調査・監視/フォレンジックサービス検体調査サービス
検体調査サービスは、コンピューターセキュリティやデジタルフォレンジック(電子証拠の収集と解析)の分野で提供される重要なサービスです。このサービスは、不正行為やセキュリティ侵害の証拠を見つけたり、不審なファイルやプログラムの挙動を分析したりするのに役立ちます。
例えば、不審なファイルがある場合、それがマルウェアであるかどうかを特定し、そのマルウェアの機能を解明できます。
不審なファイルを実行してしまった場合、本当にそのファイルがマルウェアなのか先に調査することで、フォレンジック調査を依頼するよりも費用を抑えることが可能です。※1
マルウェアだった場合でも、事前に検体情報を収集しておいて、フォレンジック調査を効果的に行えます。
検体調査サービスでわかること
不審なファイルやフォレンジック調査時に発見された検体を調査(表層解析・動的解析・静的解析)することで、その検体の機能を明らかにします。
- マルウェアの検出と解析
- セキュリティ侵害の特定
- 新しい攻撃手法の理解
- マルウェアなどの証拠の提供
※1 プラン次第で費用が抑えられます。
検体調査サービスプランの一覧
簡易解析プラン
簡易解析プランは、基本情報(ファイル名、種別、ハッシュ値など)を抽出し、既知のマルウェアかどうかを確認します。早期にマルウェアかどうかを確認することが可能です。
想定されるシーン例
- 早期にマルウェアの存在を確認したい時
- 既知のマルウェアかどうかを素早く特定したい時
- マルウェアの基本的な特性を把握し、初期の警戒対策を立てたい時
スクリプト解析プラン
スクリプト解析プランは、WebShellやオフィス製品のマクロなどのスクリプト形式の検体に特化した調査プランです。スクリプト自体を直接分析することで、検体を詳細に解明します。
想定されるシーン例
- 身に覚えのない不審なスクリプト形式のファイルを調査したい時
- 特定のスクリプトがシステムにどのような影響を与える可能性があるか把握したい時
詳細解析プラン
詳細解析プランは、表層解析、動的解析に加えて、リバースエンジニアリングを用いたバイナリ静的解析を実施します。高度な解析を提供し、未知の機能や挙動を深堀りします。
想定されるシーン例
- マルウェアの挙動や機能を細かい粒度で調査・把握したい時
- 未知のマルウェアに対して挙動や機能を調査・把握したい時
- マルウェアによるインシデント発生後、再発防止策のためにマルウェアの機能を洗い出したい時
プラン比較
| 簡易解析プラン | スクリプト解析プラン | 詳細解析プラン | |
|---|---|---|---|
| 想定シーン | 早期にマルウェアの存在を確認 | 身に覚えのない不審なスクリプト形式のファイルを調査 | マルウェアの挙動や機能を細かい粒度で調査・把握 |
| 説明 | 簡易解析プランは、検体から基本的な情報(ファイル名、種別、ハッシュ値など)を抽出し、その検体が既知のマルウェアで あるかどうかを特定する調査プランです。1つの検体についての調査期間は2営業日となります。これにより、早期にマルウェアかどうかを確認することが可能です。もし既知のマルウェアであると判明した場合、公開情報を基にした検体の挙動や特性を報告書にまとめてお知らせします。これにより、その後の対策を計画することができます。 | スクリプト解析プランは、WebShellやオフィス製品のマクロなどのスクリプト形式の検体に特化した調査プランです。このプランでは、表層解析と動的解析に加えて、スクリプト静的解析を行います。スクリプト静的解析ではスクリプト自体を直接分析することで、検体が持つ機能や動作を詳細に解明します。 | 詳細解析プランは、表層解析、動的解析に加えて、リバースエンジニアリングを用いたバイナリ静的解析を実施します。 このプランでは検体をコードレベルで調査するため、未知の機能や挙動を深く掘り下げて調査することが可能です。 また、表層解析だけでは確認できない機能も特定することもできるため、検体の機能の全体像をより正確に把握することが可能です。 |
|
対応ファイル |
|
|
|
| 調査プランごとの期間 ※1 |
1検体につき8営業日
|
1検体につき11営業日
|
1検体につき33営業日
|
※1 簡易報告書が不要な場合は1営業日短くなります。
検体調査を実施する3つのタイミング
検体調査サービスを実施するにあたり「検体を単体で調査したい場合」「初めから検体調査とフォレンジック調査をセットで依頼したい場合」 「フォレンジック調査中に検体が発見され、そのタイミングで検体調査を実施する場合」これら3つのパターンが存在します。
検体調査を単体でご希望される場合
