システムを運用管理していく上で,ログは非常に重要な役割を果たしている。アプリケーションのメンテナンスや不正なアクセスの調査などには,ログの解析は不可欠だ。システム管理者ならば,このことは十分ご存知だろう。たとえ管理者でなくても,ログの重要性について,一度は耳にしたことがあるだろう。

 とはいえ,ログ解析は容易な作業ではない。特に,管理するシステムの規模が大きければ大きいほど,ログの量もぼう大なものとなり,管理者の負担は大きくなる。出力されたログをすべて解析するとなれば,相当な時間と労力が必要になる。日常業務に追われる中で,ログ解析に何時間も費やすことはできない。

 そのため,ログ解析では“ポイントを絞る”ことが重要である。実際には,すべてのログに目を通す必要はない。出力されたログの中から注目すべき情報だけを抽出して,最終的に残った情報だけを解析すればよい。こうすれば,最小の時間と労力で最大の効果を得られる。

 問題は,“注目すべき情報”がどんなものなのか,ということだ。ぼう大なログをどのように絞り込んでいけばよいのか。今回のコラムでは,ファイアウオールのログに焦点を当てて解説したい。

ログ収集の3つのポイント

 ファイアウオールは,設置しただけでは有効に活用しているとは言えない。正しく設定することはもちろんのこと,ログを定期的に解析してこそ,その真価を発揮できる。これは, IDS(侵入検知システム)も同様である。

 解析するためには,当然ログを収集する必要がある。そこでまず,ログを収集する際のポイントを解説しよう。

 第1のポイントは,システムの物理的な構成が許す限り,できるだけ多くのログを収集することである。不正なアクセスを検知した場合,そのアクセスがどのようなものなのかを知るためには,できるだけ詳細な情報が必要だからだ。調査を始めてから詳細なログを欲しがっても手遅れである。

 第2のポイントとして,出きる限りログ収集用ホストを設置すべきである。ログ収集用のホストを設置することで,管理しているシステムで出力される複数のログを1台のホストにまとめることができ,管理の負担を軽減できる。また,システムに侵入されてしまった場合でも,ログの改ざんを防止できる。

 そして第3のポイントは,定期的に収集したログを何かのバックアップ・メディアに残しておくことである。メディアとして,個人的には CD-R がよいと思う。(1)一度書き込んでしまえば改ざんが不可能なことや,(2)作業が容易であること,(3)メディアが安価であること---などが理由である。

ファイアウオールの設定ミスを突き止める

 では,収集したログを解析する際には,どのような情報に注目すればよいだろうか。まず注目すべきは,ファイアウオールに許可されたアクセスの記録である。許可されてインターネット側から内部セグメントに入ってきたアクセスに,筆者は特に注目する。通過を許可されたアクセスのログは,その量がぼう大なこともあって解析しないことが多いようだが,その中には管理者が意図せず許可してしまったアクセスが含まれている可能性がある。

 しかし,許可されたアクセスのログの量はぼう大だ。そのため,正規のサービスに対するアクセス,およびファイアウオールのログからは不正かどうかを判断できないアクセスの情報をフィルタリングする必要がある。

 具体的には,まず「あて先ポート番号がDMZの各ホストで提供されているサービスであるアクセス」を取り除く。各システムの構成によって異なるが,DMZにWebサーバーやメール・サーバーを設置している場合には,HTTP や SMTPが対応することになる。あて先のサービスが HTTP や SMTP の場合でも,パケット中に悪意のあるコードが含まれている可能性は否定できない。しかし,ファイアウオールのログだけではそれを検知できないので,ここでは取り除く。

 また,「ICMP によるアクセス」も取り除く。これは,ルーターなどの機器間でネットワークの状態を通知している場合などがほとんどだからである。

 これらをログから除くことで,ぼう大なオリジナルのログがかなり少なくなっているはずである。

 もし,ログに何も残っていない場合は,問題が見当たらないことになる。しかし,ログに情報が残っている場合には,そのログを詳細にチェックする必要がある。ファイアウオールの設定ミスなどにより,本来は拒否すべきアクセスを無意識に許してしまっている可能性があるからだ。

 こういった場合には,すぐにサイトの公開を一時的に停止するなどして対応する必要がある。そして,ファイアウオールのアクセス・コントロール・リスト(ACL)を確認し直さなければならない。

 実際,ある企業のファイアウオールを調べてみたら,その企業とはまったく関係のないISPに割り当てられているIPアドレスからのFTPアクセスを,なぜか許可する設定になっていたことがあった。そのような状態を放置しておくと深刻な事態を招く可能性がある。

攻撃元と不正なアクセスの傾向を知る

 次に,ファイアウオールの通過を許可されなかったアクセスの解析である。これも重要な作業である。不正なアクセスやその試みの多くがこの中に見られるからだ。

 この場合も,許可されたアクセスのログ解析同様,いきなりオリジナルのログにあたるのではなく,不要な情報をまずフィルタリングする。具体的には,「送信元のサービスが HTTP や SMTP であるアクセス(すなわち,Webサーバーやメール・サーバーからのアクセス)」や,「あて先のサービスが ident や auth であるアクセス」を取り除く。また,「ICMP によるアクセス」も除く。

 そうして残った情報の中に,不正なアクセスと思われるものが含まれている。DMZ の各ホストへ FTP や DNS,SunRPC で接続を試みるものが見られ,中には Telnet で接続しようとしているものすら見かけることがある。

 このような情報は,攻撃元へ連絡する際の証拠となるばかりではなく,現在どういった不正なアクセスの予兆があるのか,その傾向を知る手がかりとなる。

 実際,不正なアクセスには流行がある。例えば,FTPサーバー「wu-ftp」のぜい弱性が公表された後には FTP のアクセスが増え,DNSサーバー「BIND」のぜい弱性が公表された後には DNS へのアクセスが増えた。こうしてみると,ある特定のサービスへのアクセスが増えたときは,そのサービスを提供しているアプリケーションのぜい弱性が発見されている可能性が高いようだ。

◇     ◇     ◇     ◇     ◇     ◇

 このように,毎日大量に出力されるファイアウオールのログも,ポイントを絞って解析すれば,より効率的に結果を得ることができる。不正なアクセスやその予兆を検知するために,ログ解析は重要な作業であることを,特に管理者には認識していただきたい。


◎参考資料
「ログの活用方法に関する調査」(情報処理振興事業協会)
「FAQ : Firewall Forensics (What am I seeing?)」 (RobertGraham.com)

黒田 征太郎(Kuroda Seitaro)
株式会社ラック 不正アクセス対策事業本部 技術部
kuroda@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。