Skip to content

セキュリティマガジン TREND PARK

ログを絞り込んで不審なURLを調査


 斉藤が示す手順はこうです。まず始めに不審端末のIPアドレスを抽出し、通信量や通信頻度から不審なURLをピックアップします。また、人間がどうやってもアクセスできないくらいに短時間かつ大量に不審URLへアクセスしている記録も怪しいと言えるでしょう。これには、普段から正常な通信量や通信頻度がどの程度なのかベースラインを設けておく事がポイントとなります。また、セキュリティ企業からリリースされる脅威情報などから情報を収集し、不審URLへのアクセス記録を確認する場合もあります。このような様々な方法を組み合わせて不審なURLをピックアップしていくのです。

 次にピックアップした不審URLを用いて、評価サイトを使い対象サーバの危険度を評価します。そこで危険であることが判明すれば、当該端末は未知の不正プログラムに感染しており、不正なWebサイトへの通信が発生している可能性が高いといえます。怪しい端末を絞り込んだら、端末調査を実施してアクセスを発生させた不審ファイルを特定し、そのファイルを解析してパターンファイルで対応します。

 「これはほんの一例です。また、これだけの通信ログ監視作業を毎日継続して実施するのは非常に大変です。片手間で実施するのは難しく、対応しているお客様に中には、SOC/CSIRTなどの専門部署や部署間を横断したチームを組織化している場合もあります」と一連の説明を終えた斉藤は加えました。

 この話しを聞いた山中氏は「これは情シスだけでは難しいですね。リソースの面ももちろん、知識面でも難しそうです」と感想をもらした。斉藤は「ログから不審URLをあぶりだし、評価サイトで危険度を評価するところまでは、御社でも対応可能かとは思います。コツは不審なイベントをどう絞り込むかという点ですから、セキュリティ運用プロセスの中に定常的に行う業務のひとつとして組み込むことが大切です。但し、確かにイベントを絞り込むための体制と専門的なナレッジ強化が必要になるかもしれません。現実的な運用としては、例えばネットワーク上の不審な振る舞いを検出できるツールの活用と、プロのナレッジを組み合わせて対応するなど、現状の体制で対策できることもあります」と説明しました。

記事公開日 : 2014.12.12

ページの先頭へ