各プランに応じて調査日数をいただき検体調査を行います。
調査開始日はお客様からヒアリングさせていただき、可能な限りご希望日に開始できるように努めさせていただきます。
検体調査とフォレンジック調査をセットでご希望される場合
マルウェア感染時にその検体が端末上に存在している場合、フォレンジック調査と検体調査を並行して実施いたします。
お客様側での検体の抽出が難しい場合は、弊社エンジニアによって検体の抽出を行い調査を実施させていただきます。
フォレンジック調査中に検体が見つかる場合
フォレンジック調査中に検体が発見された場合、
検体調査分の日数を追加でいただき調査を並行して実施いたします。
検体が発見された時点で検体調査日数分を追加するため、
場合によってはフォレンジック調査と検体調査の完了日がずれる可能性がございます。
検体調査サービスの調査手法
不審なファイルやフォレンジック調査時に発見された検体を調査(表層解析・動的解析・静的解析)することで、その検体の機能を明らかにします。
表層解析
ファイル名やファイル種別、ハッシュ値などを特定する調査です。
それらの情報から、今回のマルウェアが既知のものかどうかを特定できる可能性があります。
既知のものである場合、公開されている情報を基にそのマルウェアがどのような特性を持つかを特定できる可能性があります。
動的解析
実際にマルウェアを動かし、どのような機能を持つか特定する調査です。
実際にマルウェアを動かすことにより、攻撃者のサーバーと通信する機能を持つかどうか、どのような挙動をするか、端末にどのような設定変更を行なうかなどを特定できる可能性があります。
静的解析
マルウェアのプログラムをリバースエンジニアリングにより分析し、どのような機能を持つかをより深く特定する調査です。
マルウェアの内部構造を、そのプログラムから解析するため動的解析よりもより深く機能を特定できる可能性があります。
弊社が提供する検体調査サービスの強み
「身に覚えのないファイルが見つかった」「取引先から不審なファイルが送られてきた」このような場合、まずはそのファイルがマルウェアか否かを特定することで、その後取るべき対応を把握することが可能です。
レオンテクノロジーでは検体調査サービスを迅速、かつ丁寧な対応をご提供させていただきます。
こんな解析あるかも…
- 報告
-
調査報告が遅い
申し込み後、なかなか調査報告がされず、社内でイライラ…
迅速な調査が
カギ!
レオンなら!
- 初動が早い!
-
最短当日で調査準備
お問い合わせを頂き、最短当日で調査準備を行います。 検体調査サービスでは、検体がどのような機能を有しているか迅速に調査し報告することが鍵となります。
こんな会社あるかも…
- リソース
-
自動解析ツール
機能の洗い出しを詳細に行なってくれるか気になる
お任せ
ください!
レオンなら!
- 丁寧な対応
-
手動による調査
セキュリティベンダーとして、提供しているサービスや様々なシチュエーションで悩みを解決してきた知見を活用し、公開されている情報と組み合わせることによって自動解析ツールを用いた調査結果よりも正確な調査が可能です。
丁寧なレポーティング
検体の「目的」や「機能」について、非エンジニアにも分かりやすく丁寧なレポーティングを行います。
マルウェアが原因となったセキュリティインシデントの事例
不審なファイルを誤って実行してしまうと、以下の事例のようなインシデントが発生する恐れがあります。
また、被害の内容はマルウェアが有する機能によって様々です。
ゲーム制作会社の事例
事象
「ランサムウェア」によってネットワーク上の機器に対するファイルの暗号化が行われ、身代金を要求する脅迫メッセージが発見された。
被害
身代金の要求を拒否したため、攻撃者グループは自身のWebサイトで盗んだデータと主張するファイルを公開した。
ソフトウェア通信会社の事例
事象
「Emotet」に感染したことが原因で、自治体向けに提供しているサービスのヘルプデスク業務で使用する端末に保存されていた過去のメールに関する情報が流出した。
被害
約4ヶ月間の間にヘルプデスク宛へ問い合わせが行われた2,312件のメール情報が流出した。
米石油パイプライン会社の事例
事象
社内で利用しているVPNへの不正アクセスが原因となり「ランサムウェア」に感染し、業務全体を一時停止した。
被害
データを複合するために、約5億5,000万円の身代金を支払いデータを復号したが、今回の一件で燃料のパニック購入などが発生した。
まずはお気軽にご相談ください。必要な調査項目などをご提示いたします。
検体調査サービスのくある質問
- 調査依頼中の検体が別の検体を呼び出すダウンローダー型だった場合、呼び出し先の検体は別料金ですか?
