« [MIXI]コミュニティを作りました。 | トップページ | [P2P]MorpheusがDHTを導入 »

2004.10.10

[P2P]ファイル交換ソフトによるインシデント対応:対処編2

先日想定したファイル交換インシデントの対処編2である。対処編1では現状把握と関連部署への連絡について書いたが、今度はそれに続く応急処置である。

まず、P2Pネットワークで流失したデータがA社のデータベースから流失した事が分かった。
ここで、A社のデータベースにアクセスできるのは、A社の関連部員、委託先のB社の社員である。また外部から不正にアクセスしたり、トラッシング等で外部に流失した可能性もある。

ここで、外部から流出した可能性が少なくともあることから、まず社内システムと外部回線(インターネット等)とのアクセスを一時中断し、IDSやファイアウォール、RAS、WEBサーバ、データーベースサーバのログを調べることが必要である。ここでこれらのログ解析から外部からの不正アクセスはなかったことがわかったとする。またB社にも外部流出への調査を依頼することを忘れてはならない。

次に内部から外部へ流出したことが考えられる。その理由として、
・社内の誰かがP2Pソフトを利用してコンテンツをアップした
ことが考えられるからである。
ファイアウォールのログからは80番や25番、443番など業務等で使われる送信先ポート以外をチェックする。その結果、不審な通信は見られなかった。もちろんP2Pソフトで80番等のポートを使う事も考えられる。
そこで、全社員に社長達で

[1]クライアントにP2Pファイル交換ソフトをインストールしているかどうか緊急にチェックを行い、情報部に連絡を行う
[2]クライアントにウィルス対策ソフトが入っていて、パターンファイルのバージョンが最新になっていることを確認するとともに、クライアント全システムに対して手動でウィルスチェックをすること

上記2点を行った。後者はC氏がWソフトがウィルスによってユーザの意思に反して情報をP2Pネットワークにアップしていることを知っていたためである。この結果、A社が保有するパソコン内にP2Pファイル交換ソフトはなく、ウィルス対策ソフトは稼動しており、パターンファイルのバージョンも最新である事が分かった。当然、B社にも同様な処置を依頼する必要がある。この結果、社内システムを通じてP2Pソフトを使って機密情報が漏洩した可能性は低い事がわかった。

さて、処置はそれだけでは終わらない。掲示板にA社から機密情報が漏れているという記事が書かれている事をどうにかしなければならない。そこで、

・掲示板管理人に書かれている記事の内容について報告し、それについてのA社の事情を説明し、被害拡大を防ぐために掲示板から当該内容を削除するように依頼する

ことが賢明だろう。またメールは必ず受諾しことを返答するように掲示板管理者に要請する事も大切である。もし必要であれば、郵送(ここでは緊急性のインシデントなのでバイク便や直接渡す事がベターだろう)などを使い文書によって確認、サインをしてもらう事が良いだろう。P2Pネットワークの機密情報については削除することが誰にも出来ないので、打つ手がなかった。

では一体どうやって機密情報は漏洩したのだろうか?C氏を中心にP2Pネットワークにアップした情報を解析すると、文面の特徴から新たに発生したウィルスXによって、Wソフトがクライアントのあるホルダーから情報をアップしたことがわかった。このXは最近発生したもので、A社で全社的にウィルスチェックをした際にはパターンファイルは既に対応していた。ということは社外のパソコンに機密情報を入れいていて、それがウィルスに感染しP2Pネットワークにアップロードされてことが推測される。

A社が流出した機密情報は多くの人がアクセスできるもので、データーベースサーバのアクセスログから誰が情報を流出したが絞るところまでは至らなかった。またWソフトは極めて匿名性が強いので、最初のアップロードをしたクライアントを特定することは難しかった。

ここで、C氏は現在までの経緯、流出した情報の被害範囲・被害額、原因を経営陣に報告し、早急に恒久的対処策を検討することを伝えた。また、A社の機密情報はアクセス権によって守られていたものであるから、その流出は不正競争禁止法に反する事だとC氏は考えた。広報部と相談し、警察に事実を報告した。

さて、考えてみると社員が機密情報を上司の断りをなしに自分の私的PCに入れたことが問題のようだ。そこで、再発防止策及び恒久的対処としてこのことを踏まえて検討することが大切である。それは後日述べよう。

|

« [MIXI]コミュニティを作りました。 | トップページ | [P2P]MorpheusがDHTを導入 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/18781/1644428

この記事へのトラックバック一覧です: [P2P]ファイル交換ソフトによるインシデント対応:対処編2:

« [MIXI]コミュニティを作りました。 | トップページ | [P2P]MorpheusがDHTを導入 »