侵 入 傾 向 分 析 レポート vol.8 2006 年 サマリ 2007 年 3 月 13 日 JSOC AnalysisTeam
1. はじめに.3 2. 概 要.4 3. 独 自 のアプリケーションを 狙 った 攻 撃.5 3.1. ウェブサービスへの 攻 撃 傾 向 の 変 化.5 3.2. SQLインジェクションの 攻 撃 傾 向.6 3.3. パッケージウェブアプリケーションの 脆 弱 性 を 狙 った 攻 撃.8 4. 運 用 の 不 備 を 狙 った 攻 撃.9 5. ボット ワームへの 感 染.11 6. P2Pファイル 共 有 アプリケーション.14 付 録 JSOCとセキュリティ 監 視 の 説 明.15 2
1. はじめに JSOC 侵 入 傾 向 分 析 レポート( 以 降 本 レポートと 呼 ぶ)は 株 式 会 社 ラック JSOC(JapanSecurity Operation Center)が 提 供 するセキュリティ 監 視 サービスを 行 う 中 で 日 々 蓄 積 される IDS IPS 及 びフ ァイアウォールのログを 基 に 不 正 アクセス 手 口 やウイルス 感 染 などのセキュリティインシデントの 傾 向 を 分 析 したレポートです 本 レポートは 日 本 独 特 の 傾 向 を 加 味 した 世 界 でも 類 を 見 ないレポートです JSOCでは 日 本 の 様 々な 組 織 を 守 るため セキュリティの 専 門 家 が 24 時 間 365 日 休 むことなく 送 られてくるすべてのデータを 分 析 しています 本 レポートは 単 なる 定 点 観 測 ではなく 個 々の 影 響 度 を 分 析 しているため トレンドだけではな く 日 本 独 特 の 脅 威 傾 向 も 把 握 することができます 本 レポートが 皆 様 方 のセキュリティ 対 策 における 有 益 な 情 報 としてご 活 用 いただけることを 願 っておりま す 尚 本 文 書 の 利 用 は 全 て 自 己 責 任 の 下 でお 願 いいたします 本 文 書 に 記 述 を 利 用 した 結 果 生 じるいかなる 損 失 についても 株 式 会 社 ラックは 責 任 を 負 いかねます 集 計 期 間 2006 年 1 月 1 日 ~2006 年 12 月 31 日 条 件 本 レポートの 対 象 は 当 社 が 監 視 運 用 を 行 っているセキュリティデバイスです また 本 レポートの 対 象 とするセキュリティデバイスは 次 の 通 りです IDS: IBM ISSRealSecureシリーズ,ProventiaAシリーズ, EnterasysDragonNetworkSensor, McAfeeIntruShield, CiscoSecureIDS, Snort IPS: IBM ISSProventiaG,GX シリーズ, McAfeeIntruShield, CiscoSecureIPS ファイアウォール: CheckpointFirewal-1, JuniperNetworksNetscreen, CiscoASA 5500 シリーズ CiscoPIXFirewal Japan SecurityOperation Center HiroshiKawaguchiAnalysisTeam 3
2. 概 要 インターネットからの 攻 撃 に 関 して 2006 年 度 は 2005 年 以 前 と 比 較 し 攻 撃 対 象 と 攻 撃 件 数 の 両 面 で 変 化 が 見 られました まず 攻 撃 対 象 の 変 化 については パッケージとして 各 ソフトウェアベンダから 公 開 や 発 売 されているア プリケーションの 脆 弱 性 を 対 象 としたものから サービス 提 供 者 が 独 自 に 開 発 したアプリケーションの 脆 弱 性 を 対 象 としたものへのシフトが 明 らかです ソフトウェアベンダがパッケージとして 公 開 や 発 売 