根絶 こんぜつ
インシデント対応マルウェア除去封じ込めフォレンジック脅威の排除CSIRT
根絶について教えて
簡単に言うとこんな感じ!
ウイルスに感染したPCを一時的に止める(封じ込め)のとは違って、「根っこごとウイルスを引っこ抜く」作業だよ!感染したファイルや不正アカウント、バックドアを全部取り除いて、二度と悪さできないようにする工程なんだ。
根絶とは
セキュリティインシデント対応の文脈で根絶(Eradication)とは、システムに侵入した脅威の原因・痕跡を完全に除去するフェーズを指す。単にサービスを止めたり、感染端末をネットワークから切り離す「封じ込め(Containment)」の次に行われる工程であり、マルウェアの実体・攻撃者が仕掛けたバックドア・不正アカウント・設定変更などを根本から取り除くのが目的だ。
根絶が不十分だと、たとえ表面上は復旧できたように見えても、攻撃者が仕掛けた隠し扉(バックドア)が残ったままになり、後日また侵害される「再燃」が起きる。実務では「復旧(Recovery)より根絶を徹底することの方が重要」とさえ言われるほど、インシデント対応全体の要となるフェーズだ。
インシデント対応フェーズにおける根絶の位置づけ
インシデント対応は一般にPICERLと呼ばれる6段階のライフサイクルで整理される。根絶はその第4フェーズに当たる。
| フェーズ | 英語名 | 概要 |
|---|---|---|
| 1. 準備 | Preparation | 対応手順・体制・ツールを整備する |
| 2. 検知・分析 | Identification | 何が起きているかを特定する |
| 3. 封じ込め | Containment | 被害の拡大を止める(隔離など) |
| 4. 根絶 | Eradication | 脅威の原因・痕跡を完全除去する |
| 5. 復旧 | Recovery | システムを安全な状態に戻す |
| 6. 再発防止 | Lessons Learned | 振り返り・改善策を実施する |
覚え方:「封じてから根こそぎ抜く」
封じ込め=感染した部屋のドアを閉める、根絶=部屋の中のウイルスを全部掃除する、という順番を押さえておこう。ドアを閉める前に掃除しようとすると、ウイルスが他の部屋に逃げてしまう。
根絶で実施する具体的な作業
| 作業 | 内容例 |
|---|---|
| マルウェアの削除 | 感染ファイル・プロセスの特定と除去 |
| バックドアの除去 | 攻撃者が仕掛けた遠隔操作ツールの削除 |
| 不正アカウントの削除 | 攻撃者が作成したOSアカウント・クラウドIAMの削除 |
| 脆弱性の修正 | 侵入に使われたパッチ未適用箇所へのパッチ適用 |
| 設定の復元 | 改ざんされたファイルや設定値の正規状態への戻し |
| 認証情報のリセット | 漏洩した可能性のあるパスワード・APIキーの全変更 |
歴史と背景
- 1988年 — モリスワームの蔓延を受け、米国にCERT/CC(コンピュータ緊急対応チーム)が設立。インシデント対応の体系化が始まる。
- 2003年 — NISTが SP 800-61(コンピュータセキュリティインシデントハンドリングガイド)を公開。根絶を独立したフェーズとして明示。
- 2012年 — NIST SP 800-61 Rev.2 改訂。封じ込め・根絶・復旧のフェーズ分けが現在の標準的な形に整理される。
- 2013年頃〜 — APT(高度持続的脅威)による長期潜伏型攻撃が増加。「バックドアの取り残し」による再燃被害が相次ぎ、根絶フェーズの重要性が一段と高まる。
- 2020年代 — ランサムウェアの爆発的増加に伴い、根絶の概念が経営層にも浸透。CSIRTを持たない中小企業向けにも根絶ガイドラインが各国で整備される。
封じ込め・根絶・復旧の違いと流れ
3つのフェーズは似ているようで役割が明確に異なる。混同すると「復旧した気になっていたのに攻撃者はまだ潜んでいた」という最悪の事態につながる。
根絶の失敗がもたらすリスク
根絶を不完全なまま復旧に進むと、以下のリスクが残る。
- 再燃(Recurrence): バックドアが残存し、攻撃者が再度侵入
- 横展開の見落とし: 最初に発見した端末以外にも感染が広がっていた場合、根絶漏れが発生
- ログ改ざんの見落とし: 攻撃者がログを消していた場合、フォレンジック(デジタル証拠調査)が不完全になる
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-61 Rev.2 | コンピュータセキュリティインシデントハンドリングガイド。根絶フェーズを明示的に定義 |
| RFC 2350 | CSIRTの期待される機能・役割・ポリシーを定義する標準 |