2011年、これまでの事例にみる脅威とその対策 第5回


  先日、あるミーティングで、長く情報セキュリティの第一線で活躍されている方達と、ネットワークセキュリティーの基本ともいえる境界領域防御の有効性について議論をする機会がありました。標的型攻撃などの最近の攻撃の多くは、従来のワームなどの動作と異なり、ファイアウォールなどの境界領域を突破して、内部ネットワークに直接入ってくるわけですが、このような攻撃に対して、境界領域防御の位置づけを、どのように考えたらよいだろうという議論です。メモを取っていたわけではないので、不正確かもしれませんが、結論は以下のようなものです。

  •  境界領域防御は、即効性があり内部対策の負担の少ない有効な対策である
  •  しかし、昨今の攻撃手法の変化に対しては、内部対策も必要になってきている

  当然といえば当然ですが、境界領域防御がダメになったわけではなく、境界領域防御だけでは対策ができない攻撃が顕著化しているという事だと思います。単に「境界領域防御の限界」というと、境界領域防御が必要ないというニュアンスでとられてしまうのかもしれませんが、境界領域+αが求められているのだと思います。

 同様の論理的な飛躍が、「出口対策」という言葉の使い方にも見られるように思います。IPAから出ている“「新しいタイプの攻撃」の対策に向けた設計・運用ガイドライン[1]“を根拠として、「出口対策」の必要性だけが強調される事があります。このガイドラインでは「入り口対策(基本的な対策)」をとった上で、そこで防げないものについては、被害が発生・拡大しないように「出口対策」が必要だということを指摘したもので、従来の対策が無力だと言っているわけではありません。当たり前なのですが、「出口対策」だけでは対策になりません。

 なお、このガイドラインでは、ネットワーク対策が中心とされており、PCやサーバーといったホスト対策については、ほとんど触れていません。この点については、ずいぶんと議論させていただいたのですが、ホスト対策は環境依存が大きく、ガイドラインに実効性を持たせることが難しいとの判断になりました。現状では難しいとしても、新しく導入するシステムや、重要性の高いシステムについては、ホストレベルの対策を導入していく事が重要だと考えていますので、次回以降では、こちらのガイドラインでは割愛されているホスト対策についても取り上げていこうと考えています。

  

まずは現状の確認から始めよう

  公開セグメントの対策において、以下の二つの視点から現状を確認する。まずは、ログやコンテンツからシステムが置かれている状況を調査し、次にネットワークセキュリティ対策の視点から、必要な対策が取られているか、また、早急に対応すべきところがないかを調査する。

  ログやコンテンツの確認

①   コンテンツの確認

②   公開サーバーのログの確認

 

  セキュリティ対策状況の確認

③   ノードの洗い出し(ホスト、PC、ネットワークデバイスなど)

④   アクセスコントロールの確認

⑤   アカウント(パスワード)の確認

⑥   脆弱性の確認

 

ログとコンテンツの調査: Log Parser

 ログやコンテンツの確認のための方法は色々とあるのだが、今回は、マイクロソフトが無償で公開しているツールLog Parserを使った調査方法を紹介する。

 Log Parserは、SQLに似た構文を使って、汎用性の高いログ分析を行うことが出来るツール。基本的な入力として、Webサーバーのログ(IIS, W3C, NCSA等)、イベントログ、ファイルシステム、NETMON, CSV, TSVなどが用意されており、出力は、CSV,TSV, XML, グラフ(CHART)、SYSLOGなどが用意されている。入力、出力とも拡張が可能で、たとえばPCAPの分析や、snortのログも扱うことができる。
 Log Parserは、任意のフォルダーで実行できるので、USBメディアや、ネットワーク共有を使って実行出来る点も、使いやすいと考えている。 

Log Parser 2.2 日本語版
http://technet.microsoft.com/ja-jp/scriptcenter/dd919274

  Log Parserがグラフ(CHART)を出力するためには、”Office 2003 アドイン : Office Web Components”が必要となる。これも合わせてインストールする。なお、OfficeWeb
Componentsには、既知の脆弱性があるので、忘れずにセキュリティ更新も行う。 

Office 2003 アドイン :Office Web Components
http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=7287252C-402E-4F72-97A5-E0FD290D4B76&displaylang=ja

  Log Parserの使い方は、パラメーターなしでlogparser.exeを実行するとことで確認出来る。詳しく取り上げたいところだが、今回は、コマンドの説明は割愛させていただく。logparser –h EXAMPLES と入力することで、豊富な使用例を見る事も出来るのでこちらも参考にしていただきたい。

