B01-サイバー攻撃によるインシデント対応 のバックアップ(No.6)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• 現在との差分 - Visual を表示
• ソース を表示
• B01-サイバー攻撃によるインシデント対応 へ行く。
  • 1 (2023-12-22 (金) 14:19:03)
  • 2 (2024-01-04 (木) 13:29:04)
  • 3 (2024-05-20 (月) 09:32:00)
  • 4 (2024-12-12 (木) 17:52:44)
  • 5 (2025-06-04 (水) 11:44:43)
  • 6 (2025-06-20 (金) 09:58:30)

〇インシデント発生時の初動

１．サイバーセキュリティ専門会社へ連絡して相談

　JNSAサイバーインシデント緊急対応企業一覧

　https://www.jnsa.org/emergency_response/

２．ウィルスセキュリティベンダーに相談（ランサム等に感染した場合）

　ウィルス検体を送って解析依頼（どんなふるまいするウィルスか調べてもらい、影響把握する）

〇社内でできる封じ込め対応

１．定番のネットワークから切り離し

　※切り離し後、フォレンジックに備えてシャットダウンはしないこと

２．同じウィルスに感染した端末がいないんか同一セグメント内すべての端末をフルスキャン

　※可能であれば対象セグメントの孤立化（valn間通信の遮断やルーティング情報の変更）

３．当該セグメントから接続性のある他セグメント端末（サーバ類）の確認

　ウィルススキャン、セキュリティログの確認、不審なプロセスの調査

４．当該セグメント起点の不審な通信の確認

　出口（UTM）や中央L3のログ情報を可能であれば相関分析して外部通信をチェック

５．アカウント侵害の確認

　認証サーバのログやアカウントの行動履歴を把握し必要に応じてアカウントの無効化対応

　→特に共有アカウントや管理者アカウントの不審なログがないか把握する

〇報告先（いろいろ片付いてからでOK）

・JPCERT　インシデント報告先

　https://www.jpcert.or.jp/form/

・IPA　コンピューターウィルス、不正アクセスに関する届け出

　https://www.ipa.go.jp/security/todokede/index.html

〇その他

・愛知県警

　愛知県警察相談専用電話 052-953-9110

　※事件性がある場合は証拠品が押収されてしまう恐れがあるため

　　連絡する前に他の媒体にデータ退避しておく（バックアップ取得）こと

　三重県警、岐阜県警　は最寄りの警察署へ連絡する

〇参考サイト

・愛知県警（サイバー犯罪対策）

　https://www.pref.aichi.jp/police/anzen/cyber/

・岐阜県（サイバー犯罪対策）

　https://www.pref.gifu.lg.jp/site/police/1149.html