればベンダーに依頼する方が良い。

　（上記緊急対応サービスの延長で復旧サービスも追加オプションで依頼）

　なお、バックアップデータは読み取り専用もしくは、定期的にオフラインメディアに

　保存しておくことを推奨する。

　推奨のソリューション→ありきたりだが Rubrik です　https://www.rubrik.com/ja

〇報告先（いろいろ片付いてからでOK）

・JPCERT　インシデント報告先

　https://www.jpcert.or.jp/form/

・IPA　コンピューターウィルス、不正アクセスに関する届け出

　https://www.ipa.go.jp/security/todokede/index.html

〇その他

・愛知県警

　愛知県警察相談専用電話 052-953-9110

　※事件性がある場合は証拠品が押収されてしまう恐れがあるため

　　連絡する前に他の媒体にデータ退避しておく（バックアップ取得）こと

　三重県警、岐阜県警　は最寄りの警察署へ連絡する

〇参考サイト

・愛知県警（サイバー犯罪対策）

　https://www.pref.aichi.jp/police/anzen/cyber/

・岐阜県（サイバー犯罪対策）

　https://www.pref.gifu.lg.jp/site/police/1149.html