標的型攻撃対策としてのログ活用
コンピュータユーザーにとっての重大な脅威の一つが標的型攻撃やAPT攻撃と呼ばれる高度サイバー攻撃です。
攻撃者は組織の外部から組織内部の情報を取得するために攻撃目標を特定するところに特徴があります。この特徴からすると攻撃対象は攻撃価値のあると思われる組織です。攻撃を瞬時に発見しストップさせることが可能であれば、これほどの問題にはなっていないはずですが、それが簡単に実現できていないことは多くの事例が示すところです。
次善の策としては攻撃をできるだけ早く発見し対策すること、攻撃の初期段階で対応すること、攻撃された後であればその被害の範囲を明確にし、以降の攻撃の対策をとること、などになります。
メモ:APT攻撃と標的型攻撃について
APT攻撃とは、高度サイバー攻撃(APT: Advanced Persistent Threat)のことです。比較的短時間で終了する攻撃を標的型攻撃と称することが多く、長期間継続する攻撃を高度サイバー攻撃(APT)と称することが多いようですが、厳密な区別がなされないことも多いようです。
従来ログ管理はシステムの運用管理がその大きな利用目的でした。しかし、ここ数年来、ログ管理はセキュリティ対策においてもきわめて効果的であり、不可欠の存在であるとの認識が一般化しており、JPCERT/CCからも、ログの活用が高度サイバー攻撃への対処にも効果的であるとの文書が公開されました。
ここではその内容をベースに標的型攻撃等の高度サイバー攻撃開始の発見、攻撃範囲の特定、攻撃者の追跡などにおけるログ収集、ベースライン把握、ログ解析の役割について簡単にご紹介します。
<目次>
(1) 外部からの攻撃の痕跡はログに記録される
標的型攻撃等の高度サイバー攻撃が外部と内部の通信であることから、攻撃の開始から終了までのすべてが通信経路上に記録されていると考えられます。たとえばファイアーウォール、DNSサーバー、メールサーバー、Webプロキシー、認証サーバーなどです。
少なくともこれらのシステムのログを必要な期間、確実に保管しておくということが基本になります。注意すべきことは、これらのシステムはデフォルト設定で使用する限り、高度サイバー攻撃への対処に必要かつ十分なログが出力されないという事実です。各システムでどのようなログを出力することが可能であり、そのためにどのような設定が必要かをきちんと確認し、必要なログ出力設定をすることがポイントです。
記録したログはある程度の期間の保存が不可欠です。保存期間については明確な定めは無く、システムを運用する組織のセキュリティポリシーに依存しますが、下記の期間は一つの目安として参考になります。
「高度サイバー攻撃への対処におけるログの活用と分析方法」 
から引用
オンライン保存(いつでも検索可能な状態)
■ DNSサーバー |
1-2年 | 重要度:高 |
|---|---|---|
■ Webプロキシサーバー |
1年 | 重要度:高 |
■ メールサーバー |
言及なし | 重要度:高 |
■ ファイアーウォール |
6-12か月 | 重要度:中 |
■ その他サーバー |
3-12か月 | 重要度:中 |
■ ホストログ |
1年 | 重要度:低 |
オフライン保存
■ DNSサーバー |
2年以上 | 重要度:高 |
|---|---|---|
■ Webプロキシサーバー |
1年以上 | 重要度:高 |
■ メールサーバー |
言及なし | 重要度:高 |
■ ファイアーウォール |
1年以上 | 重要度:中 |
■ その他サーバー |
6か月以上 | 重要度:中 |
■ ホストログ |
1年以上 | 重要度:低 |
また下記のような指針も提唱されています
■ 内閣サイバーセキュリティセンター |
1年以上 |
|---|---|
■ PCIDSS |
オンライン3か月、オフライン1年 |
攻撃者は優れた技術を持っています。証拠隠滅のため、保存されたログの改ざんや、一部もしくはすべてが削除される可能性も否定できません。そのリスクを排除するためには保存ログの保全性・機密性が担保されることが重要であることは言うまでもありません。
技術的には保存ログに触れない(アクセスできない)、アクセスが記録される、ログが暗号化されている、電子署名がある、などの方法で管理されたログであれば、後日のフォレンジック用に利用する価値があるといえますが、ログの完全性・機密性に疑いがあれば、ログの解析そのものの意味が失われます。
ログの保全性・機密性以前に重要なことがあります。それは受信ログに欠落がないこと、経路上での盗聴がないことです。前者のためには受信するログ容量を十分な余裕で高速処理できるログ処理性能、後者のためにはTLSその他による暗号化送信が要求されます。
弊社推奨製品