している アプリケーションの 脆 弱 性 対 策 が 進 んできたことで 独 自 に 開 発 したアプリケーションの 脆 弱 性 が 攻 撃 対 象 になりつつあるものと 考 えます また サーバやネットワークを 対 象 としたものでは 脆 弱 性 ではなく 運 用 不 備 ( 不 十 分 なアクセス 制 御 や 脆 弱 なパスワード 設 定 など)を 狙 う 傾 向 が 強 まっていることも 忘 れてはなり ません 攻 撃 件 数 に 関 しては 前 年 から 増 加 しているウェブアプリケーションを 狙 った SQLインジェクションが さらに 前 年 度 比 約 7 倍 と 急 増 しました また サーバやネットワークの 運 用 不 備 を 狙 った 攻 撃 も 前 年 度 比 1.75 倍 となっています これは 攻 撃 の 総 数 が 大 幅 に 増 えているのではなく 攻 撃 対 象 が 独 自 に 開 発 され たアプリケーションにシフトしてきたため 対 象 の 母 数 が 増 加 していることが 原 因 だと 捉 えています さらに 内 部 ネットワークでも ボットやワームへの 感 染 事 例 は 前 年 度 比 約 1.5 倍 になっています 特 に 従 来 型 のワームではなくボットによる 大 量 感 染 の 事 例 が 多 く 見 られました このことは 従 来 のワームやコ ンピュータウイルス 対 策 だけではボット 対 策 に 限 界 があることを 物 語 っていると 捉 えています 一 方 企 業 での P2Pファイル 共 有 アプリケーションの 検 知 件 数 は 上 半 期 に 比 べ 半 減 しました Winny に 代 表 されるファイル 共 有 アプリケーションに 関 連 した 情 報 漏 えい 事 件 が 多 発 し 社 会 問 題 にまで 発 展 した ため 各 組 織 での 対 策 が 急 速 に 浸 透 したとものと 考 えます ファイル 共 有 アプリケーションだけでは 無 く P2Pアプリケーション 全 般 の 利 用 制 限 や 監 視 の 実 施 に 対 する 需 要 は 益 々 強 くなると 捉 えています 対 策 としては 以 下 の 点 を 考 慮 する 必 要 があると 考 えられます 1) 設 計 段 階 からセキュリティを 考 慮 した Webアプリケーションの 開 発 2)インターネットからの 通 信 を 管 理 するだけではなく 外 に 出 て 行 く 通 信 の 管 理 が 重 要 3) 病 気 にならない 対 策 だけではなく 病 気 を 早 期 段 階 で 発 見 できる 仕 組 みの 構 築 4) 上 場 企 業 においては 個 人 情 報 だけではなく 議 事 録 や 未 公 開 情 報 などのインサイダー 情 報 の 管 理 4
3. 独 自 のアプリケーションを 狙 った 攻 撃 3.1. ウェブサービスへの 攻 撃 傾 向 の 変 化 2006 年 は ソフトウェアベンダがパッケージとして 公 開 発 売 しているアプリケーション(パッケージ アプリケーション)の 脆 弱 性 を 狙 った 攻 撃 から サービス 提 供 者 が 独 自 に 開 発 したアプリケーションの 脆 弱 性 を 狙 った 攻 撃 に 対 象 がシフトしました 図 1にウェブサービスに 対 する 攻 撃 のうち 重 要 な 攻 撃 の 傾 向 の 変 化 を 示 します 図 1 独 自 に 開 発 したアプリケーションへの 攻 撃 傾 向 の 変 化 2005 年 から 2006 年 にかけて パッケージアプリケーションの 脆 弱 性 を 狙 った 攻 撃 の 割 合 ( 赤 色 部 分 ) が 減 少 しました また 逆 に 独 自 に 作 成 されたアプリケーションの 脆 弱 性 を 狙 った 攻 撃 の 割 合 ( 青 色 部 分 ) が 約 1.5 倍 に 増 加 しました 赤 色 部 分 の ISや Apacheなどのパッケージアプリケーションは 