Sansan-CSIRTアナリストの福岡です。
今回の記事では、セキュリティーに携わるエンジニアがログやデータを分析するに当たって知っておきたい基本的な分析観点やノウハウを紹介します。
攻撃者を想像して分析する
通信記録やログなどからサイバー攻撃を見つけるに当たって特に重要なのは、攻撃者の目的を考え、心理を想像し、どういった操作をするのかを想像をしながら分析することです。それによって、対象とするログや通信の記録、分析方法などが変わってきます。
例えば、攻撃者の心理として、「短時間で効率よく、かつ検知を回避して目的を達成したい」と考えることは当たり前だと考えられます。
この心理に基づいて、以下のような行動をとると仮定します。
- 一連の目的を持った操作や通信を行う
- 無駄を省くために連続した攻撃の操作や通信を実施する
- 長期周期性を持った調査通信を試みる
ほとんどの場合、こういった行動が取られると、システムを構成するサーバーやセキュリティー機器のログには痕跡が残ります。その痕跡を分析することで効率よくサイバー攻撃を発見することができます。
一連の目的を持った操作や通信を行う
「一連の目的が持った操作や通信」は、組織内のサーバーのログに記録されることがあります。例えば、攻撃者が狙う情報が入った端末への認証情報の要求ログ、ドメインコントローラーのアクセスログ、感染した端末から出るマルウエアの通信などに、その記録が残ります。
ある端末に侵入した後、攻撃者は機密情報へアクセスできる、さらに高い権限を持つ端末への侵入を試みます。この場合、ドメインコントローラーのアクセスログや、機密情報が保存された端末のアクセスログにネットワーク内部からの不審な通信が多数記録されることがあります。また、ネットワーク内部の端末の社内通信を記録しているログにも同様に不審な通信を行ったことが記録される場合もあります。
このように、組織内のサーバーのログを分析することで攻撃者の行動が明らかになり、「一連の目的が持った操作や通信」を発見することにつながります。
無駄を省くために連続した攻撃の操作や通信を実施する
「連続した攻撃の操作や通信」は、主に組織内と外部との境界に置かれるセキュリティー機器、あるいは組織内のサーバーのログに記録されることが多いです。
攻撃者は、通信が切断される前に効率よく目的を達成したいと考えています。そのため、無駄な通信を発生させないように、連続した攻撃通信を組み立てて送信することが考えられます。この場合、送信元(攻撃者)からの通信に連続した攻撃の痕跡が記録されます。
不審な文字列やデータを伴う通信が短時間の間に連続して記録されていれば、その通信は攻撃である可能性が高まります。
長期周期性を持った調査通信を試みる
「長期周期性を持ったような調査通信」は、主に組織内と外部との境界に置かれるセキュリティー機器のログに記録されることが多いです。
攻撃者は、攻撃の前段階に必ず対象となるシステムやネットワークに対して調査を行います。このとき、攻撃者は分析者に検知されないよう、間隔をおいて、少しずつ調査通信を発信します。非常に長い時間をかけて調査するのは、侵入や攻撃の手掛かりとなる情報をたくさん入手したいためです。
この場合、長いタイムスロットを設定し不審な送信元からの通信を分析することで調査通信の有無を把握することができます。
攻撃者が何を目的として攻撃を仕掛けているのかを想像しながら対象とするログや記録、分析方法を絞って、効率よく分析することが重要です。
攻撃者も人間である
攻撃者は、いかに検知されず、効率よく、短時間で目的を達成できるかを追求しています。サイバー攻撃のトレンドを追いかけ、攻撃者の心理と目的、攻撃の背景を理解し、分析の在り方を常に見直していくことがサイバー攻撃の早期検知につながると考えています。
攻撃者も人間ですから、ミスをすることがあります。悪性活動を行うと思っていた不審なファイルが、実は攻撃者のプログラミングミスによって動作しなかった、といったこともありました。
固定観念にとらわれず、「攻撃者も人間」であるということを念頭に置いて分析に取り組むことで、通常とは異なる視点から発見できるものもあるかもしれません。
攻撃者は予想もしない方法で攻撃を仕掛けてきますが、一方で攻撃者から学べることも多いです。攻撃者が残した痕跡から「何を目的として、どのような手段で攻撃してきたのか」という観点に立って分析に取り組んでみましょう。
今回の記事で挙げた観点やノウハウは必ずしも全てではなく正解でもありませんが、さまざまな分析手法や考え方が存在する中で、基本的なものを挙げたつもりです。
攻撃者の心理を思考しながらセキュリティーのログやデータを分析することの重要性を伝えることで、サイバー攻撃の早期検知につながればと考え、今回は基本的な分析観点やノウハウを紹介しました。セキュリティーに携わるエンジニアの皆さんの参考になればと思います。
text: Sansan-CSIRTアナリスト 福岡省吾