ネットワークサーバのアクセスログ分析とセキュリティ対策

(1)

ネットワークサーバのアクセスログ分析とセキュリティ対策

* **

岡田正米澤将人

Access Log Analysis and Security Measure for Network Servers

KADA ONEZAWA

Tadashi O and Masato Y

A watch and an analysis of log of a network server are important in a security measure of a server operation.

We report analytical methods for server log and application of the result of analysis to a security measure. An illegal access information was collected by a honey pot as well as a standard Unix log system. After reporting an analysis result of the data collected at Tsuyama College, we describe the security improvement method based on our consideration.

: Access Log Analysis, Security Measure, Network Server, Honey Pot Key Words

１．はじめに

インターネットに接続された各種サーバに対し，

や攻撃など多数の攻撃手法が観測されて Scan DoS

おり，安全・安定な運用のためにはセキュリティ¹⁾ を中心とした現状把握と問題点への迅速な対応が欠かせない．こうした作業に役立つのがアクセスログである．特に Unix 系 OS には，デフォルトで強力なログ管理システムが備わっており，システム状況やアクセス履歴を詳細に分析できる．さらに，多様なログ収集ツールが存在し，目的に応じたデータを集めることができる．

本報告では，インターネットサーバの安全な運用に資することを目的に，アクセスログの分析と活用を取り上げる．OS から出力される標準のログだけでなく，オープンソースソフトウェア(OSS) を用²⁾ いてサーバの仮想化やハニーポットの構築を行うことで，より詳細な多くのログを安全な環境下で収集している．

アクセスログから攻撃手法を分析し簡易な対処法を検討すため，IP 分析やデータのグラフ化などを自動化していく．こうしたログ監視を行うことで，

ネットワーク攻撃があった際にアラート発信を行

原稿受付平成２７年９月２４日情報工学科

*

専攻科電子・情報システム工学専攻平成２６年度修了生

**

．，，

うさらにハニーポットの構築後は学外に公開し適切な設定や環境が構築できているか評価を行い，

インターネット接続の安全性向上を検討している．

本報告では，２章では安定したネットワーク運用のためのログの収集・分析手法について説明する．

３章ではログ収集・分析システムの実装とテストについて述べる．４章ではログ分析に基づいた攻撃手法を分析することで，ネットワーク攻撃対策の検討を行っていく．

２．サーバログと分析方法系のログ

２．１ Unix OS

インターネットが重要な情報提供・交換の手段となり，多数のサーバが接続されている．こうしたインターネットサーバは，脆弱性を探る Scan やアクセスを妨害する DoS 攻撃など，不正アクセスの脅威に常時さらされている．従って，インターネットに接続されたサーバを運用する場合，サーバのセキュリティホールをなくするとともに，運用状況を絶え間なく把握し，問題があれば直ちに対応しなければならない．

ネットワークサーバの安全な運用のために状態監視を行うとき，発生事象を一定形式で時系列に記録したログを活用することが有効である．特にサーバで広く使われている Unix 系 OS には，ログを管理するシステムが初期搭載されており，利用すべきである．

系の代表的なログ管理システムとして Unix OS

がある．では，メールやなどの

syslog³⁾ syslog FTP

(2)

ログの分類を示すファシリティと，重要度を示すプライオリティを記述することで，必要なものを所望の精度でログとして自動的に収集することができる．収集以外にも，ログサーバへのログ集約や，メールを送るスクリプトを用いることで管理者へのメールを行うこともできる．１行ごとにクリアテキスト出力されるため加工が容易であり，一定期間か一定容量に達した時，新たなログファイルを作ってくれるlogrotateを使用することで，簡単に自動的にログファイルの管理も行える．

さらに，Unix系OSでは個々のアプリケーション

，．

ごとにログを保存することもデフォルトで使える

，リストを用いてアクセス制御を行うTCPWrapper⁴⁾ ポートや IP アドレスで接続可否の判断を行う

，サーバやメールサーバのアプリケーシ ipfw⁵⁾ Web

ョン処理など，多種多様なログ管理が行える．

ハニーポットによる情報収集２．２

通常のネットワークサーバは，不正侵入されないように管理されており，どのような攻撃が行われるかを調べることができず，分かったときは侵入された後になってしまう．このため，不正アクセスの情報を得るために使われるのが，ハニーポットであ⁶⁾ る．ハニーポットとは，あえて脆弱性のある（と見える）システムを用意し，残ったログから攻撃手法やウイルスを調べるための“おとり”のシステムである．

