セキュリティログ分析
セキュリティログ分析は、システムを構成する機器が出すログを分析することで、セキュリティインシデントの早期検知や調査を目的とします。
ログとは、アプリケーションやデバイス、システムにアクセスした際の記録のことで、特にセキュリティ管理やセキュリティ対策に利用されるものをセキュリティログと呼ばれています。
ログ分析のメリット
セキュリティログを監視するメリットは次の3つあげられます。
- システム障害の早期解決
セキュリティインシデントに対しても、前兆を予測でき早めの対処ができるため、被害が拡大する前に食い止めることができます。 - 内部不正に対する抑止力
セキュリティログを常に監視されているという事実そのものが、不正行為への抑止力となり、不正アクセスを未然に防ぐことができます。
ログの種類
取得対象の代表的なログの種類は以下になります。
| 認証ログ | 端末やサーバへログインした日時や利用者のIPアドレス、端末などを記録 |
| イベントログ | OSやアプリケーション内で発生した事象や動作、エラーなどを記録 |
| エラーログ | 端末やアプリケーション内で発生したエラーの発生日時や原因などを記録 |
| 入退室ログ | 監視カメラやICカード、ドアセンサなどで入退出の時間や人物などを記録 |
| 操作ログ | 端末やシステムにおけるファイルの閲覧や変更、削除などの操作履歴を記録 |
| 通信ログ | 通信内容、通信時間など、端末とサーバ間の通信内容を記録 |
| 印刷ログ | 印刷日時、印刷をしたデバイス、印刷ファイル名などを記録 |
| 設定変更ログ | システムやアプリケーションなどの設定変更、フォルダやファイルのアクセスの権限変更などを記録 |
サーバ毎のログ分析
ファイアウォール、メールサーバ、Webプロキシサーバのログの活用と分析方法について紹介します。
ファイアウォール
ファイアウォール(以下、FW)には、ネットワークの境界の通過を許された通信、または拒否された通信のログが記録されます。FWのログ分析の観点は以下になります。
-
- 定期的に行うログ分析
- 感染端末からのコネクトバック通信
FWのログ項目は以下になります。
| ログ項目 | 内容 |
| Action | FWポリシのアクション |
| dst | zone 送信先のゾーン設定 |
| Src | 送信元アドレス |
| src_port | 送信元ポート |
| Dst | 送信先アドレス |
| dst_port | 送信先ポート |
定期的に行うログ分析
FWで取得された通信ログ(成功・失敗)について、通信の発生時刻や、通信プロトコル、通信元、通信先は妥当化の確認を行います。
感染端末からのコネクトバック通信
通信先のC&CサーバのIPアドレスが分かっている場合は、FWの内部から外部に対するログを分析します。
送信元アドレスが組織内で送信先アドレスが組織外で、かつ、業務に関係のない通信を抽出し、通信拒否(Deny、Reject)を攻撃の可能性があると判定します。特に、マルウェアは通信先ポートに25(SMTP)、80(HTTP)、443(HTTPS)、8080(Proxy)を使用することが多い為、このポートを中心に調査を行います。
メールサーバ
メールサーバでは、受信メールと送信メールのログが取得でき、成りすましメールや実行ファイル添付のメールを検知できる可能性があります。メールサーバのログ分析の観点は以下になります。
-
- Fromフィールドの表示名偽装
- 実行ファイルが添付されたメール
メールサーバのログ項目は以下になります。
| ログ項目 | 内容 |
| From: | メールクライアントで表示される送信者アドレス |
| Content-Type | 添付ファイル名(name=) |
メールヘッダのFrom表示名偽装
メールの送信者情報には、エンベロープの MAIL From と、メールヘッダの From の2種類があり、メールヘッダのFrom は送信者メールアドレス(以下、ヘッダFrom)と、任意で文字列を入れることができる display-nameフィールド(以下、ヘッダ表示名)で構成されます。
ヘッダ表示名にメールアドレスが含まれており、かつ、ヘッダFromと異なるものを、偽装された可能性のある不審なメールとして判定します。
実行ファイルが添付されたメール
攻撃者はマルウェアである実行形式のファイルを添付し、標的型攻撃を仕掛けることがあります。
ログの Content-Type の添付ファイル名が含まれている箇所(name=)を抽出し、実行形式の拡張子(exe、comなど)が含まれている場合に攻撃の可能性があると判定します。
Webプロキシサーバ
Webプロキシサーバ(以下、プロキシ)には、組織内からインターネット上のWebサイトなどへのアクセスのログが取得でき、感染端末からC&Cサーバへの通信が検知できる可能性があります。プロキシのログ分析の観点は以下になります。
-
- 定期的に行うログ分析
- CONNECTメソッドで不正通信
- 標準利用以外のUserAgentによる不正アクセス
- 外部に大量データを送出する通信
プロキシのログ項目は以下になります。
| ログ項目 | 内容 |
| URL | URLアドレス |
| method | メソッド |
| UserAgent | UserAgent |
| accesstime | アクセス時間 |
定期的に行うログ分析
マルウェアに感染したPCは、プロキシ経由でC&Cサーバへの通信を試みます。ログの”URL”にサイバー攻撃に関する情報として示されていたアドレスやドメインが含まれている場合、攻撃の可能性があると判定します。
特に、複数日に渡って1日1回以上アクセスが続いており、アクセスの妥当性が説明できない場合や、業務時間外の通信には注意が必要です。
CONNECTメソッドで不正通信
マルウェアに感染したPCがプロキシ経由でC&Cサーバへの通信を行う際に、CONNECTメソッドを使用することがあります。
ログからCONNECTメソッドを抽出し、送信先ポートが80または443以外の場合に攻撃の可能性があると判定します。
