不審なログインを検知した場合の対処を知りたい
不審なログインを検知した場合の対処方法について説明します。
【参考】
記載されている内容は参考例です。
実際の作業においては、お客様の環境に合わせて行ってください。
不正なアクセスであるかの判断方法
1. IPアドレスの確認
アクセス元のIPアドレスについて、以下を確認します。
- 社内からのアクセスの場合、企業で利用しているIPアドレスかどうか
- リモートワークの場合、利用者の自宅回線などのIPアドレスかどうか
- セキュアWebゲートウェイサービスなどを利用している場合、そのサービスのIPアドレスかどうか
- 上記に該当しない場合、IPアドレスの国・地域が国外ではないか
- IPアドレスの国・地域情報は参考程度としてください
- 国・地域を跨いだIPアドレスの譲渡によって、国・地域情報が実態とは違うものになるケースがあるためです
2. アクセス日時の確認
アクセス日時について以下を確認します。
- 普段利用していない時間帯のログインになっていないか
- ログインした記憶のない時間にログインしていないか
- 統合Windows認証などでは認証がバックグラウンドで自動に行われるため、利用者が気付かずにログインしている場合があります
3. デバイスの確認
デバイスについて以下を確認します。
- 見に覚えのないデバイスからのアクセスではないか
- デバイスの情報についてはユーザエージェント情報を利用しています
- ユーザエージェントは簡単に加工できるため、参考程度にしてください
4. ジョブ履歴の確認
不正なアクセスがログインに成功しており、かつ該当ユーザがID管理者の場合、ジョブ履歴について以下を確認します。
- 意図しないようなジョブ履歴がないか
- 攻撃者がログインしている場合、悪意のある操作を行っている可能性があります
不正アクセスであると判明した場合の対処
1. 関係機関・部署への報告
不正アクセスによって情報漏えいなどが判明した場合、すみやかに警察に相談します。
また、社内にサイバー攻撃に関係する部署がある場合などは、そちらにも報告します。
業種によっては監督官庁への報告が必要な場合もあります。
2. 被害拡大の抑止
被害の拡大を抑えるため、該当のIIJ IDユーザを無効化します。
これによりIIJ IDでの操作はできなくなります。
また、IIJ IDユーザを無効化した場合でも、再認証が必要になるまでの間は連携先サービスを引き続き利用できます。
そのため連携先サービスでもユーザを無効化します。
3. 窃盗・改ざんされた情報の確認
該当ユーザの権限ではどのような情報・リソースにアクセスが可能だったかを確認します。
これはIIJ IDサービスだけでなく、認証連携先サービスも含めて確認する必要があります。
また、情報の改ざんがされていないかも確認します。
4. 証拠の保全
不正アクセスによる被害の証拠として、IIJ IDサービスでのログイン履歴・ジョブ履歴などを保存します。
また、連携先サービスでも被害の証拠となる情報を保存します。
5. 不正アクセスの原因調査
どのようにして不正アクセスが発生したかを確認します。
一般的な不正アクセスは、以下のようなケースで発生します。
- パスワードの使いまわし
- 脆弱なパスワードの利用(少ない文字数、予測のしやすい言葉)
- ショルダーハッキング(キー入力の操作などを盗み見られるなど)
- 利用端末やパスワード情報の盗難
6. 再発防止
不正アクセスが発生した原因に基づいて、セキュリティを強化します。
セキュリティの強化では、以下のような方法があります。
- パスワードポリシーの強化
- パスワードの最低桁数を増します
- 複雑性を強制します
- 信頼するネットワークの設定
- 信頼するネットワークかどうかによって認証方式を変更します
- 多要素認証の導入
- 一般に、多要素認証を利用することでセキュリティを大きく強化できるとされています
- 多要素認証の利用には、多要素認証オプションの契約が必要になります
また、該当のIIJ IDユーザに関しては、パスワードを変更したり、アカウントの再発行などを行います。