 また、洋書ではあるが、”LOGParser Toolkit[2]” という書籍が出版されている。こちらの書籍も大変参考になる。目的に応じた多数の例示があるため、英語が苦手な方でも、理解しやすい内容になっていると思う。このBLOGの中で紹介している使用例も、この書籍で紹介されている使い方をベースとしている。

  以下、Log Parserを使った分析例をいくつか紹介したい。

 

イベントログ:システムイベントの推移

 このグラフは、Log Parserを使って イベントログのSystemイベントの総数を日次で集計しグラフ化したもの。3/12にイベントが極端に増えているが、これは東日本大震災の影響による電波時計の停止、停電に備えた電源対策作業が主要なイベントとなっている。この例のように、システムの環境を大局的に見ることに加えて、日時や、イベントの種類、成功・失敗などを使った、詳細な分析を行うこともできる。

 このグラフは、この連載でも取り上げている標的型攻撃の検出にも有効かもしれないと考えている。MVP Open Dayで、MVPの方と標的型攻撃の見つけ方を議論させていただいたのだが、侵入に成功した際に、Active Directory等の認証サーバーが攻撃されることが多い事から、認証サーバーのSYSTEMイベントの総数の変化が、侵入をみつけるヒントとして有力ではないかという考えの方が少なくなかった。検証を行ったわけではないので効果のほどは分からないが、以下のコマンドを認証サーバーで実施するだけなので簡単なコマンドで分析が行えるので、試してみる価値はあるように思う。もっとも、認証サーバーにOffice Web Componentsを入れるの無理があるので、リモートで実施するか、いったんCSV等に出力して、EXCEL等でグラフ化するのが現実的かもしれない。

 

 

グラフを生成したコマンド

LogParser -i:EVT -o:CHART “SELECT TO_DATE(TimeGenerated) as Date, COUNT(*) INTO event.gif FROM System  GROUP BY Date ORDER BY Date ASC”

 

ファイルシステム:ファイル拡張子の調査

この表は、試験的に稼働させたIISのinetpub\webroot以下のファイルの拡張子を集計したもの。この例では、’.txt’, ‘xlsx’という公開情報として見つかっている。もちろん、これ等のファイルを公開することもあるのだが、個人情報を含むファイルをうかつにおかれている可能性もある。webroot以下の全てのファイルを確認するのが理想ではあるが、ファイル数が多いと現実的ではないので、このような手法で、確認すべきファイルを絞り込んでいく事も、有効な手法と考えている。

File Type     Total
png     2
htm     2
txt     1
ldf     1
mdf     1
xlsx    1
master  1
css     1
pl      1

 

上記集計は、以下のSQL文とコマンドを使って実行している。

コマンドファイル:fs-sql.txt

SELECT
        [File Type], Count(*) as Total
        USING  TO_LOWERCASE(EXTRACT_EXTENSION(name)) As Type,
        CASE  STRLEN(Type)
                WHEN 0 THEN ‘No extension’
                ELSE  Type
        END AS [File Type]
FROM %source%
WHERE (attributes NOT LIKE ‘D%’)
GROUP BY [File Type]
ORDER BY Total DESC

 実行例:

>logparser file:fs-sql.txt?source=”C:\inetpub\wwwroot\*.*” -i:fs -o:TSV

 

このような集計が出たなら、問題となりそうな拡張子を持つファイルを特定する必要がある。Log Parserでは、以下のようなSQL文を使って、特定の拡張子を持つファイルを検索することも出来る。

 

コマンドファイル:fs-sql-type.txt

SELECT
       Path,  size, CreationTime
USING TO_LOWERCASE(EXTRACT_EXTENSION(name)) As Type
FROM %source%
WHERE  Type = ‘%type%’

 実行例:

>logparser
  file:fs-sql-type.txt?source=”C:\inetpub\wwwroot\*.*”+type=”xlsx” -i:fs -o:TSV

Path     Size    CreationTime
C:\inetpub\wwwroot\新しいフォルダー\参加者リスト.xlsx   123343   2011-11-29 15:31:16

 

まとめ

 今回は、ログやコンテンツを調査するためのツールとして、Log Parserを紹介させていただきました。コンテンツの調査については、今回紹介した内容だけでも、試してみる価値があるように思います。

 次回は、Log Parserを使った、ファイルシステム、ログ、イベントログの調査について紹介をする予定です。

 

 

 




[1] 「新しいタイプの攻撃」の対策に向けた設計・運用ガイドライン

http://www.ipa.go.jp/security/vuln/documents/newattack.pdf

[2] Microsoft
Log Parser Toolkit: A complete toolkit for Microsoft’s undocumented loganalysis tool

Gabriele Giuseppini ,  Mark Burnett , ISBN-10: 1932266526, ISBN-13:978-1932266528


Skip to main content