本記事では、過去の複数事例をベースに弊社の「フォレンジック」サービスのご提供フローを紹介します。

---

【対象読者】
・インシデント発生時の対応にお悩みの方
・フォレンジック調査の具体的な進め方にご興味のある方
・BtoBの中小企業におけるインシデント対応事例をお探しの方

---

【1】本事例で想定するお客様像と背景

1-1. お客様像

・企業規模 ：中小企業（従業員数：300 〜 400人程度）
・拠点 ：1拠点のみ（首都圏）
・備考 ：閉域網のシステムを保有

1-2. インシデント発生・発覚の経緯

ある閉域網の端末を、誤ってインターネット疎通環境のWi-Fiに接続してしまった。
その際、具体的な原因は不明だが、インターネット経由で、その端末にマルウェアが感染してしまっていた。
その後、その端末を閉域網に再接続した結果、閉域網内の別の端末にマルウェアが横展開してしまった。
数時間後、閉域網の端末の利用者から「端末の動作が遅い」という連絡が情報システム部門にあり、ウイルススキャンを実施した結果、マルウェア感染が発覚。

《感染発覚の経緯》

1-3. 調査の目的・課題

目的：
・侵入経路の特定および封鎖・マルウェアの特定および除去

課題：
・本番環境のシステムであったため、可能な限り早い復旧が求められた（発生から1〜2週間以内）
・お客様の環境に、セキュリティに関する専門的な知識を有するメンバーが少なかったため、具体的な対策手法まで提示されることが望ましい

診断対象：
・PC端末 9台
内、フォレンジック調査を実施したもの : 1台
内、ファスト・フォレンジック調査を実施したもの : 8台

【2】ご相談から調査完了までの流れ

・総調査期間 ：約1ヶ月

2-1. ご相談/ヒアリング

・対応期間 ：ご相談をいただいた即日

お客様からのご連絡を受け、迅速にWebミーティングをセッティング。Webミーティングにおいて、インシデントの状況や調査対象となりうる機器などをヒアリングしました。
この際、取り急ぎの封じ込め策として、端末の隔離手順やログの保全方法などをご提示。

---

【ポイント👆：お客様に寄り添ったご提案】
インシデントへの対応にあたっては、いかに早く現状を把握した上で、最適な封じ込めを行うことができるかが鍵となります。
しかし、ほとんどのお客様にとって、インシデント対応は不慣れなものであり、どこから手をつけるべきかを判断するのも一苦労です。
弊社では、即日Webミーティングを行うことでスピーディに状況を把握し、最適な調査プランと、被害を最小限に抑えるための初動対応策をご提案します。

---

2-2. ご提案/ご発注

・対応期間 ：ご相談即日〜翌日

侵入経路とマルウェアの種類を特定するため、最初にマルウェアに感染した疑いのある端末（初期感染端末）にフォレンジック調査を実施。
環境の早期復旧のため、休日対応を含む《特急プラン》をご提案。
上記の調査結果を元に、横展開された端末におけるマルウェアの感染状況を確認するためのフォレンジック調査を実施。

ここでも、環境の早期復旧を目的とし、「マルウェアの感染有無」のみを特定することに特化した《ファスト・フォレンジック》で工数を削減

上記の内容に合意いただき、ご発注に向けた処理を開始しました。

---

【ポイント👆：迅速な対応】
被害の拡大や証跡の消失を防ぐ観点から、《可能な限り早く》対応を開始することが重要です。
弊社では、正式なご発注前でも、証拠保全などの初期対応を実施いたします。

通常のフォレンジックは「時間をかけた本格調査」で法的証拠の確保や詳細な原因究明に使われます。
ファスト・フォレンジックは「スピード重視の簡易調査」で緊急の状況把握に使われます。

---

2-3. 証跡保全

・対応期間 ：ご相談翌日〜1営業日

調査対象となる機器の状況に応じて、証跡保全を開始。
本事例の場合、一部の調査対象を、お客様の社外に持ち出すことができなかったため、弊社の作業者がお客様の拠点に訪問し、現地で環境調査と証跡保全を実施しました。
輸送可能な機器については、弊社にお送りいただいた上で、社内で証跡保全を実施しました。

---

【ポイント👆：柔軟な証跡の受け渡し】
調査対象の受け渡しについては、資産の性質に応じて「郵送/ハンドキャリー」「弊社クラウドストレージへのアップロード」など、様々な手段をご利用いただけます。
フォレンジック案件の場合は、休日の場合でも現地対応を実施します。

---

2-4. 調査・解析

・対応期間 ：保全完了〜12営業日程度

ご提案内容にそって、証跡に対する調査・解析作業を開始.
本件の場合は、まずは初期感染端末へのフォレンジック調査を10営業日程度で実施。
最初の5営業日程度でマルウェア種類と感染箇所を特定できたため、並行してファスト・フォレンジック調査を開始。
合計12営業日程度で調査が完了しました。

---

【ポイント👆：封じ込めに役立つ情報提供】
調査中に判明した重要な事項については、速報にまとめ、お客様にお渡しします。
速報には、検出された事項の概要に加え、お客様側でも封じ込めを行えるように、マルウェアを取り除くためのコマンド例なども記載します。

---

2-5. ご報告/アフターフォロー

・対応期間 ：調査完了〜5営業日程度+α

調査完了後、調査結果を報告書に取りまとめて提出します。
アフターフォローとして、お客様の運用に合わせた封じ込め手順のご提案や、再感染有無のチェック観点などをご提示します。

---

【ポイント👆：充実したアフターフォロー】
ご要望に応じて、報告会の実施も可能です。 また、大規模なインシデントの場合は、弊社のコンサルティング部隊が「社外報告」や「再発防止に向けたセキュリティ対策強化」などのサポートを実施することも可能です。

---

【3】おわりに

セキュリティインシデントは、いつ、どの企業にも起こりうる危機です。特に本事例のような「運用に直結する資産への被害」においては、被害拡大の防止と業務継続の両立が求められます。

弊社では、お客様の事情に応じた「最適な調査プランの策定」「現地での保全対応」「運用再開を最優先とする速報提供」を通じて、インシデント発生時の迅速な解決をサポートいたします。

お困りの際は、まずはお気軽にご相談ください！
>>>お問い合わせ

緊急時は以下のフォームをご利用ください。
>>>緊急対応フォーム