1. ホーム »
  2. 『標的型サイバー攻撃』には『ログの徹底活用』
『標的型サイバー攻撃』には『ログの徹底活用』 標的型サイバー攻撃とは、国防情報・エネルギー関連・企業の金銭や知的財産などの重要情報の不正取得を目的として行われるプロによる窃盗・スパイ活動です。 標的型サイバー攻撃の特徴 対策上の問題点
■ 標的型メールへの絶対的なセキュリティ対策は無い
- 実在する上司や取引先の名を語ったメールに添付されたPDFファイル
- 誰か一人でも開けば成功。必ず誰かが開いてしまう
■ 侵入したスパイウイルスの検出が難しい
- 新しいパターンのウイルスや、狙った企業内でしか発症しない専門プログラム
- 狙った企業が導入しているウイルス対策ソフトに検出されないことを確認済
- ウイルス対策ソフトでは、検出できない
■ 社内に“人に起因する”セキュリティホール多数存在
- 非管理サーバや消し忘れアカウント、非管理共有、脆弱パスワードなど
- 侵入したウイルスやハッカーに狙われる
現実的かつ本質的な対策は!?

入口をどんなに制御してもマルウェアは必ず侵入してきます。
「ウイルスやハッカーは既に社内にいる」という前提に立った場合『入らせない』よりも、
『侵入したマルウェアの拡散防止や、早期発見』が現実的かつ本質的な対策になります。
そのためには、内部環境の『強化と監視』がポイントとなります。
具体的には多点・多重のログの取得、ポリシー通りの確実な運用を可視化・管理する必要があります。

現実的かつ本質的な対策は!? 『侵入したウイルスの拡散防止、早期発見』には多点・多重のログの徹底した監視が必要です!
このページの先頭へ

攻撃の種類とログから見るポイント ケース1:侵入したウイルスの拡散防止、早期検出

◇ ログ解析の観点

■ サーバサイドログ
・サーバが発信元のログ(かつアクセス先がサーバでない)
⇒ サーバがウイルスに感染している可能性
・短時間に沢山「Logon failure」が出ているクライアント
⇒ ドメインアタックをしている可能性
■ 部門サイドログ
・宛先がサーバでない
・不特定多数のマシンにアクセスしている
⇒ クライアントマシンがウイルスに感染している可能性
ケース1:侵入したウイルスの拡散防止、早期検出

◇ レポート例

レポート名 行われている不正アクセス・不正行為 レポート内容
サーバからクライアントへのアクセス サーバに感染したウイルスが、サーバのアカウントを利用して拡散するためにファイル共有を利用しているマシンを探索する 認証ログ(LogonまたはLogon failure)の宛先がサーバでないログを抽出する
ADへのログオンアタック ADサーバに対し、ログオンアタックを行なう クライアント毎のLogon failure件数を集計する
クライアントからクライアントへのアクセス サーバ以外のマシンにアクセスしている アクセスログの宛先がサーバでないログを抽出する
不特定多数へのアクセス 不特定多数のマシンにアクセスしている クライアント毎のアクセス先件数を集計する
このページの先頭へ

ケース2:「未使用アカウント」「非管理PC・サーバ」を検出

◇ ログ解析の観点

■アクセスログと各種台帳/マスタ
・管理台帳とアクセスログを突合せ、未使用アカウント、非管理サーバ、PCを検出
⇒ 未使用アカウント、非管理サーバは不正に利用され易い
ケース2:「未使用アカウント」「非管理PC・サーバ」を検出

◇ レポート例

レポート名 考えられるリスク レポート内容
未使用アカウント抽出レポート 退職者アカウントなど、未使用アカウントの利用 管理台帳とアクセスログを突合せ、未使用アカウントを抽出
非管理PC・サーバレポート 社内に許可無く設置されたサーバ、PCのウイルス感染 管理台帳とアクセスログを突合せ、非管理PC・サーバを抽出
ケース3:外部攻撃サイトへのアクセス分析

◇ ログ解析の観点

■Web Proxyサーバのログ
・外部の攻撃用サーバにアクセスしているサーバやPC
⇒ ウイルスに感染したサーバやPCが情報を持ち出している可能性
外部攻撃サイトへのアクセス分析

◇ レポート例

レポート名 考えられるリスク 行われている
不正アクセス・不正行為
レポート内容
外部攻撃サイトアクセスレポート 情報が持ち出されている 情報の持ち出し先サイトへのアクセスC&Cサーバへのアクセス 外部攻撃サイトへのアクセス履歴を出力する
ログの収集・管理・活用なら!

各種ログのフォーマットを吸収し可読性を高め、複数ログを使用した追跡性の向上・多様な分析・レポート要件に対応!
標的型サイバー攻撃対策におけるログの収集・管理・活用には、国内シェアNo1の統合ログ管理製品『Logstorage』です!

logstorageバナー



イーセクターは、標的型攻撃のリスクを最小化するために、『未知のマルウェア防御』、『侵入マルウェアの隔離』、『感染した場合の症状早期発見』の3つの対策を提唱します。
 標的型対策ソリューション

このページの先頭へ