目次
1. 不審メール対応の基本フロー
(1) 初動(検知と報告)
- メールゲートウェイやEDRが 添付ファイル付きメール や 不審リンク を検知
- SOCアナリストは検知ログを確認し、該当ユーザーや受信範囲を把握
(2) 調査
- ヘッダ分析:送信元ドメイン、SPF/DKIM/DMARCの認証結果
- IOC抽出:添付ファイルのハッシュ、リンクURL、送信元IP
- ユーザー確認:メールを開封・クリックしたかヒアリング
(3) 対応
- メールの隔離・削除(全社に配信された場合は一括対応)
- 開封してしまった端末はEDRで隔離し、ログを調査
- IOCをSIEMに投入して横展開調査
横展開調査とは?
ある1件のインシデントやIOC(Indicator of Compromise:攻撃の痕跡)が見つかったときに、
「同じ攻撃が他のユーザーやシステムに広がっていないか」 を確認する調査のことです。
例1:あるユーザーのPCで「invoice.pdf」のマルウェアが見つかった
→ 他のユーザーにも同じ添付メールが届いていないか調べる
例2:ある端末から不審なC2サーバー(攻撃者の制御サーバー)に通信があった
→ 他の端末も同じIPに通信していないかログで横断的に調査する
例3:特定の脆弱性を突いた攻撃が検知された
→ 社内の他のサーバーにも未対応の脆弱性が残っていないか確認する
実務での流れ
1.IOCを特定する
・ハッシュ値(不審ファイル)
・攻撃者IPやドメイン
・URL(フィッシングサイト)
・ユーザーアカウント
2.横展開検索
・SIEMでログを検索(「同じIOCが他でも検出されていないか」)
・EDRで端末を横断してプロセス実行履歴やファイルの存在を確認
3.影響範囲を特定
・感染は1端末だけか、複数に広がっているかを確認
・もし複数あれば全体対応に切り替える
(4) 報告
- ユーザーに注意喚起(「このメールは開かないでください」)
- 経営層・関係部署へ影響範囲をレポート
2. 脆弱性対応の基本フロー
(1) 情報収集
- NVD(National Vulnerability Database)やJPCERT/CCの脆弱性情報を定期確認
- SIEMやVM(Vulnerability Management)ツールからスキャン結果を入手
(2) 分析
- CVSSスコアでリスクを評価
- Critical/High:即時対応が必要
- Medium/Low:計画的に対応可能
- 攻撃コードが公開されているか(Exploit有無)を確認
- 影響範囲を洗い出す(対象サーバー・アプリケーション・クラウドリソース)
(3) 対応
- 短期対応:一時的なアクセス制御、WAFルール追加
- 長期対応:パッチ適用、バージョンアップ、再構築
(4) 報告
- 定例レポートにまとめ、管理者や経営層に提示
- 「どの脆弱性に対応したか」「残リスクがあるか」を明確化
3. SOCでの調査・分析の具体例
(不審メールのログ例:SIEM)
2025-09-18 09:32:15
User: j.sato@example.com
Subject: "Urgent: Invoice attached"
Attachment: invoice.pdf (SHA256: ab12cd34...)
Sender IP: 203.0.113.50
Result: Suspicious - Detected by AV engine
👉 添付ファイルのハッシュをVirusTotalで確認、同一IOCが過去に使われていないか調査。
(脆弱性スキャンの結果例)
Host: web01.example.com
Vulnerability: CVE-2024-12345
CVSS Score: 9.8 (Critical)
Service: Apache 2.4.48
Description: Remote code execution vulnerability
👉 直ちに影響サーバーを特定し、WAFで一時的に防御。パッチ適用スケジュールをインフラチームと調整。
4. SOCアナリストが意識すべきポイント
- スピード重視:不審メールや脆弱性は「対応の早さ」が被害の有無を決める
- ログを証拠化:後でインシデント報告に使えるよう、必ず調査ログを残す
- 再発防止:ユーザー教育、検知ルール改善、定期的な脆弱性管理サイクル
5. まとめ
- 不審メール対応は「検知 → ヘッダ・IOC分析 → 隔離・削除 → 横展開調査 → 報告」の流れ
- 脆弱性対応は「情報収集 → リスク分析 → 短期・長期対応 → 報告」で進める
- SOCアナリストは「日々の小さな兆候」から攻撃の全体像を捉える目を養うことが重要
コメント