世 の 中 で 広 く 利 用 されていることもあり 脆 弱 性 が 発 見 された 場 合 脆 弱 性 を 修 正 するパッチや 新 しいバージョンのパッケージが 提 供 されます 利 用 者 はこれらのパッチや 新 しいアプリケーションを 入 手 し 脆 弱 性 に 対 応 する 必 要 があります この 脆 弱 性 へ の 対 応 作 業 が 一 般 的 に 浸 透 してきたことと 提 供 されるアプリケーションもより 一 層 セキュアになっている ことが パッケージアプリケーションの 脆 弱 性 を 狙 った 攻 撃 が 減 少 している 主 な 原 因 と 考 えています 一 方 青 色 部 分 の 独 自 アプリケーションの 脆 弱 性 対 策 は 自 ら 脆 弱 性 の 有 無 を 調 査 し 修 正 する 必 要 があ ります その 為 脆 弱 性 の 調 査 や 修 正 にはコストや 時 間 がかかり パッケージアプリケーションの 対 応 と 比 べ 脆 弱 性 のありかや 攻 撃 の 発 見 が 難 しく 対 策 も 遅 れがちであることが 攻 撃 者 の 標 的 として 急 増 している 原 因 と 捉 えています サービス 提 供 者 は 脆 弱 なアプリケーションを 作 らないための 対 策 と 作 成 したアプ リケーションにおける 脆 弱 性 の 有 無 並 びに 標 的 にされたうえに 被 害 を 受 けているか 否 かの 確 認 を 自 ら 行 う 必 要 がありますが これらに 関 して 一 般 化 しているとは 言 いがたい 状 況 にあると 考 えられます 5
3.2. SQLインジェクションの 攻 撃 傾 向 2006 年 度 において Webアプリケーションの 脆 弱 性 を 狙 う SQLインジェクションという 手 口 による 攻 撃 が 2005 年 と 比 較 して 約 7 倍 に 増 加 しました 図 2に 攻 撃 件 数 の 変 化 を 示 します 上 側 の 折 れ 線 グラ フが 攻 撃 件 数 下 側 の 折 れ 線 グラフが 被 害 件 数 1 を 示 しています 図 2 SQLインジェクション 攻 撃 件 数 2006 年 2 月 と 2006 年 12 月 に 攻 撃 件 数 が 増 加 していますが これは サイトへの 不 正 な 侵 入 や 情 報 を 盗 み 出 すために SQLインジェクションを 使 用 した 新 たなツールがインターネット 上 で 公 開 され 従 来 よ りも 脆 弱 なサイトの 発 見 や 攻 撃 の 実 施 が 簡 単 に 実 現 可 能 となったことが 原 因 と 考 えています 1 緊 急 連 絡 の 対 象 となる 被 害 を 受 けた 可 能 性 が 高 い 攻 撃 の 件 数 6
図 3に SQLインジェクションの 攻 撃 元 IPアドレスの 国 別 分 類 の 変 化 を 示 します 図 3 SQLインジェクションの 攻 撃 元 IPアドレスの 国 別 分 類 の 変 化 2005 年 に 引 き 続 き 2006 年 も 中 国 からの 攻 撃 が 8 割 以 上 を 占 めています これは 中 国 語 のサイト 上 で 高 性 能 な 攻 撃 ツールが 配 布 されていることが 原 因 の 一 つであると 考 えられます 7
3.3. パッケージウェブアプリケーションの 脆 弱 性 を 狙 った 攻 撃 2005 年 後 半 から 2006 年 年 始 にかけて パッケージウェブアプリケーションの 脆 弱 性 を 狙 ったボット が 猛 威 を 振 るっていました 攻 撃 対 象 となるパッケージウェブアプリケーションとしては Xoops phpbb Wikiなどが 挙 げられます なお 攻 撃 自 体 は 図 4のように 行 われます 図 4 パッケージウェブアプリケーションを 狙 う 攻 撃 まず ウェブサーバ 上 のアプリケーションの 脆 弱 性 を 悪 用 し 外 部 