ハニーポットには，本物の OS を用いる方法と，

仮想化を行い偽装した OS を用いる方法がある．仮想化を行うことで，攻撃者に偽装が看破される可能性が高まるものの，ホスト環境に影響を与えないため，安全にログ収集できる．

本報告では，仮想化した OS として FreeBSD のを使い，に特化したハニーポットとして Jail⁷⁾ SSH

代表的な kippo⁶⁾を用いて，おとりシステムを構築

．，

する侵入された環境はJailて分離されているのでホストシステムに影響が出ないようになっている．

侵入された場合は，リアルタイムでの行動記録と攻撃者がダウンロードしたファイル等を記録でき，ホスト側から攻撃方法を調査することができる．

動作検証と分析のためのツール２．３

ネットワークシステムの脆弱性や動作確認のためのテストを，ペネトレーションテストとよぶ．ペネトレーションテストを行うことで，システムを公開する前に安全性を検証することができる．OSS のポートスキャンツールの代表例として nmap⁸⁾とがある．なお，こうしたツールを自分のネ hping⁹⁾

ットワーク以外を対象に使用すると，ネットワーク攻撃とみなされるので注意する必要がある．

はセキュリティスキャナであり，ポートス nmap

キャン機能だけでなく，OS やバージョンの検出機

，，

能サービスおよびそのバージョンの検出機能など多くの機能を兼ね備えている．一方，hping はパケットフィルタテストツールであり，通常の ping の

，，

他にフラグビットを自由に付けて送信を行ったり負荷をかけた送信を行うことができる．

どこから攻撃を受けているかの攻撃元分析では，

．利用できる範囲が特定できるIPアドレスを用いる利用可能な IP アドレスは国ごとに範囲が決まっており，ネットワーク攻撃は特定の国々から行われる

IP IP

割合が多いので，アドレスの分析が有効である．アドレスと国との対応が分かれば，アクセス制限やボットネットと呼ばれる乗っ取られた PC の調査などが行える．IP アドレスの国判別では，OSS で代表的なgeoip¹⁰⁾を使う．

ネットワーク運用の現状把握や脆弱性の発見を効率的に行うためには，収集したログを統計データとしてグラフ化するのが有効である．これらの処理を OSS SNMP Simple Network 行う代表的なに， (

Management Protocol)¹¹⁾や MRTG Multi( Router ) がある．

Traffic Grapher ¹²⁾

は，エージェントの組み込まれた監

SNMP SNMP

視対象機器を，SNMPマネージャのインストールされた監視サーバにより監視する．SNMPを用いることで，ハードウェアの性能評価，DoS 攻撃で通信量が増加して閾値を超えた時など，種々の場面で管理者に自動報告するツールを構築できる．

一方，MRTG を用いることで，SNMP などで得たデータを元に，そのデータをグラフ化できる．これにより，文字だけでなく図で情報提供できるようになる．作成される図を Web サーバ上で公開するれば，Web ブラウザで見ることができるようになる．また，cronを併用することで定期的に自動監視ができるようになる．

３．監視環境の実装とテスト監視環境の実装

３．１

津山高専ですでに運用中の FreeBSD ベースのインターネット接続サーバからのログに加え，ログを専用に収集する監視システムを構築した．監視システムにおいては，OS 初期搭載のログ管理システムに加え，ネットワーク攻撃の対策や運用の効率化を行うために，Jail で仮想化した OS 上にファイアウォールの設定，IDS Intrusion Detection System( )の設置とハニーポットの構築を行った．システムの構築後は，ペネトレーションテストを行うことで安全性の確認も行っている．表に監視システムの構成を1

(3)

