Reading Time: 1 minutes
今日、日本年金機構をはじめ、大手旅行会社、大手ガス会社国立大学や政府系機関など、高度標的型メール(APT)攻撃による情報流出報道が後を絶たない。
繰り返される事故報道や事故に関するセキュリティ専門家の見解からも、メールを開いた個人に責任を追求するべきでなく、サイバー攻撃については災害や国際紛争のように余儀なく被害を受けてしまう状況になっている。
災害などのリスク管理においては、「想定外」を無くすという考え方から、有事の際の事後対応に向けて、事前の対応チームや手順の確立、災害発生を想定した上での訓練などが一般的に行われている。いわゆるBCMとかBCPと言われる類の対策だ。
サイバー攻撃においてもこの考え方を当てはめるのであれば、CSIRTなどを設立して、サイバー攻撃を受けてしまった(もしくは受けてしまった可能性がある)際、どういったチームがどういった手順でどのような対応を行うのかについて、事前の対策を行う事になる。
多数の調査実績から、自組織で攻撃を検知できずに、第三者からの通知で攻撃を受けていることに気づくことになるケースが報告されているが、そうした際に、不正通信を正確に検知し、問題となるウィルスなどのプログラムを隔離、根絶することが最も優先される事項だ。
一方、情報流出の可能性が高いと想定される場合には、大組織であればあるほど、どんな情報がいつ、どのくらいの量外部に流出したのかなど、できる限り正確な説明責任を問われる、報道発表が求められる。
その説明責任を果たす上で重要な役割を来すのが、システムが出力するログだ。
大手旅行会社の事故報道では、「特定の通信経路で異常通信のログは取得していたが、正常な通信ログは取得していなかった」という内容であった、そのため、「個人情報を含むデータファイルが外部に送出された際の通信ログを確認できておらず、
漏えいした可能性」という表現に留めざるを得なかった。
上記のようなケースを教訓に、トレーサビリティを確保するためのログの保持について、皆さまの組織においても、改めて見直しを検討してみてはいかがだろうか。
参考になる情報として、
JPCERTから公開される研究・調査レポート
「高度サイバー攻撃への対処におけるログの活用と分析方法」がある。この資料によれば、高度標的型攻撃で取得が優先されるログは、以下の要素になるとのことだ。
・ファイアウォール
・プロキシサーバー
・Active Directory
・DNSサーバー
・メールサーバー
出展元:「高度サイバー攻撃への対処におけるログの活用と分析方法」
https://www.jpcert.or.jp/research/apt-loganalysis.html
2016-10-19 JPCERTコーディネーションセンター
攻撃の各段階に応じて、上記の5つの機器のログを取得すべきという事だ。
・ファイウォールのログ
従来から、ファイアウォールにおける拒否通信を示すdenyログを取得する運用を行っている組織は多いものの、許可通信においても潜在的に脅威が存在する可能性があることから、昨今では、allowログについても取得を考慮する組織が増えてきている。
・プロキシサーバーのログ
ファイアウォールのみのログを取得していても、プロキシサーバーが設置されたネットワーク上においては、不完全な対応となる。ファイアウォールログ上では、すべてプロキシサーバーを送信元としたログしか記録されないからだ。プロキシサーバーのログも取得する事で、どういった端末のどういったユーザーからのアクセスなのかを把握することが可能となる。
・Active Directory のログ
マルウェア感染の上で内部ネットワークに侵入された後にまず狙われるのが、Active Directory(AD)だ。ADを乗っ取ることに成功すれば、侵入の拡大を効率的に進めることができるからだ。言い換えれば、ADに属する、サーバーやPC、DNSサーバーなどあらゆるシステムへのアクセスを許可するフリーパスを攻撃者に与えてしまうようなものだ。また、ADには、ユーザーの氏名や組織名、メールアドレス、上司のユーザー名など多彩な情報が含まれるため、攻撃者はこれらの情報を活用して次段階のメール攻撃を有効に進めたり、ブラックマーケットで販売したりすることが想定される。氏名や組織名、メールアドレスなどは、流出しからといって容易に変更ができない情報のため、機密情報や外部の個人情報に準じて守るべき対象だ。
・DNSサーバー
マルウェア感染後、感染された端末は外部のC&Cサーバーなどと通信を試みる際に、
URLやサーバー名、IPアドレスで通信を確立しようとする。その際に発生する、DNSクエリを参照することで、URLやサーバー名からIPアドレスの関連付けを確認することができる。そういった観点から、DNSのクエリログを取得、保管することが好ましい。
・メールサーバー
標的型攻撃メール自身が、メールを通じて行われることが大半のため、メールによる送受信内容(添付ファイル含む)のログが残されていることが好ましい。
これら5つの機能のサーバーや機器自身でログを格納することは可能であるが、証跡を残すのに十分な期間のログを保持するには、外部のログ管理ツールの納入を検討することが推奨されている。
上記を参考に、ログによるトレーサビリティの確保について、今一度見直しをされてみてはいかがだろうか。
最後に、弊社(ゾーホージャパン)が提供するManageEngineでは、これらログ管理要件に対して、以下の3製品を提供している。
・プロキシサーバーおよびファイアウォールのログ管理「Firewall Analyzer」
・Active Directory(Windows DNS)のログ管理「ADAudit Plus」
・BINDなどのDNSサーバーのログ管理「EventLog Analyzer」
なお、メールサーバーのログについては、
3rdベンダーのメールアーカイブツールなどを利用することを推奨する。
以上
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。