のウェブサーバから 不 正 なプログラム (ボットなど)をダウンロードして それを 実 行 させる 手 口 が 大 半 を 占 めています 攻 撃 傾 向 の 変 化 を 図 5 に 示 します このように ボットの 攻 撃 件 数 は 2006 年 4 月 以 降 減 少 しました これは ボットに 感 染 したホス トの 数 自 体 が 減 少 したため 攻 撃 元 が 減 少 したことと 感 染 手 法 として 目 立 ちやすいものは 使 用 しなくなる 傾 向 にあったことが 原 因 と 考 えています 図 5 パッケージウェブアプリケーションの 脆 弱 性 を 狙 う 攻 撃 の 傾 向 パッケージアプリケーションを 利 用 するにあたっては 下 記 の 対 策 を 推 奨 します アプリケーションに 新 たな 脆 弱 性 が 発 見 されていないか 公 式 サイトの 情 報 を 定 期 的 に 確 認 する ウェブサーバからインターネットへの 通 信 を 必 要 最 小 限 のものに 制 限 する 特 にインターネットへの 通 信 は 原 則 禁 止 にする 公 開 ウェブサーバから 不 審 な 通 信 が 発 生 していないか 監 視 を 行 う 8
4. 運 用 の 不 備 を 狙 った 攻 撃 Webアプリケーションの 脆 弱 性 を 狙 った 攻 撃 の 急 増 にばかり 目 を 取 られがちですが サーバやネットワー クの 運 用 不 備 ( 不 十 分 なアクセス 制 御 や 脆 弱 なパスワード 設 定 など)を 狙 った 攻 撃 もバリエーションが 増 え てきていますので 十 分 な 注 意 が 必 要 です その 傾 向 の 変 化 を 図 6に 示 します 図 6 運 用 の 不 備 を 狙 う 攻 撃 傾 向 の 変 化 総 攻 撃 件 数 自 体 も 増 えていますが その 中 でも 運 用 不 備 を 狙 った 攻 撃 の 割 合 が 前 年 度 比 約 1.75 倍 になり ました パッチの 適 用 や 不 要 なサービスを 削 除 するといった 対 策 が 浸 透 したため 昔 ながらの 手 口 で 侵 入 す ることが 可 能 なサーバが 減 少 し さらに パッケージアプリケーションの 脆 弱 性 自 体 も 減 少 しているため( 図 1の 赤 色 部 分 参 照 ) 前 述 した 独 自 の Webアプリケーションを 標 的 にするだけではなく 人 間 が 関 わる 運 用 の 不 備 も 標 的 にし 始 めているのではないかと 考 えています 標 的 になりやすい 代 表 的 な 不 備 は 以 下 の 通 りで す サーバの 不 十 分 なアクセス 制 御 ボットの 埋 め 込 み フィッシングサイトを 構 築 される Spam メールの 踏 み 台 に 利 用 される ルータやスイッチの 不 十 分 なアクセス 制 御 不 正 に 設 定 を 変 更 され 内 部 ネットワークへの 侵 入 経 路 を 開 かれる 通 信 を 盗 聴 され 機 密 情 報 が 漏 洩 する 不 用 意 に 設 定 された 書 き 込 み 権 限 ホームページの 改 ざん ボットの 埋 め 込 み リモートから 接 続 可 能 なユーザの 脆 弱 なパスワード サーバを 乗 っ 取 られる 可 能 性 9
特 にリモートから 接 続 可 能 なサーバの SSHや FTPが 狙 われ ユーザ IDとパスワードが 盗 まれてしまう 事 件 が 急 増 しています インターネットから 総 当 りや 辞 書 を 用 いて 試 すことで ID とパスワードを 探 し 出 すもの(ブルートフォース)です 図 7にブルートフォース 攻 撃 の 傾 向 の 変 化 を 示 します 図 7 ブルートフォース 攻 撃 の 傾 向 盗 み 出 したユーザ ID とパスワードは 犯 人 が 侵 入 するために 使 うだけではなく 売 買 行 為 による 対 価 を 得 ることが 目 