コリレーション機能を活用した...

1

COPYRIGHT© ZOHO JAPAN CORPORATION. ALL RIGHTS RESERVED

資料/評価版のダウンロード

製品サイト https://www.manageengine.jp/products/EventLog_Analyzer/

コリレーション機能を活用した

サイバー攻撃の検知

2018年 4月 17日発行


ZJTO171212201

https://www.manageengine.jp/products/EventLog_Analyzer/

https://www.manageengine.jp/products/EventLog_Analyzer/download.html

2




■ 著作権について

本ドキュメントの著作権は、ゾーホージャパン株式会社が所有しています。

■ 注意事項

本ドキュメントの内容は、改良のため、予告なく変更することがあります。

ゾーホージャパン株式会社は本ガイドに関しての一切の責任を負いかねます。当社はこのガイドを

使用することにより引き起こされた偶発的もしくは間接的な損害についても責任を負いかねます。

■ 商標一覧

Windows は，米国およびその他の国における米国 Microsoft Corp. の登録商標です。

ManageEngine は、ZOHO Corporation Pvt.Ltd 社の登録商標です。

なお、本ドキュメントでは、(R)、TM 表記を省略しています。



3




1．概要

ネットワークの攻撃は常に変化を遂げており、予測が難しいものとなります。従来から存在しているブルートフォー

ス攻撃によるパスワードクラックの被害は今なお存在していますが、一方でランサムウェア攻撃、つまり情報を暗

号化して金銭を要求する手法の登場など、攻撃は年々多様化しています。

それらの攻撃を常に把握することは困難ですが、対策の一つとして、攻撃の兆候をいくつかの具体的なステップ

に落とし込み、「一般的なパターン」として定義したうえで、監視をおこなうことが有効です。EventLog Analyzer

のコリレーション機能は、ログデータからそのパターンを検知する、最適な手段といえます。

2．ログデータの相関分析により複雑な攻撃を検知

EventLog Analyzer のコリレーションエンジンは、異なるログソースで発生したログを相関的に分析して、ネットワー

ク間で発生している不審な挙動を検知することが可能です。また、定義している条件に一致した場合、メールあ

るいは SMS による通知を行うことができ、瞬時にシステム管理者へ通知を行います。EventLog Analyzer では、

デフォルトで 25 のルールが定義されていますが、自社の環境に合せてカスタマイズをすることもでき、誤検知を最

小限に抑制することが可能です。

※自社環境にあわせた検知設定は、お客様独自に行って頂く必要があります。実装や運用支援についての

ご相談がある場合、弊社のアライアンスパートナーをご紹介することが可能です。

参考）コリレーションのしくみ



4




3．コリレーションのユースケース：ネットワークセキュリティ攻撃

● 悪意ある URL リクエストの検知

ハッカーは、ターゲットとなる Web サーバーの脆弱性を利用して情報を盗み出すため、リモートから連続的に悪

意あるリクエストを送り続けます。このようなリクエストが無作為で送られる場合もある中で、サーバーに対する

攻撃をすばやく検知することは、きわめて重要なこととなります。なお、攻撃を検知する方法の一つとして、

Web サーバーのログを監視し、同一ソースから、一定の時間内に連続した URL リクエストが行われていないか

を確認する方法が挙げられます。

EventLog Analyzer で悪意ある URL リクエストを検知する方法：EventLog Analyzer は IIS や Apache と

いった Web サーバーのログを一元的に保管し、ログの URL パラメーターから、HTTP リクエストにて悪意あるデー

タが送られていないかを解析します。デフォルトでは、2 分の間に、同一ソース IP アドレスから 5 つ以上のリク

エストが生成された場合、アラートによる通知を行います。また、この基準にて誤検知が多数発生したり、攻

撃の見過ごしが発生した場合には、基準の変更を行うことも可能です。

● ブルートフォース攻撃の検知

ブルートフォース攻撃とは、最も基本的な攻撃である一方、ネットワークに不法侵入する手段として、今なお

