その「宝の山」からは何が得られるのか。どんなに周到な犯人でも、何らかの痕跡は残してゆく。熟練の捜査官(フォレンジック担当)なら、
・痕跡からサイバー攻撃の意図や目的、場合によっては犯人自身を推測する
・裁判等に耐えるように痕跡を証拠として保全し、インテリジェンスに昇華する
ことができる。1件のインテリ情報では犯罪の全貌が掴めなくても、他の案件や国際的な連携で得られるインテリ情報を合わせることで犯人やその属する犯罪組織を追い詰めることができる。
ただ被害企業が復旧を急ぐのも当然なので(殺人事件の捜査のように)、現場保全が事業継続を損なってはいけないとも付け加えてくれた。
そのような姿勢の捜査陣ならば、民間企業としても「まず復旧、メドが立ったら通報」としなくても済む。ただ大きなシステムが影響を受けているとき、どの範囲を保全したりバックアップすればいいかの判断は難しい。
フォレンジックに詳しい人が、現場で起きていることを紹介してくれた。被害企業は自分では対処のしようがないので、SIerなり付き合いのあるベンダーに案件を投げる。すると依頼を受けたベンダーが、保全どころか原因究明もできず「サイバー攻撃の痕跡は発見できませんでした」と(サーバごと)返してくることも少なくない。そうなれば事件は無かったことになり、単に故障か事故と扱われ警察に届け出ることも無くなってしまう。
その原因はベンダーが未熟な場合もあるが、全く知らないシステムを急に投げられて困惑してしまう例もある。ひとつの一致した結論は、
・日頃、被害を受けた場合相談できるところを作っておく
・SIer、専門ベンダー、弁護事務所など「顔の見える関係」が必要
というものだった。その関係先に警察が入ってくれるものなら一番いい。被害企業としては、今直面している事態が故障か事故ではないと考えた時、どの程度のことなら警察に通報すべきかを迷うことになる。
<続く>
