PR

三輪 信雄 ラック 不正アクセス対策事業本部長

図3 B社のログ管理の新体制
B社では,アクセスに成功したログも記録することにした。さらに,ログの改ざんを発見するために,ファイアウォール,Webサーバー,FTPサーバーと複数個所でログを記録している。日常のログ分析も怠っていない。解析ツールなどを使って不審なログを調査している。ログは,過去のログを分析する必要が生じた場合に備えて,書き換えられないメディアに記録し,1年間保存している。

不正侵入の予防にも活用

 事件を教訓に,B社ではファイアウォールやIDSだけでなく,Webサーバーでも,アクセス成功を含めた膨大なログを保存することにした(図3[拡大表示])。さらに,Webサーバー・ソフトだけでなく,OSのシステム・ログも取り,1年間厳重に保管することにした。

 アクセスの成功までログに記録すると,1日でハード・ディスクが満杯になってしまう。そこで,CD-Rに自動的にバックアップを取るようにした。CD-Rであればログの改ざん・消去も不可能になる。

 ログを収集するためには特別なソフトは必要ない。OSやアプリケーションが自動的に書き出してくれる。ただし,デフォルトでは成功のログは対象になっていない場合が多い。B社で使用しているWebサーバー・ソフト「Apache」は,デフォルトで緊急事態,警報,危険,エラー,警告を収集する。B社では設定ファイルを書き換えて,正常なアクセスの記録やプロセスの実行状態なども収集するようにした。

 さらにB社はログを定期的に分析している。不審なアクセスをログから探し出し対策を講じれば,不正アクセスを未然に防げる。例えば失敗のログからは不正アクセスを試みられたことが分かる。同じコンテンツに極端に短時間にアクセスが集中した場合はDoS攻撃されている可能性がある。

 ログの分析は,膨大な量のログを分析し観察する根気の必要な作業である。B社ではログの分析に自作のツールを活用する。分析ツールによって,不審な引数を持つCGIリクエスト,極端に長いリクエスト,同一IPアドレスからの複数のパスワード・エラーなどを抽出している。

 ただし,ログを分析しても不正アクセスを完全には発見できない。セキュリティ・ホールから侵入されている場合,ログからは分からないからだ。

 B社のように,複数個所でのログを収集するのも重要だ。理由は二つある。

 一つは,ログの改ざんと消去に対抗することだ。不正侵入者が管理者権限を奪えば改ざんや消去が可能になる。例えば不正アクセスの痕跡を消すために,ログのIPアドレスを書き換えることもできる。このようなときでも,複数個所で取ったログを突き合わせれば,無関係な人を疑うことはない。

 もう一つは,違った形式でログを記録することで,異なる見方ができるようになることだ。

 ログの取得方法の見直し後B社は,今まで見過ごしていたDoS攻撃など不正アクセスの兆候を発見しアクセスを禁止したり,踏み台になっているサーバーに注意を喚起できるようになった。