イベントログを取らないとこの先ヤバい？　日本政府がそう主張する真意

内閣サイバーセキュリティセンターやJPCERT/CCなど10以上の機関がイベントログの活用を訴えている。サイバー攻撃への対応でイベントログがなぜ必要なのだろうか。

[David Jones，Cybersecurity Dive] PC用表示関連情報

LINE

Hatena

　サイバー攻撃を検知し、被害の拡大を防ぐためにはイベントログの活用が不可欠だという。

イベントログを活用せよ　日本政府がそう主張する"真意"

　このように主張するのは内閣サイバーセキュリティセンターやJPCERT/CCなど10以上の機関だ。なぜだろうか。

　これらの機関は連邦捜査局（FBI）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）やオーストラリアなどの国際的なパートナーと共に、ネットワークを防御する担当者に対してイベントログのポリシーを採用するよう助言した（注1）。

　2024年8月22日に発表されたガイドには「イベントログは通常のセキュリティツールを使用して脅威活動を隠すことを目的としたLiving off the land（LOTL）技術を利用する攻撃が増えていることに対して、企業や組織が防御したり対抗したりするために非常に重要だ」とある。

　攻撃者が目標のシステムに侵入した後、取り得る戦略は2つある。一つは追加のマルウェアやツールをダウンロードしてから横展開するというものだ。もう一つは侵入したシステム内に標準で備わっているツールやコマンドを利用する方法だ。これをLiving off the land（LOTL）と呼ぶ。

　「Windows」にはMicrosoftが提供するツールが多数備わっており、これを使うことでアンチウイルスソフトウェアの検出を逃れやすくなることが攻撃者側にとってLOTLの最大の利点だ。

　「cmd.exe」や「powershell.exe」といったコマンドラインツールの他、「reg.exe」や「schtasks.exe」のようなシステム管理ツール、「certutil.exe」や「bitsadmin.exe」のようなファイル操作ツールなどが利用される。

　イベントログを分析することで、攻撃者がこれらのツールを使って犯罪行為を行っているかどうかが分かる（キーマンズネット編集部）

　今回発表されたのはイベントログと脅威検出の実践に関するガイドだ。個人所有のルーターや、攻撃グループが通常のエンドポイント保護では検出できない攻撃を仕掛けるために使用するその他のツールを介した、巧妙な攻撃が増えていることに対応した。

　LOTL技術は「Volt Typhoon」のような国家に関連する高度な攻撃者や（注2）、「Medusa」のようなランサムウェアグループによって（注3）使われている。その目的はネットワークコンピューティング環境内における存在を隠蔽（いんぺい）し、長期間にわたって検出されずに移動するためだ。

　米国務省やその他の連邦機関が、中国関連の攻撃グループによってハッキングされてから1年以上経過してからようやくガイドが公開された。これらの攻撃グループは、「Microsoft Exchange Online」の顧客を標的にした（注4）。

　独自のログにアクセスできる連邦政府関係者は、Microsoftにこの攻撃を通知した。Microsoftは当時、顧客が自分たちのログにアクセスしようとすると追加料金を請求しており、これが広く批判を浴びた（注5）。

　その後、Microsoftは方針を変更し、より多くの顧客にイベントログへの無料アクセスを提供するようになった（注6）。

　Volt Typhoonは個人所有のルーターやその他のツールを悪用して、電力やガス、鉄道、空港などのさまざまな重要インフラ供給者のネットワーク内に潜入してきた。

　包括的なイベントログ戦略は、セキュリティチームが「Medusa」を含む高度な攻撃グループが使用する脅威活動を追跡する際にも役立つ。この脅威グループは近年、何百もの標的を攻撃している。

　サイバーセキュリティ事業を営むReliaQuestのアレックス・カプラロ氏（サイバーインテリジェンス・アナリスト）は、次のように述べた。

　「攻撃のベクトルを考慮したとき、LOTLの悪用に対処する必要がある。その際、強力なイベントログとモニタリングの実践が重要だ。CISAやFBI、オーストラリア当局によって発表された新しいガイドは、こうした高度な戦術に対抗し、防御を強化しようとする組織にとって、タイムリーで不可欠なリソースだ」