表1 システム構成

OS FreeBSD 9.3

仮想化 Jail

kippo-0.8 ハニーポット

IDS Snort-2.9.6.1 nmap-6.46 & hping2 ストツール

示す．

ファイアウォールの設定では，今回利用するWeb やメールサービスを許可した．syslog などのサービスは，内部ネットワークのみ許可することで，安全性の確保と通信量の軽減を行う．IDS には Snort⁵)

を用いて，Snort のネットワーク不正侵入検知モードにより検知を行えるようにした．今回は検知にシグネチャ型を用いており，パターンに応じた判断をしているため，新たなパターンが必要であるかどうか定期的に検査する必要がある．検知結果は，規定値を超えた時に，管理者にメール送信などで報告するのが一般的である．そのため，低すぎて頻繁に検知することや，高すぎて異常に気づかないことがないように，項目ごとに細かく設定する必要がある．

を用いた仮想化ステム内に，によるハ

Jail kippo

ニーポットの構築を行った．SSH を用いてログインしたユーザの動作記録やダウンロードファイル

，．，

を安全な環境から調査をできるようにしたまたコマンド実行時に，ハニーポットだと気づかれないように応答メッセージの追加を行った．なお，本システムでは，侵入されやすいとされている"root"やなどのユーザ名と，米国社が発

"admin" SplashData

表した攻撃されやすいパスワード ¹³⁾を設定した．

監視環境のテスト３．２

の環境を構築した後に，他のホストから

３．１ PC

簡易な攻撃テストを行った．nmap や hping などのを利用して運用テストを行い，攻撃の検知が OSS

できるか，ログが正常に記録されるか確認した．通

nmap open close

常，を使用する場合検索結果は，かのどちらかである．これに対して ipfw を用いるこ

，．

とで判別不能なfilterの状態にすることができる

IDS Snort

今回は様々なコマンドを用いて，であるの反応を検証し，設計通りの動作を確認した．

通常のスキャンでは，特定のポートか IP アドレスをスキャンした時，正しく検知できた．フラグを設定した場合にも，SYN と FIN が同時に設定され

，．，

た攻撃通信とみられるものは検知できるしかし特定のポートのみに対するスキャンや SYN フラグを設定した通信は，検知できなかった．こういったパケットは通常の通信と同じ条件なので，止めようとすると誤検知が多くなってしまう．IP の偽装に

関しては，DNS サーバの逆引きできないものを弾く機能など，別の対策が必要になってくる．

最後に，kippo でハニーポット化したシステムに

，，

対し不正侵入しホスト環境への被害がないことと

．，

侵入の形跡が残ることを確認した実際の攻撃では通常の利用を装った攻撃や侵入の形跡を消すことが主流なので，SSH 以外の攻撃に対しても，ログの消去・改変の検知を行うことで，より安全性を高めていくことが可能である．

４．ログ分析の主要な結果

既存サーバと構築した監視サーバから得られた種々のログを分析した結果から，主要な知見を報告する．

公開サーバの攻撃例４．１

構築した監視サーバを公開したところ，直後から多くの攻撃があった．公開後の 88 日間に約6 万回

Web SSH

の不正アクセスがあり，に対する攻撃とを用いての不正侵入が多かった．これらの攻撃ログの分析結果をもとに，本校ですでに運用されているサーバのログと比較・検討することで，安全性の検討を行っていく．

攻撃者は攻撃の事前調査として，開いているポートやソフトウェアのバージョンの確認を行う．隠さずに応答するように設定しておくと，利用されるサービスを把握されている可能性がある．ポートスキャンでは，普段使わないポートも含めて広範囲にスキャンが来る．

まず，攻撃元と考えられる遮断した送信元 IP アドレスを，geoip使用して調査した．今回はIPの部分のみ抜き取るシェルスクリプトと Excel のマクロを用いて，アクセス上位のグラフを自動作成できるようにした．2013年 12月～1 12月までの本校7

学術系(SINET)接続サーバにおける調査結果を図１

に示す．なお，分析に利用した geoip データベースにない IP アドレスは，図１の( )に国不明として含f まれている．

遮断した送信元の国別割合は，中国とアメリカで半分以上を占めている．攻撃元の多くは，踏み台に

．されたPCからのDoS攻撃が多いとされている¹⁴⁾ さらに不正アクセスの数が多かったポートは，，DNS ( )や53 HTTP 80( )などの広く使われているポート，