-
はい、別料金となります。
ただし、呼び出し先のサーバーがダウンしているなどの理由で、呼び出し先の検体を入手することができない場合は、追加の調査は行えません。また、ドロッパー型マルウェアの場合は追加料金は発生せず、調査期間内で調査可能な範囲まで調査を行います。
- フォレンジック調査中に検体が見つかった場合、検体調査の費用はフォレンジック調査の費用とは別にかかりますか?
-
いいえ、1検体(簡易解析プラン)までの調査は、フォレンジック調査の費用内で対応させていただきます。ただし、スクリプト解析プランや詳細解析プランをご希望される場合は別途ご相談ください。
- 検体はどのように渡せば良いでしょうか?
-
検体の提供方法として、メール経由や郵送によるUSB経由があります。また、弊社ではNextCloud(共有オンラインストレージ)のリンクを作成し、そちらにアクセスしていただき検体をアップロードしていただく方法もございます。ただし、検体は必ずパスワード付きのZIPファイルに圧縮して、ご提供をお願いしています。
- ランサムウェアに感染した場合、ファイルの復号は可能でしょうか?
-
いいえ、弊社では、検体調査サービスを提供していますがファイルの復号には対応していません。
検体調査サービスは検体の挙動や目的を明確にするためのサービスです。一般的に、ランサムウェアによってファイルが暗号化された場合、攻撃者が提供する解除ツール以外での復号は困難です。
例として、AESという暗号化方式を用いたランサムウェアの際、鍵長が256ビットの場合、解読には現在の技術では数十億年から数十兆年かかると言われています。そのため、復号は非常に困難です。また、身代金の引き換えに入手した解除ツールではなく、一般に出回っている解除ツールを使用した場合、暗号化に使用されたランサムウェアと解除ツールのバージョンが一致する必要があるため、復号できる可能性は非常に低いです。
注意が必要な点として、一致しない解除ツールを使用して無理に復号を試みると、ファイルが破損して二度と復号できなくなる可能性もあるため、作業は慎重に行う必要があります。
- 「詳細解析プラン」を日数と費用をかけずに実施する「簡易詳細解析プラン」などはありますか?
-
いいえ、検体が持つ重要な機能などが処理の最後の方に存在する場合や、複雑な暗号化や隠蔽処理が施されている場合があり、これらを解析し、把握するには適切な時間が必要となるからです。
- 全てのOffice製品のファイルは「スクリプト解析プラン」で対応可能ですか?
-
いいえ、スクリプト解析プランで対応している検体の形式はマクロなどが埋め込まれている場合です。
Office製品の数式エディターを標的としたCVE-2017-11882などの製品本体の脆弱性を悪用する検体の場合、「簡易解析プラン」「詳細解析プラン」どちらかで対応可能です。
また、調査をご希望されるOffice製品の検体がどちらに当てはまるか判断がつかない場合は、検体のハッシュ値や検体をご提供いただくことでどちらのプランが該当するか事前に調査することも可能です。
その他、ご不明な点がございましたら
お気軽にお問い合わせください。
実施フロー
検体調査を単体で実施する場合のフロー
ヒアリング
お問い合わせいただいた項目をもとにヒアリングを行い、調査に必要な各種項目を確認・決定します。
検体のご提供
ご希望の方法で調査対象となる検体をご提供していただきます。
調査・解析
ご提供いただいた検体を調査の実施項目に沿って調査・解析します。
報告
調査結果を元に報告書(もしくは報告データ)を作成し、提出します。必要に応じて報告会を実施します。
アフターフォロー
報告書の内容にもとにインシデントの内容共有や、今後の対策におけるアドバイス なども対応可能です。
フォレンジック調査と検体調査をセットで実施する場合や、
検体が見つかった場合のフローについては
お気軽にお問い合わせください。