サービス | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > サービス > マルウェア感染インシデント解析サービス

マルウェア感染インシデント解析サービス

デジタルデータに対する様々なリスクにおいて、とりわけ標的型攻撃によるマルウェア感染は最大の脅威とも言え、その対策は喫緊の課題となっています。さらに標的型攻撃であるためにマルウェアの検体が入手しにくく、ウィルス対策ソフトウェアのファームウェアもしくはパッチの更新が追いつかない、マルウェアの挙動の把握が非常に難しく被害の全容解明が困難、といった状況となっています。

本サービスは、当社の『フォレンジック調査サービス』の中でも、標的型攻撃によるインシデントに特化した解析サービスです。従来のストレージ内のデータに限らず、ネットワーク機器のログ情報やRAM等の揮発性データ、マルウェア本体の解析に至るまで、標的型攻撃の実態や侵入経路・影響範囲を解析します。


甚大な被害、もしくは世界的に拡散したマルウェアの例
ランサムウェア(Ransomware)
ファイルまたは特定領域全体が暗号化され、復号するための鍵を得るために身代金を要求されるマルウェア。"CryptWall"や"WannaCry"など様々な種類が登場し、爆発的に被害が増大している。
バンキングマルウェア
情報搾取型マルウェア。"URSNIF"などが挙げられる。ブラウザ使用中の情報の傍受や窃取が可能になり、ネットバンキングやアカウント認証情報など、個人情報の盗難の被害にあう。
ワイパー型マルウェア
ストレージ内のデータを消去・破壊し、コンピュータを機能不全に陥らせるマルウェア。"Shamoon" や "StoneDrill"が挙げられる。マルウェア検知を回避する機能を持つ種類もある。



本サービスは、法人のお客様専用となります。個人のお客様からのご依頼はお受け致しかねますのでご注意ください。

サービス概要

当社のマルウェア感染インシデント解析サービスは、マルウェア感染によるインシデントに対して解析を行い、主に以下の項目を報告します。


  感染したマルウェアの侵入経路
  感染したマルウェアの挙動
  マルウェア感染による、情報流出等の影響とその範囲


対象のコンピュータの保全・データ収集から解析・報告のプロセスは、『フォレンジック調査サービス』をベースに、以下のデータに対し調査・解析を実施します。

 

ログ解析 Log Analysis
マルウェアの侵入経路や感染による情報流出等の外部への通信を調査するため、ログの解析を実施します。主に、以下のログが解析対象として挙げられます:
 ■ Proxyログ
 ■ FireWallログ
 ■ イベントログ
 
揮発性データ解析 Volatile Data Investigation
マルウェア感染による痕跡は、全てストレージに記録されるとは限りません。マルウェア稼働中の揮発性データを解析し、感染における影響範囲を解析します:
 ■ RAM(物理メモリ)の解析
 ■ スワップファイル(Pagefile.sys 等)の解析
 ■ プロセスのモニタリング
 
マルウェアの挙動解析 Behavior of Malware Investigation
マルウェアが潜伏中であれば、安全に配慮した環境でマルウェアを実行させ、マルウェアの以下のような挙動の有無を解析します:
 ■ 自身の複製、別マルウェアの取得
 ■ 外部への通信
 ■ コンピュータ内データの書き換え・改竄
 
レジストリ・Prefetch解析 Registry & Prefetch Investigation
マルウェア感染による最も影響を受けやすい、もしくは感染の実態が形跡として残りやすい以下のファイルを解析し、感染の経緯等を時系列で調査します。
 ■ レジストリ
 ■ プリフェッチ(Prefetch)

サービスの流れ

Step 1. お問い合わせ
インシデントを検知もしくは発生したら、こちらに依頼事項をご記入いただくか、下記の連絡先までお問い合わせください。
 ■ Email:forensic@focus-s.com
 ■ Tel:03-5421-7360
 ■ FAX:03-5449-9051

もしくは、以下のヒアリングシートに依頼事項をご記入の上、上記の連絡先までお問い合わせください。
 ■ ヒアリングシート PDF / Word

Step 1.1. データ収集
緊急を要する場合、もしくは現在もインシデントが継続して発生している場合、ご依頼前に対象となるデータを収集することがあります。
当社専門調査士が収集を実施しますが、お客様のご協力をいただくことがあります。

Step 2. ヒアリング ~ 調査内容・項目の決定
お問い合わせいただいた項目を元に、ヒアリングを行い、調査に必要な各種項目を確認・決定します。
 ■ 調査対象 ■ 調査内容・項目・範囲
 ■ 調査期間 ■ 調査費用

必要に応じて、秘密保持を締結します。本サービスは、以下に定めた約款の元で実施します。
 ■ フォレンジック調査等サービス実施約款

Step 3. 証拠保全・データ収集
調査対象のデータを受領、もしくは証拠保全・データ取得を実施します。『マルウェア感染インシデント解析サービス』では、目的に応じて以下のいずれかのデータを収集します:

 ■ "Step 3.1. データ収集" のみ
 ■ "Step 3.1. データ収集" 及び "Step 3.2. 証拠保全"
Step 3.1. データ収集 Step 3.2. 証拠保全
マルウェア感染インシデントの挙動と経緯を解析するため、以下の情報を収集します("Step 1.1"で収集していない、もしくは追加データの収集が必要の場合)。
 ■ ログ
 ■ 揮発性データ
マルウェア感染インシデントの対象のコンピュータを、可能な限りインシデント発生時と同一の状態で証拠保全・データ収集を実施します。

証拠保全・データ収集作業についての詳細は、こちらをご覧ください。

Step 4. 調査・解析
保全したデータに対し、調査の実施項目・対象範囲に沿って調査・解析します。
 ■ 使用ソフトウェア(例): Magnet AXIOM
Responder Pro
IDA Pro

Step 5. 報告
解析結果を元に報告書(もしくは報告データ)を作成し、提出します。必要に応じて報告会を実施します。

Step 6. 返却 / データの完全消去
調査終了後、調査対象のコンピュータをご返却し、保全したデータを完全削除します。必要に応じて消去証明書を提出します。
 ※ ご希望に応じ、一定期間保全したデータをお預かりすることも可能です。
 ※ いずれも、別途費用がかかります。詳しくはお問い合わせください。

サービスの対応範囲

調査対象のデバイス

PC

 

Windows / macOS etc...
 
スマートフォン・タブレット
iOS / Android
 
各種サーバ・NAS
ファイルサーバ / Webサーバ / Proxyサーバ etc...
 
リムーバブルメディア
外付けHDD / USBメモリ / CD・DVD etc...
製品及びサービスに関するご質問、お問合せはこちら
関連製品
インターネットコミュニケーションインシデント解析サービス
WebメールやSNSなど、インターネットを活用したコ ...
詳細
フォレンジック調査サービス
不正な情報の持出しや、マルウェアの感染など、コ ...
詳細