( )などの現在脆弱性があるとされている NetBios 137

ポート，SSH 22( )やRDP 3389( )など乗っ取りが行えるポートであった．これらの結果から，一般的に行われている攻撃が本校にも同様になされているといえる．

(4)

図１遮断した送信元IPの国

ハニーポット侵入ログ４．２

サーバに SSH を用いて侵入する方法として，辞

，，

書に登録されている単語を使うまたは総当たりでパスワードとユーザ名を試していくことが有名である．また，公開サーバに不正侵入した場合の攻撃者の行動としては，不正なファイルをダウンロードしての実行，ログファイルを改竄して侵入の痕跡を消すことなどが多い．

今回公開したハニーポットにおいて，侵入に成功

．，

した約300件の事例を分析した収集した事例ではパスワードなしでのログインや，root 権限でいきなりログインしようとするケースが多く見受けられ

．，

た侵入時のユーザ名はrootが８割を占めておりそれ以外では，ジョーアカウントと呼ばれるユーザ名とパスワードが同じもので侵入を試みている場合が多かった．

侵入時の行動としては，ファイアウォールを停止させてから不正なファイルをダウンロードすることが多かった．不正侵入でダウンロードされたファイルを調査したところ，マルウェアファイルで悪意のあるコードを実行しようとしていることが判明した．また，pingコマンドでネットワーク疎通の確認

，．

や他のネットワークへの攻撃を行おうとしていた今回の調査で得られた攻撃で多かった手順は，以下のようになっていた．

( )1 ssh（侵入）

( )2 service iptables stop（ipfwの停止やipfwの有無の確認）

( )3 wget website（サイトからマルウェアをダウンロード）

( )4 コマンド実行（実際には dl ファイルで実行不可）

( )5 exit（切断）

ログを見る限り，自動プログラムで行っているものと人が手動で行っているものとがある．アクセス時間において，１秒以下から数時間の接続と開きが

あった．短いほうがスクリプトである可能性が高いものの，スクリプトで時間をかけ人間のように振る舞う可能性もあるので，一概に長いからと言って手動での攻撃とは断定することはできない．

自動で攻撃を行う方法として，C & Cサーバと呼ばれる攻撃命令を出すサーバから，ウイルスに感染したボットネットに指令を出し，攻撃対象へ攻撃を試みる方法がある ¹⁵⁾．ボットネットは数が非常に多く，メールの８割がこれらから発信されたスパムメールであるという統計も出ている ¹⁶⁾．乗っ取られた PC の利用者は，ボットネットになっているこ ISP Internet Services とに気づかないことが多く， (

)からの注意で初めて気づく場合がある．ボ Provider

ットネットからの DoS攻撃は，PC の数が多いので非常に強力であり，サーバの性能強化のみならず，

ISPが適切なフィルタリングするなど利用者と， ISP ならびにISPとSP Security( Police)の連携が重要とされている．

攻撃を手動で行った場合，自動よりより細かい動作ができる反面，侵入に時間がかかる欠点がある．

手動と自動の挙動の違いはコマンドの打つ間隔が一定であることやタイプミスなどが判別する要因になる．

また，不正侵入に成功してもすぐログアウトする場合があり，侵入に成功するだけが目的のものや，

脆弱性のあるサーバを記録しているのではないかと予想される．

マルウエアの調査４．３

マルウェアとは，一般的に悪意のあるソフトウェアやコードのことであり，トロイの木馬などの害のないように振る舞うものや，バックドアのように攻撃の足掛かりになるものがある．マルウェアの分析を行うとき，正常な他のシステムへの影響を最小限にするように，ネットワークと切り離したスタンドアローン状態でするのが望ましい．実行しなくても中身を見るだけで実行してしまうマルウェアも存在するので，分析には細心の注意を払わなければならない．また，セキュリティソフトやルートキットな

，．

どの検出ツールを用いるとより判別しやすくなるマルウェアは，OS やアプリケーションの脆弱性をつくものが基本であるため，OS や使用するアプリケーションが違うと攻撃にならない可能性がある．今回の調査では，サーバ OS としてシェアが多

