情セキマネテキスト_虎の巻_インシデント発生時の初動対応

インシデント発生時の初動対応

インシデント：やりたいことができない状態のこと、事件

ウイルス感染が懸念される際の主な初動対応としては、下記の方法がある。

・情報集約窓口（CSIRT）に連絡する。

・パスワードを変更する。

・対象のOS、ミドルウェア、ソフトウェアに対し、セキュリティパッチを適用する
・ソフトウェアの利用を停止する。（ビジネス影響がある場合は事前承認が必要なケースもある）

・ネットワークから隔離する。（オフラインにする）

・LANケーブルの抜線、無線LANをオフにして、マルウェアの拡大を防ぐ

・マルウェア：利用者の意図しない動作をするソフトウェア全般のこと

初動対応として不適切な例

・感染した機器の電源をオフにする、再起動する。

・メモリ上にある情報をデジタルフォレンジックスで活用でするため。

・デジタルフォレンジックス：サイバー犯罪の証拠となるデータを収集・保全すること

・感染した機器の初期化

・HDDやSSD上に保存された情報をデジタルフォレンジックスで活用するため。ただし、業務を復旧する必要がある場合はトレードオフに考える必要がある。

感染拡大状況の確認方法

・最新のマルウェア定義ファイルを用いてフルスキャンを行い、ほかのマルウェアに感染してしまっていないかを確認する。

・他の機器でマルウェアによる警告メッセージが表示されていないことを確認する。

・ランサムウェアの場合、拡張子が変更されているファイルがないことを確認する。

・ランサムウェア：コンピュータのファイルやシステムを利用不能にし、復旧と引き換えに金銭を要求するソフトウェア。