［第2回］データ漏洩の兆候は数カ月も前から

ベライゾンジャパンシニアコンサルタントフォレンジック調査対応部

2012.05.17

　ベライゾンフォレンジック調査対応部では、データ漏洩事故が起こったシステムを調査し、いつ、誰が、どこからどんな情報をどうやって盗んだかを明らかし、ユーザーに報告します。その中には、数カ月前のデータ漏洩の兆候を検知できていれば、データ漏洩を防げたかもしれない事例が多くあります。調査中にそのことに気付き、残念に思うことは決して少なくありません。

　こうしたデータ漏洩の兆候をとらえるために役立つのがアプリケーションやシステムが記録するログです。今回は、このログについて効果的な取得・分析方法を説明します。

　図1は、被害に遭った企業がシステム侵害を受けてからデータが漏洩するまでの期間を割合で表しています。これを見ると、システムに浸入されてからデータ漏洩まで数日以上かかっているケースが53％あります。APT（Advanced Persistent Threat）攻撃など特定の人物もしくはデータに対して攻撃を仕掛ける事例では、攻撃対象者がやり取りしているメールを監視し、そのメールに対する返信として攻撃を仕掛けます。攻撃が成功した後、攻撃対象者を起点に攻撃者が欲するデータまでの経路を探します。そのために、実際にデータを盗み出すまでの間には、経路を調査する時間が必要になります。

図1●システムが侵害を受けてからデータ漏洩までには時間がかかることが多い

　ほかに、攻撃者がシステムに侵入した後でバックドアを仕掛け、その数カ月後に攻撃者がシステムを改ざんしてデータを盗み出したケースもあります。また多くの場合、攻撃者は事前に、攻撃対象に関する調査を実施しています。

　このようにシステム侵入からデータ盗難まで数日かかる場合、システム侵入をできるだけ早く検知できていれば、データ漏洩を防げたと考えられます。それ以外のケースでも、攻撃者の事前の調査行動をログから見つけることで、攻撃を避けられる可能性があります。

　ところが、当社がまとめた2011年度データ漏洩/侵害調査報告書を見ると、ウイルス対策ソフト、IDS（侵入検知システム）、あるいはその他のアプリケーションやシステムのログをレビューしてデータ漏洩の事象を検知できた割合は1％以下です。ほかの手段を含めても、自社で漏洩被害を検知した割合は、実に11％しかありません。被害を受けた企業の多くは、自社でデータ漏洩が起こったことを自社以外の第三者から教えられるケースが多いということです（図2）。

図2●大半の企業は外部からの指摘でデータ漏洩の事実に気付く

　ただ、この結果から、ログにはシステム侵入の記録は残っていないとか、役に立たないと考えるのは早計です。というのは、フォレンジック調査対応部で調査したケースの69％では、ログからデータ漏洩/侵害の証拠を発見しているからです。つまり、ログをチェックする体制ができていない、ログを適切に管理・解析できていない、といったことに根本的な原因があります。適切にログを管理・解析できれば、外部から指摘を受ける前に予兆を把握し、速やかに対処できるわけです。

　解析すべきログデータの量は極めて大きくなるため、解析しきれないという声をよく聞きます。これがユーザーにとっての大きな課題になっています。そこで一つの解決策となるのが、選択と集中です。すべてのシステムのログを監視するのではなく、守るべき情報の監視にリソースを集中させることです。そこから、想定される外部へのアクセス経路を探し、そのアクセス経路に対するログを分析することをお薦めします。

　なおログ解析時には、「木を見て森を見ず」にならないよう、攻撃の痕跡だけに集中せず、ログを包括的に見ることが重要です。その際の観点は三つあります。

（1）ログデータ量が異常に増えていないか
（2）ログ内部の行数が異常に多くないか
（3）ログデータが消えて（または減少して）いないか

　実際の調査でもログのサイズ比較で攻撃を受けた日を特定できてしまうケースがあるように、1日のログサイズが5倍になっているケースや、攻撃者がログ機能を無効にして数カ月もログが記録されていないケースは、比較的よくあります。こうしたケースではファイルサイズの比較は有効な発見手段です。平常時のWebアクセス数にもよりますが、SQLインジェクション攻撃のように短期間に大量の攻撃コードが送られてくる攻撃手法の場合も、Webのアクセスログのサイズを比較することで検出することも可能です。

　一方、ログの内容から異常を見つけるには、平常時の出力ログをきちんと理解しておくことが重要です。差分を見つけられるポイントを想定しておいて、そのポイントを中心にログの内容をチェックします。

　例えば、攻撃者がWebサーバーにバックドアを仕掛け、ブラウザー経由でそのバックドアにアクセスしてくる場合は、自社サーバー内に存在しないはずのファイルへのアクセス記録がログに残るはずです。また、攻撃者が脆弱性を見つけるためにスキャナーツールを使った場合、Webのアクセスログにブラウザーでのアクセスとは異なるユーザーエージェントが記録されます。こうした情報が、差分を見つけるためのポイントになります。

　このほか、ログではありませんが、外部からアクセス可能なフォルダー内のファイル構造もしくはファイル数を平常時と比較することで、自社が作成していないファイルが見つかるケースもあります。

　攻撃の痕跡を見つける方法は、それぞれの企業の組織や、利用しているシステムによって異なります。まずは、ログ管理の体制を整えると同時に、差分を見つけるポイントを探る必要があります。また、攻撃の痕跡を発見した場合に直ちに調査し、専門家に連絡するなどの対応をとれる体制も欠かせません。

鵜沢裕一
ベライゾンジャパン
シニアコンサルタント
フォレンジック調査対応部