プレゼンテーション

統合ログ管理ソリューションでマルウェアを

発見し、情報漏洩を防ぐためには？

McAfee SIEMと

マルウェアの発見概要

• 従来型アンチマルウェアによる発見

• 新型アンチマルウェアによる発見

– 振る舞い検知

– レピュテーション

– サンドボックス

• SIEMによる不審動作発見

• マルウェア感染が疑われるPCの特定

• 発見後の課題

発見後の対応概要

• マルウェアファイルの特定

• 感染経路の特定

• 影響範囲の調査

– マルウェアにより作成されたファイルの洗い出し

– マルウェアによる情報流出有無の確認

– マルウェア関連ファイルの他PCへの拡散状況調査

• 関連するファイルの除去

– マルウェア本体

– 関連ファイル

従来型アンチマルウェアによる対応

• クライアント常駐

• SaaS連携

クライアント型

• Webプロキシ

• メールゲートウェイ

ゲートウェイ型

• アンチスパム

• URLフィルタ

• IPS

広義のアンチマルウェア

既知の脅威に

対応

新型アンチマルウェアによる発見

発見手法

実施内容

課題

振る舞い検知

ファイル内容の

解析

過剰検知と見逃

しのバランス

レピュテーション

ファイルの挙動

を世界的な傾向

から判断

登場直後のマル

ウェアへの対応

は難しい

サンドボックス

仮想環境内で実

行し不審動作検

知

解析に時間がか

かるためリアル

タイムブロック

不可

SIEMによる発見

• 上記アプローチは「ファイル内容の検査」

• SIEMでは「ネットワーク機器のログに現れるマ

ルウェアの兆候」を検知

– ファイアウォール

– Webプロキシ

– スイッチ・ルータのsFlow/NetFlowデータ

– IDS/IPS

• 主に以下の手法

– 正常外抽出

– しきい値超過検知

正常外抽出の例

社内感染拡大

存在しないプライベートIPアドレスへの

接続の試み

社外サーバへの接続

一般的な構成ではクライアントからの直

接インターネット接続はブロックされる

異常動作を定義

リアルタイム検知

PC

DB

Proxy

しきい値超過検知の例

PC間での大量データ送受信

DBから大量のデータ取得

Web経由アップロード量の増大

平常時よりも

大きなデータ量の通信を

リアルタイム検知

SIEMによる解析の前提

• ログ取得がすべての基本

McAfee SIEM

Webサーバ

ファイルサーバ

認証サーバ

DBサーバ

ファイアウォール

ルータ・スイッチ

Webプロキシ

十分なログがあれば、不審動作発見後の

_{PC特定まで可能}

不十分なログ取得

• ログを取っていない

• 保存期間が短い

• ログは取られているが要素不足

– ファイアウォール

• ドロップログしか取得してない

• 送受信バイト数が記録されていない

• 入出力インターフェイスが記録されていない

– Webプロキシ

• アップロードバイト数が記録されていない

• アクセス先サイトのIPアドレスが記録されていない

不十分なログ取得は、解析の効率低下や

調査可能範囲が狭くなる原因に

ログ解析の目的は…?

• マルウェア発見はゴールではない

• 「安心安全」のためには、除去だけではなくマ

ルウェア活動の調査が必要

マルウェア活動の調査

• 確認事項

– 不審動作の発生源特定

– 過去動作の有無

– 感染経路

– PC内の拡散状況

– 他PCへの感染有無

– 情報流出の有無

• マルウェアの除去

対応には、クライアント

_{PC上の詳細ログ取得と、}

指定ファイル検索・削除機能が必要

CAPLogger・SFCheckerにより

確認事項ごと調査方針

確認事項

調査方針

必要なログ・機能

マルウェアファイルは

どれか

通信発生元プログラム

の確認

通信内容とプログラム

の対応ログ

過去動作の有無

特定したプログラムの動

作履歴確認

プログラム動作ログ

どこから感染したのか

プログラムファイルの受

_{信方法確認}

ファイル入出力ログ

マルウェアが作成した

ファイルはないのか

マルウェアが作成した

ファイル等の確認

ファイル入出力ログ

他PCの感染はないのか

特定したマルウェア関連

_{ファイルの検索}

組織内全PC対象のファ

_{イル検索機能}

情報流出はあったのか

マルウェアが読み書きし

_{たファイル等の確認}

ファイル入出力・通信内

容とプログラムの対応ロ

グ

マルウェア関連ファイル

はすべて削除されたのか

マルウェア関連ファイル

の削除

指定ファイルの削除機能

マルウェアファイルはどれか

malware.exe

iexplore.exe

通信元・先の

IPアドレス

とポート番号は判明済

通信内容とプログラムの対応を確認できるログが必要

PC上のどのプログラム

が通信を行ったのか

?

過去動作の有無

感染

• 初期感染

DL

• マルウェア本体をダウンロード

拡散

• ネットワーク内での拡散

収集

• 機密データ収集・蓄積

送信

• 蓄積したデータを攻撃者に送信

消去

• 蓄積データ及び自分自身を消去

PC上のプログラム動作詳細履歴ログが必要

発

見

時

点

で

ど

の

段

階

だ

っ

た

の

か

_?

どこから感染したのか

不正

_Web閲覧

メール添付

USBメモリ

マルウェアが作成したファイルはないのか

マルウェア用

ダウンローダー

収集した機密情報

データファイル

活動時の

作業用ファイル

消去済

ファイル

マルウェア

本体

PC上のファイル入出力履歴ログが必要

他PCの感染はないのか

社内

_{PCに対する指定ファイル検索機能が必要}

マルウェア

発見

マルウェア本体

作業用ファイル等々の

有無を確認

情報流出はあったのか

• 通信内容とプログラムの対応を確認できるログが必要

• PC上のファイル入出力履歴ログが必要

マルウェアから外部へ

の通信は成功したのか

マルウェアはどの

ファイルへアクセス

していたのか

マルウェア関連ファイルは

すべて削除されたのか

マルウェア

本体

作業用

ファイル

マルウェア

本体と

作業用

ファイル

マルウェア

本体

社内

_{PCに対する指定ファイルの削除機能が必要}

具体的には

機能

対応製品

通信内容とプログラムの

対応ログ

CAPLogger

プログラム動作ログ

ファイル入出力ログ

組織内全PC対象のファイル

検索機能

_SFChecker

指定ファイルの削除機能

CAPLogger

(Communication And Process Logger)

malware.exe

malware.exeが

ファイルの読み込みと

通信実施したことを

確認。

2014/11/12 10:00 iexplore.exeがmalware.exeを保存

2014/11/12 11:00 malware.exeが起動

2014/11/12 12:00 malware.exeがfile.txtを読み込み

SFChecker(Suspicious File Checker)

管理者

ファイルサーバ

指定ファイルの検索

と処理(削除・隔離)

結果レポートの送付

結果レポートの閲覧

検索対象ファイルと

処理方法の設定

設定取得

内部犯罪の可能性

• 正常外動作や大量の通信の原因がマルウェアで

はなかった場合。

• ユーザ操作履歴の確認が必要

iexplore.exe

IE発の大量通信

意図的な操作?

LAT(Log Audit Tracker)

まとめ

• SIEMの活用には十分なログが取得されているこ

とが前提。

• SIEMによる範囲は不審動作の発見まで。

• 発見はゴールではない

• 発見後の調査には、原因がマルウェアによるも

のでも、ユーザによる意図的なものであっても

PC上のイベント記録製品が必要。