はじめに
不正アクセスの原因や影響範囲を調査するためには、観点とツールの2つが必要です。
観点とは、何を調べれば良いかです。ツールはその名の通り、どのようなツールを使うかです。
本記事では、このうち観点について記載します。
不正アクセスの種類
この分類は個人的に作成したもので、何かの基準にのっとったものではありません。
インシデントが起こる場所としては、クライアントPCかサーバのどちらかです。両方という場合もあります。
そして、不正アクセスの経路ですが、何らかの脆弱性を悪用されるか、不正にログインされるか、そもそもアクセス制限がかかっていないかのいずれかのパターンに当てはまるように思います。
ここでは便宜的に、Emotetに代表されるような細工されたOfficeファイルのマクロを実行してしまったことによりマルウェアに感染するというパターンは、脆弱性を悪用に分類しています。
上記分類をした上で、各パターンでどのような原因が想定されるかをまとめたものが以下の表です。
| 手法 | クライアントPC | サーバ |
|---|---|---|
| 脆弱性を悪用 | 主にメールの本文または添付ファイル | 外部公開しているサービス |
| 不正ログイン | RDP | SSHやCMSなどの外部公開しているサービスの認証 |
| アクセス制限の不備 | 認証なしのファイル共有 | 設定不備による意図しないファイル公開 |
注意点として、この表に記載した原因は代表的なものであり、これ以外のパターンも十分にあり得ます。
私の経験上はこれらが多かったというだけのものです。
調査の観点
上記の表から、最初に調査すべき観点はある程度絞れてくると思います。
クライアントPCの調査
クライアントPCで何かインシデントが発生した場合は、メール、RDP、ファイル共有を疑ってみるのが良いと思います。
メールであれば通常はクライアントに保存されているか、メールサーバ上に残っているでしょう。
RDPであればイベントログにログイン成功が記録されているはずです。ただし、デフォルトでは無効になっているので、
設定を変更していなければこの可能性は低いと言えます。
ファイル共有も自分で設定しなければ共有されないため、設定を変更していなければこの可能性は低いです。
共有フォルダの一覧は「コンピュータの管理」から確認できます。
サーバの調査
サーバの場合は公開しているサービスの種類によってかなり変わってきます。
近年では、Webサーバやメールサーバといった外部公開サービスのアプリケーション自体の脆弱性は減っています。
そのため、例えばApacheの脆弱性を考慮するよりは、CMSなどのWebアプリケーション、もしくはWebアプリケーションのプラグインの脆弱性を疑う方が良いでしょう。
SSHやCMSへの不正ログインはたびたび目にします。SSHやCMSのログイン履歴をログから探せば、比較的容易に見つかると思います。IPアドレスだけをawkなどで抜き出し、geoiplookupで国外からのログインを調べるのが早いでしょう。国内からの不正ログインの可能性は低いですが、全くないというわけではないので、見慣れないIPアドレスが含まれていないか簡単に確認しておいた方が良いです。
なお、これらのサービスはそもそも外部に公開せず、アクセス制限を行うことが望ましいです。SSHであれば公開鍵認証に限定した方が良いです。
意図しないファイル公開は、Webサーバの設定不備だけでなく、Webストレージでも起こります。
Webサーバの設定不備は、ディレクトリ・リスティングが可能だったり、.htaccessの設定不備だったりと様々です。Webアプリケーションの実装に問題がある場合もあります。いずれもWebサーバのログから確認できますので、公開すべきではないファイルが外部から参照されていないか確認してください。(そもそもそういったファイルは公開サーバに置かないのが一番ですが)
Google DriveやOneDriveなどのWebストレージは設定を誤ると全世界に公開されてしまいます。URLを知っている人だけがアクセスできるようにする方法もありますが、これはURLが漏えいすると即座に情報漏洩につながります。URLをきちんと管理できるなら良いですが、不特定多数と共有する場合は、面倒でもアカウントによるアクセス制限を行ったほうが安全です。
なお、基本的には外部にファイルを送る際は、専用のサービスを使う方が安全でしょう。また、Webストレージは設定により、組織内のみの利用に限定できる場合があります。
まとめ
調査の観点について整理してみましたが、意外と長くなってしまいました。
実際には本記事に記載していないパターンも多々ありますが、基本は抑えられているはずですので、インシデント対応でお困りの方の参考になれば幸いです。