A10: 十分でないログ記録と監視 2017 OWASP

十分でないログ記録と監視とは？

イベント発生時に十分なログが記録されないだけでなく、記録される情報の詳細さも問題となります。不測の事態（サイバー攻撃など）が起きた場合に、必要な情報を辿れるようにするためです。たとえば、ログインやログアウト、ビジネスに重要なリクエストとレスポンス、そしてウォレットなど限られたリソースに関する情報が挙げられます。 

記録される内容だけでなく、システムとの連携方法も重要です。不適切な文字が使われると、ログの整合性が損なわれる恐れがあります。これはログインジェクションまたはポイズニングと呼ばれます。 

また、アプリを守るために十分な監視体制を整える必要があります。監視されないログは意味がなく、ログのみならずすべてを監視すべきです。APIやサードパーティのアプリとの接続も対象となります。 

初期パスワードの変更やシステムの適切な内部配置などにより、悪意ある攻撃者が容易にアクセスできないよう、ログが安全に管理されることを確認してください。

十分でないログ記録と監視の検出方法

この脆弱性の検出は容易ではありません。システム内のハードウェアや、ビジネスにとって重要なプロセスを持つソフトを正確に把握するためのインベントリ管理が必要です。コミュニケーションも容易ではなく、多くのチームで連携するのは適切な管理がなければ難しいため、社内の1拠点で集中管理し、定期的な更新が求められます。 

また、新たな脆弱性やCVEが組織に影響を及ぼす可能性があるため、これらの調査も重要です。たとえば、組織外で稼働しているコンポーネントについて、exploit dbで「microsoft」と検索すると、実際に発見される脆弱性が多いことが分かります。 

https://www.exploit-db.com/

ツール 

もちろんツールを使って監視を行うことは可能ですが、市場には多数のツールが存在します。どれを選択するかが課題です。 

• Nagios: このオープンソースツールは、ログを注視し、問題を示すエントリが含まれていないか確認するのに優れています。誤検知が発生する場合もありますが、柔軟性とオープンソースである点が補っています。

https://www.nagios.com/

• SNORT: IDSおよびIPSとして、不正侵入者の行動を検知・阻止します。基本ルールセットがしっかりしており、必要に応じて拡張可能です。また、攻撃時のログ監視と、設定したアラートによる関係者への通知も実現します。

https://www.snort.org/

• Splunk: ネットワーク全体から様々な形式のログを収集し、一元的に管理することで、ログの操作や検索を容易にします。視覚的に把握しやすいダッシュボードの構築にも役立ちます。

https://www.splunk.com/

• OSSEC: この無料のIDSは、ログを監視し、攻撃発生時に関係者へアラートを送ります。自動で防御策を実行するわけではなく、システム管理者が適切な対策を講じるための補助として機能します。

https://www.ossec.net/

• Tripwire: 無料かつオープンソースのこのツールは、ファイルシステムを監視し、既定の状態と比較することで異常を検知します。検知率を向上させ、他のツールと組み合わせることで強力な防御策となります。

https://github.com/Tripwire/tripwire-open-source

• Fluentd: このオープンソースツールは、データ収集と統合ログレイヤーとして機能します。

https://www.fluentd.org/

攻撃シナリオ

攻撃者がログを汚染し、監査情報を管理者から隠すことが可能なCVEが存在します。これは好ましくない状況ですが、seclists.orgのサイトで確認できるように大きな影響は及ぼしていません。

https://seclists.org/fulldisclosure/2016/Oct/53

一般的なeコマースプラットフォームであるMagnetoは、2019年10月8日に本脆弱性に対するパッチを公開しました。この問題は、管理者の操作が十分に記録されていないことに起因します。詳細は以下をご参照ください。

​​https://magento.com/security/patches/magento-2.3.3-and-2.2.10-security-update 

十分でないログ記録と監視の防止方法

この脆弱性の防止は、記録すべき内容と記録しない内容の管理、およびログの入念な監視に大きく依存します。ツールを活用することも可能ですが、最適なログ記録を実現するようソフトが設計されていることも重要です。ログを作成するだけでなく、効率的に監視する体制も整えてください。以下に、一般的なセキュリティ問題を未然に防ぐためのヒントを示します。

• 認証・認可関連、ウォレットなど限られたリソースに関する操作、そしてビジネスで重要なイベントなど、必要な操作は必ずログに記録してください。その際、ユーザー情報、発生時刻、関連エンドポイント、エラーメッセージなど、後の監視に十分な情報を含める必要があります。
• 生成したログは、一元化されたシステムに容易に集約でき、ログ管理ツールで扱いやすい形式にしてください。
• 非常に重要な処理については、監査ログを有効にし、特定のユーザーの操作を辿れるようにしておく必要があります。攻撃時、ログが大量の情報に埋もれると原因の特定が困難になります。
• ログ管理が整ったら、これらを監視する仕組みを導入し、イベント発生時には関係者へ適切に通知されるようにしてください。
• 各種インシデントへの対応策が提案されていますので、少なくともインシデントレスポンス計画を策定し、緊急時に備えてください。NISTが作成した例（こちら）は、ほとんどの攻撃シナリオに対応できる包括的な内容です。
• ログの集約と管理には、専用のツールを活用することが推奨されます。次のセクションでこれらのツールを紹介します。

• ログデータ管理ツール 

• Nlog: この包括的で柔軟なオープンソースツールは、.netプラットフォーム向けに、データベース、ファイル、コンソールなど複数の媒体へログを出力し、検索しやすい環境を提供します。

https://nlog-project.org/

• Nmap: この強力なネットワークスキャン及び監査ツールは、完全に無料でオープンソースとして提供されています。 

https://nmap.org/

• Httpry: この無料のパケットスニッフィングツールは、ログを取得・表示するために設計されています。執筆時点ではベータ版（0.1.8）ですが、防止対策として有用な機能が備わっています。

https://dumpsterventures.com/jason/httpry/

• OpenAudIT: この構成管理ツールは、ネットワーク上の機器とその設定内容を詳細に表示し、変更を検知すると即時に反映します。 

‍

ログ記録と監視のヒント

• 攻撃が進行する前に、ログが早期の発見に役立つ場合があります。認証や認可など高セキュリティな取引、ならびにビジネス上重要なプロセスには、完全な監査ログを記録してください。
• ログ記録だけでは不十分です。必ず適切な監視体制を導入してください。
• ネットワーク上の状況を把握し、ログを集約してElasticsearchなどで検索し、Kibanaなどで視覚化するなど、効率的な管理を行いましょう。
• ログや監視が十分に整っていないと、予期せぬコストが発生する恐れがあります。デバッグ時間が延びるだけでなく、攻撃時には対応速度に大きな影響を及ぼします。
• 人の判断とロボットのような正確さを併せ持つツールを活用することで、広範囲をカバーすることが可能となります。最近のツールは大きな資産となっています。

‍

‍

結論

この脆弱性は一見大した問題でないように見えますが、攻撃や重大な不具合時には、原因の特定が困難となり、対応能力が著しく低下する可能性があります。適切なログ記録と監視への投資は、貴社のウェブアプリ、サーバインフラ、そしてAPIセキュリティの強化に大いに寄与します。