まずは平時の動向を把握して基準値を設定することが大事
具体的には、例えばプロキシログのデータをFQDN別に集計し、普段はあまり見られない通信先への通信をモニタリングしたり、あまり一般的には使われない“レア”なユーザーエージェントからの通信などが突然増えたりした際に、マルウェア感染を疑ってピンポイントで調査を行っているという。
またWebアクセスログに関しても、日次で集計したログデータに対して、サイト別やステータスコード別、国別などさまざまな切り口で分析をかけ、不審な動向が見られないかチェックしているという。こうした取り組みを行う際に重要な点として、岩本氏は「通常を知ること」を挙げる。
「ある特定の時点での数値そのものには、実は大した意味はありません。弊社のWebアクセスログには通常、1日あたり約100カ国からのアクセスが記録されますが、別の企業にとってはこれは極めて多い数値かもしれませんし、また別の企業にとってはむしろ少ない方かもしれません。大事なのは、集計結果を定常的に確認し、『日々のベースライン』を把握しておくことです。このベースラインを基準値に設定し、そこから大きく逸脱する傾向をモニタリングすることで異常事態の可能性を検知できるようになります」
また単純な集計だけでなく、レアなデータの増減に特に注目することで、攻撃をよりピンポイントで絞込みやすくなるという。例えば同社では、通信先の集計を行う際には、誰もがアクセスするメジャーなサイトやWebサービスはあらかじめホワイトリストに登録しておき、これに含まれないレアな通信先への通信を特にクローズアップして監視できるよう工夫しているという。またアクセス元の国別にアクセス数を集計する際も、主要国以外の国からのアクセスだけを抽出して、その傾向にベースラインからの大きな逸脱がないか毎日チェックしている。
こうした不正アクセス対策に加え、近年では不正送金への対策も強化している。不正送金を狙った手口は年々高度化しており、ジャパンネット銀行でもさまざまな事例が報告されているという。以前から見られる「ユーザーに偽のログイン画面を提示してワンタイムパスワードを入力させる」といった手口はもちろんのこと、近年ではSMSを使ったフィッシング(スミッシング)や、金融機関や警察を騙って電話をかけてくるボイスフィッシング、さらにはIoT機器を踏み台にしたなりすましログインなど、その手口はますます巧妙化の一途を辿っている。
出所:ジャパンネット銀行 岩本俊二氏、Security Online Day(主催:翔泳社)講演資料より
「内部不正時代の特権IDアクセス管理」講演資料より[クリックすると図が拡大します]
こうした攻撃に対処していく上でも、やはりログ分析は極めて有効だという。例えば、アクセスログのユーザーエージェントのデータを毎日集計し、レアなブラウザのアクセス数の傾向を監視したり、不審なRefererをチェックすることでフィッシングの有無を確認することができるという。
「すべてのRefererを毎日チェックするのは不可能ですが、新たに観測されたものだけを抽出してチェックすることはできます。こうした取り組みを続けることで、2016年はフィッシングサイトを私たち自身の手で20ほど発見して早期にテイクダウンしました。そのおかげで、幸いフィッシング詐欺の被害に遭うことはありませんでした。このようにログ分析を工夫すれば、専門家でなくともフィッシング対策を行うことは十分可能です」(岩本氏)