的 であったり 盗 み 出 した 対 象 のサーバとは 別 のサーバ(もしくは 重 要 情 報 など)にアクセス することが 目 的 となっていたりすると 考 えられます 従 って 特 にインターネットに 公 開 しているサービス のユーザ ID とパスワードは より 一 層 厳 重 に 管 理 することが 求 められています 例 えば 社 外 に 公 開 して いるサービスでユーザ ID とパスワードを 搾 取 された 場 合 社 内 の 重 要 なサーバにアクセスさせないために も 社 内 すべてのサーバにおけるユーザ ID やパスワードを 変 更 する 必 要 のない 仕 組 みに 構 築 しておくこと などが 考 えられます セキュリティ 対 策 が 浸 透 すればするほど 今 後 も 引 き 続 き 運 用 上 の 不 備 が 標 的 になってしまう 状 態 は 続 く と 考 えます ここで 一 度 原 点 に 立 ち 返 り ファイアウォールによるアクセス 制 御 や パスワードの 管 理 を 実 施 し 運 用 状 況 を 定 期 的 に 確 認 する 作 業 が 重 要 です 特 にシステムのメンテナンスのタイミングで 無 防 備 な 状 態 になるケースも 散 見 されますのでご 注 意 ください 10
5. ボット ワームへの 感 染 ボットの 検 知 傾 向 を 図 8に 示 します 図 8 ボット 検 知 傾 向 の 変 化 2006 年 上 半 期 は 比 較 的 ボット 感 染 数 は 落 ち 着 いておりましたが 下 半 期 に 入 り 感 染 数 が 増 加 しています これらの 原 因 の 一 つに 特 定 のお 客 様 において 多 数 のボット 感 染 が 発 生 したことが 挙 げられます いずれの 環 境 にも 共 通 していることは 内 部 ネットワークからインターネットに 対 する 通 信 のアクセス 制 御 が 不 十 分 だったということです 警 察 庁 の@policeによる 調 査 結 果 2 では ボットが 命 令 を 受 け 取 るために 通 信 する 指 令 サーバ(ハーダーともいう)とは 6667/tcpのポートを 利 用 するケースが 最 も 多 く また その 他 の 一 般 的 に 気 づきにくい 10000 番 以 上 のポートを 利 用 する 場 合 も 多 くなっています インターネットへ 自 由 に 通 信 できる 環 境 というのは ボットが 感 染 を 広 げやすいともいえます そのため インターネットへの 通 信 を 必 要 なもののみに 制 限 することで ボットの 感 染 による 被 害 を 軽 減 することができます ただし 今 後 は 80/tcp(HTTP)や443/tcp(HTTPS)のポートなど 一 般 的 に 使 用 されているポートを 悪 用 するこ とも 考 えられます よって 内 部 から 外 部 へのアクセスを 最 小 限 にするだけでは 無 く プロキシサーバなど を 利 用 することで 通 信 内 容 の 精 査 や 接 続 先 の 確 認 といった 対 策 も 重 要 になると 考 えます さらに ボット に 感 染 しないための 対 策 とともに ボットに 感 染 した 場 合 の 被 害 範 囲 を 極 小 化 することも 重 要 なセキュリテ ィ 対 策 です 2 http://www.cyberpolice.go.jp/detect/pdf/20060316_botnet.pdf ( 平 成 17 年 下 半 期 (7~12 月 )における botnet 観 測 システム 観 測 結 果 ) 11
