ランサムウェア攻撃に対する捜査ハンドブック―JC3公式ブック [単行本]

ランサムウェア攻撃に対する捜査ハンドブック―JC3公式ブック の 商品概要

• 目次

  推薦のことば
  はじめに
  
  Chapter 1 本書について
  1.1 本書の対象者
  1.2 本書作成の目的
  1.2.1 攻撃者の検挙、被害回復
  1.2.2 現場臨場時間の短縮、確実な資料収集
  1.2.3 初動対応の道しるべ
  1.3 本書の作成方法
  1.4 本書の特徴
  1.5 本書が対象とするランサムウェア攻撃
  1.6 本書の使い方
  1.7 動作環境
  
  Chapter 2 ランサムウェア攻撃
  2.1 ランサムウェア
  2.2 ランサムウェア攻撃
  2.3 人手によるランサムウェア攻撃
  2.4 ランサムウェア攻撃の分業化
  2.5 長期間にわたる一連の攻撃
  2.6 侵入経路
  2.7 二重恐喝
  2.8 ランサムノート
  2.9 リークサイト
  2.10 身代金の支払い方法
  2.11 特徴的な拡張子、アイコン
  2.12 復号ツール配布サイト
  2.13 ランサムウェア情報まとめサイト
  2.14 ランサムウェア攻撃の手口の体系
  2.14.1 初期アクセスの取得
  2.14.2 悪意あるコードの実行
  2.14.3 永続的なアクセスの取得
  2.14.4 権限の昇格
  2.14.5 防御の回避
  2.14.6 認証情報へのアクセス
  2.14.7 横展開
  2.14.8 データの収集と窃取
  2.14.9 ランサムウェアの展開
  2.15 ランサムウェア攻撃のイメージ
  2.16 攻撃者がよく使うツール
  
  Chapter 3 捜査全般の留意事項
  3.1 迅速な現場臨場、資料収集
  3.2 資料収集の重要性
  3.3 身代金の支払い
  3.4 適用罪名
  3.5 攻撃者特定に資する資料
  3.6 被害状況（犯行状況）の疎明資料
  3.6.1 不正アクセス行為の禁止等に関する法律違反
  3.6.2 不正指令電磁的記録供用、電子計算機損壊等業務妨害
  3.6.3 恐喝
  3.7 ランサムウェア攻撃の現場における捜査の流れ
  
  Chapter 4 捜査体制の確保
  4.1 捜査時の役割、指揮系統
  4.2 役割の説明、成果物等
  4.3 関係部署
  
  Chapter 5 平時における準備
  5.1 ランサムウェア攻撃情報の収集
  5.2 ジャンプバッグの整備
  5.2.1 ジャンプバッグとは
  5.2.2 ジャンプバッグの準備、使用の流れ
  5.2.3 ジャンプバッグの原則
  5.2.4 ジャンプバッグ購入時の考慮点
  5.2.5 ジャンプバッグに常備すべき資機材一覧（例）
  
  Chapter 6 事案の認知
  6.1 認知の流れ
  6.2 被害法人の確認
  6.3 被害法人への要請
  6.3.1 LANケーブルを抜く、無線LANを無効にする（感染拡大防止）
  6.3.2 端末の再起動や電源オフをしない（証拠保全）
  6.3.3 端末の電源をオンにしない（証拠保全）
  6.3.4 端末をウイルス対策ソフトによりフルスキャンしない（証拠保全）
  6.3.5 ネットワーク機器の再起動や電源オフをしない（証拠保全）
  6.3.6 ファームウェアやOSのアップデートをしない（証拠保全）
  6.4 自所属／本部への即報
  
  Chapter 7 緊急参集、現場臨場
  7.1 緊急参集
  7.2 現場臨場
  7.2.1 個人の持ち物
  7.2.2 車両
  7.2.3 現場が分散している場合
  
  Chapter 8 事情聴取
  8.1 事情聴取の流れ
  8.2 関係者の把握
  8.3 被害法人の状況を理解
  8.4 被害法人に関する事項の聴取
  8.5 被害状況に関する事項の聴取
  8.6 設計書等の入手
  
  Chapter 9 状況把握
  9.1 ランサムウェアに関する事項
  9.2 攻撃者に関する事項
  9.3 影響範囲に関する事項
  9.4 対応状況に関する事項
  9.5 調査状況に関する事項
  9.6 復旧に関する事項
  
