Windows Incident Response: When First Responders Attack!!
No Cookies | The Advertiser

何かインシデントが発生したときに、インシデントレスポンスのやり方がまずくて大事な証拠を破壊（データを上書き）してしまうという話。実際、上記のエントリにあるような例には頻繁に遭遇する。これまで私が経験した例をいくつか。

1. 自社のサーバが外部の何者かに侵入される。慌てた担当者はすぐにネットワークからサーバを切り離し、Rootkit検出ツールなどを実行。いくつかのファイルをバックアップしたあと、HDDをフォーマットしてOSを再インストールした。ところが後になって何が起きたか詳細に調査する必要があって、外部の専門家（つまり私）に調査を依頼。侵入の痕跡はほとんど失われていた。
2. 社内のPCがウィルスに感染した疑い。担当者はすぐにAntiVirusソフトのシグネチャを更新して、HDD内の全てのファイルを検査。問題がなさそうだったのでそのまま利用。ところがやっぱり後になって詳細な調査が必要となり、外部の専門家に調査を依頼。タイムスタンプが全て更新されているうえにインシデント発生からかなり時間がたっていて、調査はかなり難航。

こういうことが起きないようにするには、インシデント発生時にすぐに適切な証拠を保全できるように、必要な知識を地道に浸透させていくしかないのだろうか。あるいは、EnCase Enterpriseや ProDiscover IRのようにリモートから必要なデータを取得できるような仕組みを構築するか。