標的型攻撃に対しては、一つのソリューションでは対抗できない。「入り口対策」と「出口対策」、そして社員への教育などさまざまな対策を多層的に行う必要がある。今回は、標的型攻撃対策におけるログの有効活用について述べる。

ログから分かった情報漏洩の事実

 ある日、ユーザー企業のA社は、取引先企業から以下のような連絡を受け取った。

 「面識のない貴社の社員と思われるアドレスから毎日メールが送られてくる。それも営業的なものでなく、添付ファイルを開封してほしいというような内容だ。開封するとそこには何も記載されておらず、放っておくしかないのだが、これが頻繁に送られてくる。しかも複数の社員に送られているようである。調査してほしい」---。

 そこでA社は問い合わせのあった企業から、問題のメールを送ってもらった。確かにA社の社員のアドレスで送られている。しかし、メールのヘッダ情報からアドレスを詐称して配信されていることが分かった。

 次に、送信先企業のアドレスに関して調査したところ、A社のファイルサーバーに保存している顧客アドレス一覧に登録されていることが判明した。このことから、ファイルサーバーに保存している人事システムの社員アドレス一覧と顧客アドレス一覧を、何者かによって詐取されたのではないかという疑いが濃厚となった。

 この段階で、当社に調査依頼が来た。

 さらに詳しく調べてみると、この会社ではファイルサーバーのフォルダー単位にアクセス制限をかけていた。ファイルサーバーへのアクセスログを取得して見てみると、社員アドレス一覧と顧客アドレス一覧のあるフォルダーに対して、同一IDから複数回のアクセスを確認することができた。

 そのアクセスに使用されたIDは、業務委託社員に割り当てたものだった。しかも複数の委託先企業が共有していたIDであり、各社との契約は2年前に終了していた。明らかな不正アクセスである。

 ただ、残念ながら追跡はここで終了した。共有IDを悪用されたため、これ以上の犯人特定が困難だったためである。しかし、ファイルサーバーのアクセスログを取得していたことで、ある程度の漏洩経路と原因を突き止めることができた。

 もし、アクセスログの取得を全くしていなかったら原因の推定さえもできず、その後の対策もできないまま情報漏洩が拡大しただろう。

 このように、ログは事後のセキュリティ対策においても重要な役割を果たす。

社会的にも重要性が高まるログ収集

 ログの標的型攻撃対策への生かし方を解説する前に、ログについて一通りおさらいしておこう。

 ログとは、サーバー、クライアントPC、ネットワーク機器、アプリケーションなどの利用状況やデータ通信結果の記録データを意味する。具体的には、ログには「誰が」「いつ(日時)」「どこから(どこへ)」「何を」「どのような」データが送受信されたかの結果が記録される。

 企業が取得しているログの種類には、表1のようなものがある。

表1●ログの種類(一例)
表1●ログの種類(一例)

 ログを出力するソフトウエアやハードウエアの違いにより様々な種類のログがあり、データ通信量に比例して膨大な量のログを取得している企業も少なくない。