標的型攻撃では、攻撃者はユーザーやシステム管理者などに気付かれないように組織内ネットワークに侵入し、攻撃を進める。このため、外部からの指摘で攻撃が発覚することが少なくない。

 発覚の後の調査により、数年にわたって攻撃が続いていて、既に大量の情報が持ち出されていたことが判明した事例は多い。そのような事態にならないためには、定期的にログを確認することが重要だ。JPCERT/CCで確認した事例では、Active Directoryのログを定期的に確認していれば、早期に検知できたものが多かった。

 そこで今回は、Active Directoryのログの確認方法について解説する。

チェックフローに従って確認する

 定期的にログを確認する際の流れ(チェックフロー)は以下のようになる(図4-1)。図に沿って説明していこう。

図4-1●Active Directoryのログのチェックフロー例(JPCERT/CC「Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起」中の図を加筆修正した)
図4-1●Active Directoryのログのチェックフロー例(JPCERT/CC「Active Directory のドメイン管理者アカウントの不正使用に関する注意喚起」中の図を加筆修正した)
[画像のクリックで拡大表示]

 攻撃者の主な狙いは、ドメイン管理者になりすますことだ。このため、Active Directoryのログをチェックする際には、ドメイン管理者のアカウントに注目することが重要になる。

 そこで、まずは管理者アカウントをリストアップする(図4-1-A)。次に、それらが実際に使用されているかどうかを、ドメインコントローラーのイベントログなどで確認する(図4-1-B)。

 使用していない管理者アカウントは、攻撃者に悪用される危険性があるとともに、悪用されても気付きにくい。そこで、削除や無効化を検討する(図4-1-C)。

 使用が確認されたアカウントについては、使用されていることが適切かどうかを調べる(図4-1-D)。システムの運用状況や構成、担当者へのヒアリング、社内の利用申請状況などを基に、使用可能なアカウントなのか、正当なユーザーが使用しているのかについて確認する。

 ここで、使用されるはずではないアカウントが使われている場合には、不正使用の可能性があるとして、詳細な調査を実施する(図4-1-E)。

 ログを基に、管理者アカウントで実施された操作が妥当かどうかチェックすることも重要だ(図4-1-F)。

 ある程度の規模以上の組織では、全ての操作を確認することは困難だろう。その場合には、「オフィスに誰もいないはずの時間帯に通信が行われている」「ある時期から急激に認証回数が増えている」「総務や経営層などが使用する端末から管理者アカウントが使用されている」など、不正の可能性が高い操作に注目するだけでも、一定の効果を期待できる。