ログ分析
ログ分析は、システムを構成する機器が出すログを分析することで、セキュリティインシデントの早期検知や調査を目的とします。本記事では、ファイアウォール、メールサーバ、Webプロキシサーバのログの活用と分析方法について紹介します。
ファイアウォール
ファイアウォール(以下、FW)には、ネットワークの境界の通過を許された通信、または拒否された通信のログが記録されます。FWのログ分析の観点は以下になります。
- 定期的に行うログ分析
- 感染端末からのコネクトバック通信
FWのログ項目は以下になります。
ログ項目 | 内容 |
Action | FWポリシのアクション |
dst | zone 送信先のゾーン設定 |
Src | 送信元アドレス |
src_port | 送信元ポート |
Dst | 送信先アドレス |
dst_port | 送信先ポート |
定期的に行うログ分析
FWで取得された通信ログ(成功・失敗)について、通信の発生時刻や、通信プロトコル、通信元、通信先は妥当化の確認を行います。
感染端末からのコネクトバック通信
通信先のC&CサーバのIPアドレスが分かっている場合は、FWの内部から外部に対するログを分析します。
送信元アドレスが組織内で送信先アドレスが組織外で、かつ、業務に関係のない通信を抽出し、通信拒否(Deny、Reject)を攻撃の可能性があると判定します。特に、マルウェアは通信先ポートに25(SMTP)、80(HTTP)、443(HTTPS)、8080(Proxy)を使用することが多い為、このポートを中心に調査を行います。
メールサーバ
メールサーバでは、受信メールと送信メールのログが取得でき、成りすましメールや実行ファイル添付のメールを検知できる可能性があります。メールサーバのログ分析の観点は以下になります。
- Fromフィールドの表示名偽装
- 実行ファイルが添付されたメール
メールサーバのログ項目は以下になります。
ログ項目 | 内容 |
From: | メールクライアントで表示される送信者アドレス |
Content-Type | 添付ファイル名(name=) |
メールヘッダのFrom表示名偽装
メールの送信者情報には、エンベロープの MAIL From と、メールヘッダの From の2種類があり、メールヘッダのFrom は送信者メールアドレス(以下、ヘッダFrom)と、任意で文字列を入れることができる display-nameフィールド(以下、ヘッダ表示名)で構成されます。
ヘッダ表示名にメールアドレスが含まれており、かつ、ヘッダFromと異なるものを、偽装された可能性のある不審なメールとして判定します。
実行ファイルが添付されたメール
攻撃者はマルウェアである実行形式のファイルを添付し、標的型攻撃を仕掛けることがあります。
ログの Content-Type の添付ファイル名が含まれている箇所(name=)を抽出し、実行形式の拡張子(exe、comなど)が含まれている場合に攻撃の可能性があると判定します。
Webプロキシサーバ
Webプロキシサーバ(以下、プロキシ)には、組織内からインターネット上のWebサイトなどへのアクセスのログが取得でき、感染端末からC&Cサーバへの通信が検知できる可能性があります。プロキシのログ分析の観点は以下になります。
- 定期的に行うログ分析
- CONNECTメソッドで不正通信
- 標準利用以外のUserAgentによる不正アクセス
- 外部に大量データを送出する通信
プロキシのログ項目は以下になります。
ログ項目 | 内容 |
URL | URLアドレス |
method | メソッド |
UserAgent | UserAgent |
accesstime | アクセス時間 |
定期的に行うログ分析
マルウェアに感染したPCは、プロキシ経由でC&Cサーバへの通信を試みます。ログの”URL”にサイバー攻撃に関する情報として示されていたアドレスやドメインが含まれている場合、攻撃の可能性があると判定します。
特に、複数日に渡って1日1回以上アクセスが続いており、アクセスの妥当性が説明できない場合や、業務時間外の通信には注意が必要です。
CONNECTメソッドで不正通信
マルウェアに感染したPCがプロキシ経由でC&Cサーバへの通信を行う際に、CONNECTメソッドを使用することがあります。
ログからCONNECTメソッドを抽出し、送信先ポートが80または443以外の場合に攻撃の可能性があると判定します。
標準利用以外のUserAgentによる不正アクセス
マルウェアに感染したPCがプロキシ経由でC&Cサーバへの通信を行う際に、組織内で利用しているブラウザとは異なった UserAgent を表示してクエリが発行されることがあります。
ログから UserAgent を抽出し、組織内で利用している以外の UserAgent の場合は攻撃の可能性があると判定します。
外部に大量データを送出する通信
マルウェアに感染したPCは、プロキシ経由でC&Cサーバへ組織内で収集した情報のアップロードを行います。
ログから同一の送信先に対しPOSTメソッドから始まり、CONNECTメソッドが連続する通信を抽出し、そのデータ量の合計値が規定値を超えた場合に不審な通信として判定します。