いLinux OSに向けた攻撃が多く見られた．ダウン

ロードされたマルウェアは８種類あり，いずれもトロイの木馬であった．

この他にも，強力な攻撃方法として，世の中に関知されてない攻撃や対策がまだ見つかっていない攻撃手法を用いるゼロデイ攻撃と呼ばれるものがあ

(5)

る．これらの攻撃の被害を少しでも減らすために，

ソフトウェアのバージョンのこまめな更新や，通常の通信と違う通信を見つけるアノマリ型の防御システムの導入が必要である．

サーバへの攻撃調査４．４ Web

公開数が多い Web サーバに対する攻撃を調査した．Web サーバへの攻撃として，不正なリクエストをツールやスクリプトを用いて送る場合がある．

ログを見ることで，不正リクエストをどう処理したか判別できる．

サーバのログでは，ステータスコード

Web HTTP

として2XXが正常な通信であり，4XXと5XXはサーバかクライアント側に問題があった通信である．

攻撃者は脆弱性のある公開サーバを探している．ロ

グに CONNECTや GET 要求を行い，返答の仕方で

判断を行っている．もし脆弱性があった場合には，

踏み台として他のサーバに攻撃を行う¹⁷⁾．

公開サーバにもスキャンツールを使用された痕跡があった．これらの不正なリクエストに 2XX を返していないか確認すべきである．この確認を自動化するために，実際にアクセスログなどにエラーが出力された際，エラーメッセージを管理者にメールで送るシェルスクリプトを作成した．cronを用いることで，不正アクセスが発生していないか定期的に確認し，異常があった場合に自動でメールを送ることができるようにした．

攻撃対策の検討４．５

現在のインターネット状況を見ると，攻撃対策として，ソフトウェアのバージョン更新やセキュリティ教育をすることだけでは不十分である．そこで，

これまでで得られた結果をもとに，ネットワーク攻撃対策の検討を行っていく．

構築した監視サーバと本校既存サーバに対しては，まず基本としてファイアウォールの設置と IDS の構築を検討しなければならない．ファイアウォールとして ipfw を用いれば，適切なフィルタリングを行える．フィルタリングのルールとしては，使用しないポートは閉じて，自ネットワークからの接続と外のネットワークからの接続とに分けて設定するべきである．

としてを用いると，設置場所にあった

IDS Snort

Web 80

ルールを設定できる．例えば，サーバでは番ポートに対するアクセスを監視するルールを設定し，プロキシサーバではすべてのアクセスを監視するルールを設定する．こういった監視では，監視項目を増すほど多くのログを記録し，分析が煩雑になるので，管理しやすいように用途に応じた少数のルールを作るべきである．

サーバへの攻撃に対するユーザサイトの対 DNS

策としては，設定ファイルのハッシュ値を安全な領域に保存しておき，定期的に比較を行うことで，改ざんがないかどうかを検査する手段が有効である．

強度の点から SHA-256 を用いての暗号化を推奨する．

さらに，攻撃対策のみならずバックアップを取ることも必要であるバックアップの方法として． dump があり，ネットワーク攻撃がない箇所でもバックアップしておくと，いかなる障害が発生した場合にも役立ち，システム全体の信頼性が高まる．

ハニーポットの運用結果から，ユーザ名とパスワードは違うものを設定することと，初期ユーザ名に多い root は絶対に設定してはいけないことがわかる．記号・数字・大文字・小文字をまぜ，文字数を増やすという基本の徹底で，侵入される確率を減らすことができる．

実際に侵入された場合やウイルスに感染した場合には，まずネットワークから切断し，必要があればフォーマットを行い，バックドアを消さなければならない．

次に，高負荷対策のためには，ポートレベルでアクセス制御していたものを，IP レベルで制限することが有効である．拒否する IP アドレスは，プロトコルごとに規定値を設定し，これを超えた回数のアクセス元とする．ログ分析に基づき運用ルールを適切に定め，フィードバックをかけることで，サーバの負荷を軽減することができる．

外部からの ping などの ICMP パケットに応答をしないような設定も必要である．これらはネットワークの疎通確認に利用できる利便性がある反面，攻撃されやすくもなるので注意が必要である．