  Chapter 10 被害法人への助言
  
  Chapter 11 資料収集の考え方
  11.1 資料収集する前の同意、調整等
  11.1.1 被害法人の同意
  11.1.2 セキュリティ業者との調整
  11.1.3 丁寧な説明
  11.1.4 写真撮影
  11.2 資料収集の流れ
  11.3 資料収集範囲の限定
  11.4 保全端末の選定
  11.5 優先順位付け
  11.6 作業の記録
  11.7 その他
  11.7.1 作業場所の確保
  11.7.2 ランサムウェア感染端末の取り扱い
  11.7.3 捜査員の技術力
  11.7.4 管理者権限
  11.7.5 システム時刻の確認
  11.7.6 同じ端末からの資料収集は接着した時間に行う
  
  Chapter 12 ファスト・フォレンジック
  12.1 ファスト・フォレンジックの意義
  12.2 ファスト・フォレンジックの流れ
  12.3 収集すべき資料
  12.3.1 資産管理ソフト関係
  12.3.2 セキュリティ関係
  12.3.3 ネットワーク関係
  12.3.4 端末関係（OS共通）
  12.3.5 端末関係（Windows）
  12.3.6 端末関係（Linux）
  12.3.7 端末関係（Mac）
  12.3.8 クラウドサービス関係
  12.3.9 内部犯行関係
  12.4 メモリ情報の収集
  12.4.1 仮想マシンの場合
  12.4.2 メモリ取得ツール
  12.4.3 メモリダンプの収集
  12.5 ディスクイメージの収集
  12.5.1 仮想マシンの場合
  12.5.2 OSが稼働中の場合（仮想マシン以外）
  12.5.3 OSが稼働していない場合（仮想マシン以外）
  12.5.4 ディスクイメージ取得ツール
  12.5.5 ディスクイメージの収集
  12.5.6 暗号化ドライブへの対応
  12.6 端末情報の収集（CDIR-C）
  12.6.1 「CDIR-C」について
  12.6.2 「CDIR-C」による資料収集
  12.7 解析
  12.7.1 侵入経路の捜査
  12.7.2 情報漏洩の捜査
  
  Chapter 13 刑罰法令
  13.1 刑法
  13.1.1 電磁的記録の定義
  13.1.2 不正指令電磁的記録作成等
  13.1.3 不正指令電磁的記録取得等
  13.1.4 電子計算機損壊等業務妨害
  13.1.5 恐喝
  13.2 不正アクセス行為の禁止等に関する法律
  13.2.1 定義
  13.2.2 不正アクセス行為の禁止
  13.2.3 罰則
  
  付録1 用語集
  付録2 ランサムウェア攻撃者グループのリークサイト一覧
  付録3 ランサムウェア攻撃者グループとツールの対比表
  
  Chapter 14 参考文献
  14.1 書籍
  14.2 Web 資料
  14.3 Webページ
  14.4 Web 動画
  14.5 その他資料

• 出版社からのコメント

  ランサムウェア攻撃につき、捜査上の障壁を列挙し、ポイントにフォーカスして過不足ない解説を加えた。すぐに活用できる実用書。

• 内容紹介

  ●ランサムウェア攻撃に立ち向かう！　サイバー犯罪捜査の第一線から贈るハンドブック
  警察によるランサムウェア攻撃者の検挙と被害法人の被害回復に寄与することを目的に、現場臨場する捜査員と指揮を執る捜査幹部に向けて、日本サイバー犯罪対策センターが贈るハンドブック。
  
  ●現場臨場する捜査員の初動対応の道しるべ
  ランサムウェア攻撃発生時の現場臨場に立ち向かう捜査員が疑問や不安を抱かずに、目の前の捜査に集中できることを目的として、その道を示した。
  
  ●ランサムウェア攻撃発生前の準備にも、発生時の現場対応にも役立つハンドブック
  理論や技術よりも行動を重視し、攻撃者の特定、犯行状況の疎明、罪名の適用を見据えた資料収集方法を掲載。ランサムウェア攻撃の対策にも捜査にも役立つ最適解の書。

ランサムウェア攻撃に対する捜査ハンドブック―JC3公式ブック の商品スペック