ログTLS受信対応製品
高速処理
- syslog-ng Store Box >> (毎秒数万メッセージ:動作条件に依存)
ログ保全性
- syslog-ng Store Box >> (バイナリ保存、アクセス記録、暗号化、電子署名など)
外部システムへの自動バックアップ、アーカイブ
SIEMフロントエンド
ログ集中管理ネットワーク構築
(2) 平時(攻撃を受けない状態)のログ解析とレポート作成
攻撃の開始を可能な限り早期に発見し、さらに継続する攻撃を発見するためには定期的にログを解析し平時のアクセスパターンのベースラインを把握することがセキュリティ担当者の任務です。そのためには指定時刻あるいは一定間隔で膨大なログファイルを読み、分析を行い、自動的にレポートを作成するようなソフトウェアの利用が不可欠です。
同時に必要なことはレポートを分析し、通常と異なるパターンでのアクセスを素早く見つける訓練です。ベースラインと異なる傾向のアクセスを見つけたら、さらに何を分析すべきかを判断し、緻密な分析作業を通してその原因を明確にしなければなりません。
弊社推奨製品
1000種類以上のログの自動解析とレポート作成
- Sawmill >>(スタンドアローンもしくはWinSyslog解析パッケージの一部)
<プロキシサーバー解析イメージ>
<ファイアーウォール解析イメージ>
(3) 攻撃の分析
攻撃を受けていることが推測されたら、その内容をピンポイントで把握し、あらゆる情報を取得しなければなりません。外部に持ち出された情報の種類や範囲の特定、攻撃者やそのルート、攻撃方法の推測などです。
そのためには膨大な量のログから、キーワードで高速に特定のログエントリーを検索する機能が必要です。指定できるキーワードの柔軟性、検索速度そのものが重要です。複数のログを時刻横断的に検索できることも必要です。もちろんこれらの作業に従事する技術者の分析力が必要なことは言うまでもありませんが、効果的なツール無しに、求める結果を得ることは困難です。
弊社推奨製品
高速ログ検索
- Retrospective >> (WinSyslog検索パッケージの一部)
<Retrospective検索イメージ>
- syslog-ng Store Box >> (外部媒体にバックアップやアーカイブしたログの検索も可能)
<syslog-ng Store Box検索イメージ>
(4) ログの活用例
ここでは実際にどのようにログから脅威を特定するのか、弊社取り扱い製品を使ってご紹介します。
<次世代ファイアウォールpaloaltoのログをWinSyslogで収集し、Sawmillで解析したレポートから、未知のマルウェアの送信元を特定。
そのpaloaltoの生ログをRetrospectiveで検索する手順>
手順① 次世代ファイアウォールpaloaltoのログをWinSyslogで収集し保存
WinSyslogの特長
- 日本語メニュー:日本語で設定が出来るので導入後すぐに使用可能
- 1996年以来の実績:多機能、安定、安心で使用可能
- RFC3164,3195,5424準拠:新旧ログログフォーマットをサポート
手順② WinSyslogで収集したログをSawmillで解析したレポートから未知のマルウェアの送信元を特定
Sawmillの特長
- 1200以上のテキストフォーマットをサポート:各種重要なログをレポートにして可視化することで原因の明確化を支援
- 直感的操作:専門の知識がなくても直感的にドリルダウン検索が可能
手順③ 未知のマルウェアの送信元を特定したpaloaltoの生ログをRetrospectiveで検索
Retrospectiveの特長
- 高速検索:7.2GBの生ログテキストファイルからわずか40秒で検索完了!
WinSyslog統合パッケージには、ご紹介したWinSyslog、Sawmill、Retrospectiveが含まれており個別にご購入するよりもお得な価格になっています。
【参考資料】
-
文書名:「高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて」
段落2.7, 3.3
付録文書 「ログ保管に関する分析レポート」
https://www.jpcert.or.jp/research/apt-guide.html - 文書名:標的型攻撃についての調査
https://www.jpcert.or.jp/research/targeted.html - 文書名:「高度サイバー攻撃への対処におけるログの活用と分析方法」
文書名:「ログを活用とした高度サイバー攻撃の早期発見と分析」
https://www.jpcert.or.jp/research/apt-loganalysis.html