，，

ネットワーク構成としては負荷分散装置の設置二重化による冗長化，プロキシサーバを設置することによるキャッシュの有効利用を行うなど，リソースを有効に活用すべきである．

さらに，慣れない管理者が分析しやすいようにで閲覧できる仕組みも必要である．形式を

GUI CUI

形式に変更し上で見られるようにするに

GUI Web

は，Snortsnarf⁵⁾などの補助的なアプリケーションを用いる．こういったアプリケーションがない場合には，Microsoft社のExcelのマクロを作成することで収集データから割合や比の表現を自動で行うことができる．

DoS 攻撃などの負荷攻撃の検知としては SNMP を用いる．通信量の増加時には，応答速度を落としたりアクセス制限を厳しくしたりすることで，サーバのダウンを防ぐことができる．

攻撃などのように自身が攻撃者にな DNSamp ¹⁸⁾

らないように設定を行い，信頼されるサーバになる

(6)

ことが重要である．

５．あとがき

本報告では，アクセスログに基づくサーバ攻撃の対処法の検討とシステム運用の効率化を，OSS を用いて安価で柔軟に行うことを扱った．本校のアクセスログから IP 分析やグラフ化，分析の自動化を行うとともに，より詳しい攻撃情報を得るために，

ので仮想化したハニーポットを含む公 FreeBSD Jail

開サーバを構築・公開した．

本校のアクセスログの分析結果から，プロキシサーバへのDoS攻撃や，メールサーバやWeb サーバへの不正な通信を多く発見した．その結果を基に，

監視用の公開サーバのログから，侵入されやすい設

，．，

定や侵入時の行動を調査することができたまた攻撃対策として検討したアクセス制御や管理者へのアラートなどが，DoS 攻撃や不正な通信対策に有効なであることが判明した．

ハニーポットの構築を実現するにあたっては，攻撃者の立場にたったペネトレーションテストを行う必要があり，今後も踏み台にならないようにするとともに，より詳しい情報が得られるように設定を改善していく必要がある．さらに，今回検討したネットワーク攻撃対策は，ゼロデイ攻撃などの未知の攻撃には対応していないので，これらの攻撃の対処を今後も検討していく必要がある．

参考文献

1) インターネット定点観測：http://www.npa.go.jp/cyberpolice/

detect/observation.html

2) The Open Source Initiative: http://opensource.org/

， 3) 佐々木宜文外２名：実践FreeBSDサーバ構築・運用ガイド

pp.82-94 2012 .

技術評論社， ( )

4) TCPwrapper tcp_wrappers :( ) http://www4.big.or.jp/~kanai/unix/

tcp_wrappers.html

5) Snort.Org：http://www.snort.org/

6) The honey project: http://www.honeynet.org/

， 7) 佐々木宜文外２名：実践FreeBSDサーバ構築・運用ガイド

pp.118-127 2012 .

技術評論社， ( )

8) Nmap-Free Security Scanner For Network Exploration &

Hacking: http://nmap.org

9) Hping - Active Network Security Tool: http://www.Hping.org 10) GeoIPデモ：http://www.maxmind.com/ja/geoip-demo 11) SNMPについて：http://ash.jp/net/snmp.html

12) MRTG - Tobi Oetiker's MRTG - The Multi Router Traffic Grapher: http://oss.oetiker.ch/mrtg/

13) Worst passwords of 2013 - our annual list updated: http://

splashdata.blogspot.jp/2014/01/worst-passwords-of-2013-our-annual- list.html

14) ボットネットの基本的な仕組み：http://botnet.seesaa.net/

article/31386359.html

15) ボットネットの脅威：http://www.checkpoint.co.jp/products/

anti-bot-software-blade/anti-bot-software-blade-landing-page.html 16) シマンテックインテリジェンスレポート：http://www.

symantec.com/ja/jp/theme.jsp?themeid=state_of_spam

17) 脆弱なホストを狙った不正中継を見抜く：http://www.

atmarkit. co.jp/fsecurity/rensai/handling03/handling01.html

「（）」

18) 技術解説： DNS Reflector Attacks DNSリフレクター攻撃 http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.

について： html