効果的です。典型的なブルートフォース攻撃では、侵入者はネットワークに不正アクセスするため、ログオン認

証情報として考えられる文字列の組み合わせを網羅的に入力していきます。また、一つ一つ手で入力すると

大変な時間がかかってしまうため、総攻撃を仕掛けるプログラムを生成して、コンピューター側で自動的に入力

チェックを繰り返す処理を実行するケースもあります。このトライアンドエラーの方法は、対策を行っていない場

合に致命的となり得ます。

EventLog Analyzer でブルートフォース攻撃を検知する方法：EventLog Analyzer は重要サーバー、ワークス

テーションにより高い優先度をおき、発生するログオンイベントを監視します。デフォルトでは、一つのデバイスに

対して 10 分の間に 10 回以上ログオンが失敗している状態で、さらに次の 10 分の間にログオンが成功した

場合に、ブルートフォース攻撃の可能性があると判断します。なお、攻撃を検知した際には、アラートを生成し

て、ログオンイベントの詳細をレポート化します。



5




● 異常なユーザーアカウント作成の検知

攻撃者が管理者アカウント権限を奪取して最初にとる行動のうち、元も一般的なものとは、一時的なバック

ドア用のアカウントを作成するということです。攻撃者は、バックドア用のアカウントを使用して重要なリソース

へアクセス後、最終的にはアカウントを削除して痕跡を消去します。つまり、バックドア用のアカウントとは、特

権を乱用し、重要なリソースへのアクセス、奪取を目的とした、大変危険性の高いものといえます。このような

ハッカーの行為を検知するには、異常なユーザーアカウントの作成を確認する必要があります。

EventLog Analyzer でバックドア用のアカウント作成を検知する方法：EventLog Analyzer は、ネットワーク

上で発生した特権アカウントの活動を監視します。具体的には、ユーザーアカウントが 1 時間の間に作成さ

れ、削除された場合に、検知を行います。正当なアカウントの場合、なんらかの予定された理由により、作成

あるいは削除されるため、短い間隔で作成あるいは削除が行われたアカウントは、あやしいと判断することが

可能です。異常なユーザーアカウントを検知すると、瞬時にアラートを生成し、さらに誰がどのアカウントを作成

したのかといった詳細な内容を含むレポートを生成します。

● ランサムウェアの検知

ランサムウェアとは、マルウェアの一種であり、重要なデータを暗号化することで、金銭の要求をおこなう攻撃

手法のことをいいます。一度ランサムウェアに感染すると、すべてのファイルを暗号化し始めるのと同時に、シス

テムの脆弱性をついて感染範囲を拡大します。このような攻撃に対して、感染しないための予防対策を行う

ことは、もちろん大切です。しかし同時に、可能な限り迅速に攻撃を検知し、感染拡大を阻止することが求

められます。すべてのデータが暗号化されてしまったら、攻撃者はデータ復元のために身代金を要求します。ラ

ンサムウェアは日々進化しており、重要な資産に大きな被害を与える可能性のあるこの攻撃は、企業にとっ

て、警戒すべき対象となっています。

EventLog Analyzer でランサムウェアを検知する方法：EventLog Analyzer はすべての Windows システム

に対するファイル操作を監視します。典型的なランサムウェア攻撃では、ファイルを暗号化するために次々とフ

ァイルに対して変更を加えます。そのため、EventLog Analyzer では 30 分の間に 15 以上のファイルに変更が

あった場合、アラートを生成し、影響を受けているファイルおよび関連のある可能性のあるプロセスを特定しま

す。



6




● ワームの検知

マルウェアのなかには、脆弱性を利用してシステムからシステムへ感染を広げ、コンピューターを攻撃していくもの

があります。OS とアプリケーションには、常に脆弱性があります。しかし、すべての脆弱性が発見され、修正パ

ッチが提供されているというわけではなく、また、常に最新のパッチを適用できていないという企業も多く存在

します。ハッカーはその脆弱性を利用し、ネットワークを介して感染を広げるようにワームの設計を行います。こ

のようなケースの場合、ワームを含むマルウェアの侵入を完全に阻止することは困難ですが、その兆候を検知

することは可能です。

EventLog Analyzer でワームを検知する方法：EventLog Analyzer はすべての Windows ホストからのシステ