図 9にボットやワームを 検 知 したデバイスの 比 率 を 示 します 図 9 ボット ワームの 検 知 デバイス 分 類 JSOCでは ファイアウォールのログを 解 析 することで 多 くのボット 感 染 ホストの 通 信 を 発 見 しています 2003 年 に 発 生 した Slammerワームや Blasterワームの 事 件 を 教 訓 にして 多 くのネットワークではファ イアウォールが 導 入 されています しかし そのファイアウォールがどのような 通 信 を 遮 断 しているか あ るいは 実 際 にどのような 通 信 が 発 生 許 可 しているか 把 握 している 組 織 は 少 ないと 考 えます 内 部 ネットワ ークで 発 生 するボットやワームなどの 脅 威 を 早 期 に 発 見 するには ファイアウォールのログをリアルタイム に 監 視 することが 最 も 効 果 的 です また IDS/IPSでボットを 発 見 するには IDS/IPSの 通 信 検 知 パターンであるシグネチャの 更 新 が 欠 かせ ません 図 10にシグネチャ 追 加 修 正 による 効 果 を 示 します 図 10 シグネチャ 追 加 による 効 果 シグネチャは 暗 闇 に 存 在 するボットを 照 らすライトのようなものです ライトに 照 らされていない 場 所 で 12
はボットが 発 見 されずに 暗 躍 している 可 能 性 があります そこで 新 しいシグネチャを 追 加 もしくは 既 存 のシグネチャを 修 正 することで 新 しいライトとして 暗 闇 の 別 の 部 分 を 照 らします そうすることで 暗 闇 に 隠 れていた 未 発 見 のボットを 発 見 することが 可 能 になります IDS/IPSの 運 用 では 如 何 にライトを 効 率 よく 使 い 暗 闇 に 存 在 するボットを 照 らし 出 せるかがポイントになります そのために IDS/IPSに 新 た なシグネチャの 追 加 修 正 が 不 可 欠 です JSOC では IDS/IPSベンダが 提 供 するシグネチャの 追 加 更 新 を 行 うことは 当 然 として セキュリティ アナリストが JSOC 独 自 のシグネチャ(JSIG)を 開 発 適 用 しています セキュリティアナリストがハニ ーポットで 収 集 したボットの 検 体 を 日 々 解 析 し 特 徴 的 な 通 信 を 行 うものを JSIGとして 取 り 込 んでいます セキュリティアナリストは JSIG 作 成 における 過 程 において 多 数 のボットを 解 析 することで ボットが 行 う 通 信 を 分 析 する 経 験 値 を 蓄 積 しています そうすることで 顧 客 環 境 で 発 生 したボットに 関 連 するイベン トの 分 析 能 力 の 向 上 を 図 っています 2006 年 における JSIG 検 知 率 を 図 11に 示 します 図 11 重 要 イベントにしめる JSIG 検 知 率 左 側 のグラフがインターネットからの 重 要 イベント 右 側 のグラフが 内 部 ネットワークからの 重 要 イベン トでの 検 知 手 法 の 割 合 を 示 しています インターネットからの 重 要 イベントの 約 4 割 内 部 ネットワーク からの 重 要 イベントの 約 2 割 は JSIGによって 発 見 されております 13
6. P2Pファイル 共 有 アプリケーション 一 般 企 業 と 教 育 機 関 における P2Pファイル 共 有 アプリケーションの 検 知 傾 向 を 図 12に 示 します 図 12 P2Pファイル 共 有 アプリケーションの 検 知 傾 向 一 般 企 業 では 上 半 期 に 比 べて 検 知 の 数 は 半 減 しました これは 2006 年 上 半 期 の Winnyに 代 表 され るような P2Pファイル 共 有 アプリケーションに 関 連 した 情 報 漏 えい 事 件 が 多 発 し それらが 社 会 問 題 化 し たことから 多 くの 組 織 において 私 物 パソコンの 業 務 利 用 や 業 務 情 報 の 外 部 持 ち 出 し 業 務 と 関 係 のない アプリケーションの 利 用 を 禁 止 するための 規 程 変 更 