Skip to content

セキュリティマガジン TREND PARK

 標的型サイバー攻撃への対策としてログ監視は大きな要素のひとつです。従来のパターンマッチングでは見つけられない脅威をあぶり出していくメソッドを定常運用に組み込むための方法にも繋がります。不審なURLへのアクセスをしている痕跡は、いち早い対応をするための手がかりとなりえます。不審なURLがどの程度の危険度を持つかは、評価サイト(※3)などを使えばよいでしょう。いずれにしても、評価すべき通信ログは膨大な量になります。しかし、ネットワーク監視製品(※4)を導入することで、その負担を削減することも可能です。標的型サイバー攻撃への備えは必須と言えますが、企業ごとに求められるセキュリティは異なりますので、セキュリティ企業などのアドバイスをもとに、自社にとって効果的な方法を選択するとよいでしょう。

発見した通信ログの異常


「これ、なんか動きがおかしいですね」

 山中氏が調べていたログの中に、夜中に定期的に外部へアクセスした痕跡が見つかりました。接続先のURLを調査してみたところ、「危険」と判断されました。

 「これはまずいですね。他に無いか調べたあと、端末調査を実施しましょう」と斉藤は言いました。直近3週間分ではあったが、ログから見つかった怪しい兆候は山中氏が見つけた1件に限られました。山中氏はすぐに不正な通信が発生していた端末を特定。感染経路についてはヒアリングなども含めて調査結果を待つ必要がありますが、該当端末は速やかにネットワークから排除され、不正プログラム調査ツールが実行されました。その結果、不正通信を発生させていたと思われるファイルの取得に成功。すぐさまトレンドマイクロに検体解析を依頼しました。

記事公開日 : 2014.12.12

ページの先頭へ