Skip to content

セキュリティマガジン TREND PARK

課題② 社内における初動対応フローの不備

 今回のインシデント対応中、その被害の状況から企業内ドメインのAdministrator権限が搾取されていることが判明しました。そしてそのことによる被害を食い止めるため、Administrator権限にアクセスするためのパスワードを変更する必要性が生じたときのことです。

 システム担当の○○氏より連絡を受け、サーバを管理する部署において管理を担当する部隊にID とパスワードを変更するよう依頼をしました。しかし、変更に即座に対応できる人も、その内容の是非を判断できる権限・能力を持つ人も、その現場には不在でした。

 この時、当初インシデントに関するクライアント側の窓口であった○○氏の所属する部署と管理サーバ(Active Directory サーバ)の管理を行なう組織と部署が別であり、両者の間で今回のインシデントに関する事前の備え情報の共有がなされていなかったというのが実情でした。そのため、ID・パスワードの変更作業が滞り、サイバー攻撃への対処において重要な「迅速な対応」ができませんでした。このことは、今回の対応の大きな反省点だと考えられます。

 二つの部署の間で有効なコミュニケーションが取れていなかった原因は、今回のようなインシデントが発生した場合の対応に関する人的、組織的フローが用意されていなかったことが原因と推察されます。そのような準備がなされていなかった理由としては、Administrator権限のID、パスワードを搾取されるような事態が起きるとは想定していなかったこと、ウイルスによるインシデントの影響が複数の組織や部署に及ぶような事態を想定していなかったことなどが挙げられると思います。

 システム管理者である○○氏自身がどう対応すべきかというインシデント対応フローは確立されていましたが、別の組織と連携したり、指示・命令を行なうことを想定したフローは用意されていませんでした。
 標的型サイバー攻撃を受けた場合、Administrator権限のID、パスワードの搾取は充分に想定されうる事態です。そんな事態が発生した場合、素早く柔軟にID・パスワードを変更したりできるように、今回のような事態に備えた対応フローの整備が重要な課題となっています。また、業務アプリケーションを開発する際にも、万一の変更に備えた開発手法を選択するべきだろうと考えます。
 さらに、攻撃者により容易にID・パスワードを搾取されることのないよう、安易なID、パスワードの設定方法を見直し、定期的に更新するなどの工夫も行なうべきでしょう。

記事公開日 : 2014.12.12

ページの先頭へ