禁 止 行 為 を 強 制 的 に 実 施 させない 仕 組 みの 導 入 また は 違 反 の 有 無 の 監 視 などの 対 策 が 浸 透 したものと 考 えます 今 後 も 引 き 続 き ファイル 共 有 アプリケーシ ョンに 留 まらず P2Pアプリケーションの 全 面 利 用 の 禁 止 や 監 視 はさらに 浸 透 するものと 考 えています 一 方 一 般 企 業 に 比 べ 教 育 機 関 においては P2Pファイル 共 有 アプリケーションの 利 用 が 増 加 しました 教 育 機 関 では まだまだ P2P の 利 用 に 対 しては 無 頓 着 なところも 多 いことと ネットワーク 管 理 が 各 部 局 や 各 部 門 のポリシーに 委 ねられていることが 多 いため 一 元 的 な 通 信 制 御 が 困 難 であることなどが 原 因 と 考 えます 以 上 14
付 録 JSOCとセキュリティ 監 視 の 説 明 JSOCでは 攻 撃 行 為 のひとつひとつがセキュリティアナリストにより 分 析 され その 行 為 が 本 当 に 攻 撃 を 示 すものであるのか および 攻 撃 対 象 のサーバに 影 響 があるのかが 検 証 されています 一 日 に 検 出 する 大 量 のセキュリティログから 誤 検 出 を 取 り 除 き 攻 撃 手 法 やワーム/ウイルスの 識 別 分 析 を 行 うためには 高 度 な 技 術 を 用 いたシステムと 専 門 の 技 術 者 による 分 析 が 必 要 です JSOCでは 全 顧 客 のセキュリティデ バイス(ファイアウォール IDS IPS)が 生 成 するログを 調 査 し 全 攻 撃 のシーケンスをリアルタイムに 分 析 しています セキュリティアナリストは 分 析 の 結 果 に 基 づいてセキュリティイベントの 重 要 度 を 表 1の ように 分 類 し Critical 以 上 のセキュリティイベントを 重 要 イベントと 定 義 しています 表 1 セキュリティイベントの 重 要 度 の 分 類 分 類 Emergency Critical Warning Informational 説 明 攻 撃 が 成 功 し 侵 入 されたことを 示 します 侵 入 の 根 拠 となるセッションデータもしくはパケットデータ などの 侵 入 を 証 明 する 情 報 を 元 に 判 断 しています 攻 撃 が 成 功 した 可 能 性 が 著 しく 高 い 状 況 を 示 します Emergencyとの 違 いは 決 定 的 となる 証 拠 が 欠 けて いる もしくは 攻 撃 は 成 功 しているが 侵 入 には 至 って いないなどがあります 攻 撃 失 敗 および 予 備 調 査 に 成 功 し サーバの 設 定 情 報 など 後 に 攻 撃 を 行 う 要 素 として 考 えられる 情 報 が 漏 洩 した 場 合 などがあります 攻 撃 であるかは 不 明 ですが 悪 意 のあるコードは 含 ま れていない 通 信 アプリケーションによる 通 信 や 日 常 通 信 である 可 能 性 が 高 く 情 報 通 知 レベルのものを 示 します ログ 分 析 方 法 図 13は あるモデル 企 業 の1 日 のログ 量 と システムによって 生 成 されたセキュリティイベントの 数 を 示 しています セキュリティデバイスが 生 成 したログの 中 には 多 くの 誤 検 知 が 含 まれ ログ 分 析 の 妨 げと なります しかし 攻 撃 者 はこれ らの 日 常 通 信 ( 誤 検 知 )を 隠 れ 蓑 にして 攻 撃 を 行 ってくることは 珍 しくありません JSOCでは こ れらの 膨 大 なログを 複 数 の 視 点 から 相 関 分 析 を 行 うことで 効 率 良 くリアルタイムに 分 析 を 行 って います 図 13 生 成 ログと 相 関 分 析 後 のセキュリティイベントの 関 係 15