標準利用以外のUserAgentによる不正アクセス
マルウェアに感染したPCがプロキシ経由でC&Cサーバへの通信を行う際に、組織内で利用しているブラウザとは異なった UserAgent を表示してクエリが発行されることがあります。
ログから UserAgent を抽出し、組織内で利用している以外の UserAgent の場合は攻撃の可能性があると判定します。
外部に大量データを送出する通信
マルウェアに感染したPCは、プロキシ経由でC&Cサーバへ組織内で収集した情報のアップロードを行います。
ログから同一の送信先に対しPOSTメソッドから始まり、CONNECTメソッドが連続する通信を抽出し、そのデータ量の合計値が規定値を超えた場合に不審な通信として判定します。
認証サーバ
本記事では、JPCERT/CC が公開したActive Directory(以下、AD)に対する攻撃の検知と対策について説明します。ADとは、組織内のリソース(アカウントやパスワードなど)を一元管理するシステムです。
攻撃者が組織内ネットワークを侵害する際には、ADに対する攻撃を行い、ドメイン管理者アカウントなどの高い権限の窃取を試みます。ドメイン管理者アカウントはADが管理する全てのリソースをコントロールすることが可能であるため、窃取に成功した場合は大きな脅威となります。
ADに対する攻撃手法
ADの認証の弱点を悪用して攻撃する代表的な手法を以下に紹介します。
-
- ADの脆弱性の悪用
ADの脆弱性(例えば、MS14-068(Kerberos KDC))を悪用するとドメインユーザがドメイン管理者権限に昇格できます。インターネット上に攻撃ツールも公開されており、ドメインユーザの認証情報などが窃取できれば、比較的容易にドメイン管理者権限を獲得することができます。 - 端末に保存された認証情報の悪用
WindowsOSのメモリなどには、端末上で使用したユーザの認証情報(パスワード情報、認証チケットなど)が保存されており、侵害した端末のローカル管理者権限を窃取した攻撃者は、攻撃ツールを使用してこの認証情報を窃取することができます。
- ローカル管理者アカウントの悪用
複数のコンピュータで共通のアカウント名やパスワードを設定している場合、1 台のコンピュータでローカル管理者アカウントのパスワードが窃取されてしまします。
- ADの脆弱性の悪用
ログによる攻撃検知
イベントログの調査により、ADに対する攻撃や不審な活動を検知できる可能性があります。
| 調査内容 | 調査方法 | 対処方法 |
| MS14-068の脆弱性を悪用した攻撃 | イベントID4769で、エラーコードが 「0xf」の場合、攻撃を受けた可能性がある | コンピュータは侵害されている可能性があるため調査 |
| Golden Ticket / Silver Ticket の不正使用 | イベントID4624/4672で、アカウントドメインに「eo.oe.kiwi : )」などの文字列が記録された場合、不正使用の可能性がある | コンピュータは侵害されている可能性があるため、ネットワークから隔離して調査 |
| 不審なタスク作成 | イベントID4698、タスクスケジューラ、「C:\Windows\System32\Tasks\」配下などのファイルで不審なタスクを確認 | コンピュータは侵害されている可能性があるため調査 |
| イベントログ消去 | イベントID1102(イベントログ消去)が見つかった場合、正規の消去か確認 | 該当するコンピュータを調査 |
イベントログの認証イベントに記録される認証要求元の端末やアカウント名などを調査することで、アカウントの悪用を検知できる可能性があります。
| 調査内容 | 調査方法 | 対処方法 |
| 特権の割り当ての妥当性 | イベントID4672のアカウント名に想定外のアカウントが記録されている場合、不正に権限昇格を行った可能性がある | 不要な特権が割り当てられていた場合は削除 |
| アカウントを利用した端末の妥当性 | イベントID4624/4625/4768/4769/4776で、想定外のアカウントや端末が記録されている場合、侵害されている可能性がある | 不要な管理アカウントは削除し、使用する端末を見直す |
| 認証回数・時間帯 | イベントID4624/4625/4768/4769/4776で、想定時間外、認証回数の急激な変化、認証失敗の多発など確認された場合、アカウントが侵害されている可能性がある | 当該アカウントが使用された端末を調査、認証失敗の多数の原因調査 |
ADに対する対策
ADへの攻撃に対する予防策は以下になります。ドメイン管理者アカウントを主眼としています。
| 管理専用端末の設置 | AD やサーバの管理用の端末を専用化し、インターネットのアクセスや、アプリケーションの実行を制限する。 |
| セグメントの分離 | ネットワークセグメントを分離し、セグメント間の通信を必要最低限にする。不要なリモートアクセスを制限する。 |
| 特権付与の最小化 | ドメイン管理者権限などの特権の付与は必要最小限とする。有効期限を設け、共同使用などを禁止する。 |
| 更新プログラムの適用 | Windows Update、WSUS などを使用し、最新のセキュリティ更新プログラムを適用する。 |
| 認証情報の保護 | コンピュータのメモリなどに認証情報を保存しない、または、保存される認証情報を保護する機能を利用する。 |
| 適切なパスワード | 共通パスワードの使用を避け、強固なパスワードを設定する。 |
ADに対する攻撃を検知した場合、アカウント悪用による被害を軽減するための緊急対処は以下になります。
| krbtgt アカウントのパスワード変更 | Golden Ticket の無効化のため、krbtgt のパスワードを2回連続で変更する。ドメイン管理者アカウントのパスワードも変更する。 |
| コンピュータアカウントのパスワード変更 | Silver Ticket の無効化のため、侵害を受けたコンピュータのアカウントのパスワードを2回連続で変更する。管理者アカウントのパスワードも変更する。 |