ムイベントを監視します。ワームの特徴には、高速で感染を広げていくという点が挙げられます。そのため、短

い間隔で複数の端末に対して不正なサービスがインストールされた場合に、ワームによる攻撃を疑うことが可

能です。EventLog Analyzer では 15 分の間に、単一サービスが 5 台以上のデバイスでインストールされた場

合、感染された可能性があるとして、アラートを生成し、不審なプログラムと影響を受けたシステムに関する詳

細をレポート化します。



7




4．コリレーション機能で用意している 25 のデフォルトルール

1. Syslogサービスの再起動

説明：Unix デバイスにて、syslog サービスの再起動が発生

2. 連続した SUDO コマンドの実行失敗

説明：同一ユーザーにて、SUDO コマンドを使用した複数の失敗イベントが発生

3. 意図せぬシャットダウン

説明：Windows デバイスにて、意図しないシャットダウンが発生

4. 注意すべきアカウントロックアウト

説明：同一デバイスにて、一人以上のユーザーアカウントに対するロックアウトが発生

5. イベントログの消去

説明：Windows デバイスにて、ログの消去が発生

6. 連続した Windows バックアップの失敗

説明：Windows デバイスにて、複数のバックアップ失敗イベントが発生

7. 大量のアプリケーションクラッシュ

説明：同一デバイスにて、複数のアプリケーションのクラッシュが発生

8. 可能性のあるワームの活動

説明：Windows デバイスにて、サービスインストールが短い間隔で発生

9. 複数のシステム監査ポリシーの変更

説明：同一ユーザーにより、複数のシステム監査ポリシーに対する変更が発生

10. 連続したレジストリのエントリ失敗

説明：同一デバイスにて、複数のレジストリキー生成失敗イベントが発生

11. ファイルアクセスの試行失敗

説明：同一ユーザーにより、単一ファイルに対して複数のアクセス失敗イベントが発生

12. 連続したオブジェクト監査ポリシーの変更

説明：同一デバイスにて、複数のオブジェクトアクセスポリシーに対する変更が発生

13. ファイルに対する複数の権限の変更

説明：同一ユーザーにより、複数のファイルに対する権限変更が短い間隔で発生



8




14. 大量のファイル除去

説明：複数のファイルに対する消去が短い間隔で発生

15. 疑わしいファイルへのアクセス

説明：同一ユーザーにより、単一ファイルに対して複数のアクセス失敗イベントが生成されたのち、ファイル

変更が発生

16. 可能性のあるランサムウェアの活動

説明：ランサムウェアとして疑わしい挙動の検知：新規プロセスの生成後、複数のファイル変更が発生

17. ランサムウェアの検知

説明：ランサムウェアとして疑わしい挙動の検知：ランサムウェアに典型的なファイルタイプの生成が発生

18. データベースにおける複数の SQL インジェクションの試行

説明：同一のソースから、データベーステーブルに対して複数のテーブル削除が発生

19. 複数のテーブルの削除

説明：同一のデバイスから、データベーステーブルに対して複数のテーブル削除が発生

20. 連続した SQL インジェクションの試行

説明：同一ソースから、複数の SQL インジェクションの試行が発生

21. 悪意ある URL リクエスト

説明：同一ソースから、複数の悪意ある URL リクエストが発生

22. 複数のユーザーアカウント変更

説明：ユーザーの作成と削除が短い間隔で発生

23. 大量のパスワード変更失敗

説明：同一ユーザーにより、複数のパスワード変更の試行イベントが発生

24. 大量のログオン失敗

説明：同一ユーザーにより、複数のログオン失敗イベントが発生

25. ブルートフォース

説明：同一デバイスにて、複数のログオン失敗イベントが生成されたのちに、ログオン成功イベントが発生



9




本製品に関するお問い合わせ

ゾーホージャパン株式会社

〒222-0012 神奈川県横浜市西区みなとみらい三丁目 6 番 1 号みなとみらいセンタービル 13 階

ホームページ：https://www.manageengine.jp/

EventLog Analyzer 製品ページ：https://www.manageengine.jp/products/EventLog_Analyzer/



https://www.manageengine.jp/


コリレーション機能を活用した...

Documents