ログ改ざんまたはログインジェクション攻撃

ログの改ざんって何？

ログの改ざんは、システムを利用して偽のログを出力する技法です。TCP/IPを用いて、データベースなどのリモートシステムに接続し、1つ以上のレコードを送信します。リモートシステムはそのログを記録し、攻撃者のマシンへ返送するため、まるでローカルで生成されたかのように見えます。この攻撃は、認証情報の窃盗や監査ログの改ざんによる不正行為の隠蔽など、悪意ある目的で使われることがあります。

ログの改ざんには主に2つの形態があります。HTTP（ハイパーテキスト・トランスファー・プロトコル）によるものと、HTTPS（ハイパーテキスト・トランスファー・プロトコル・セキュア）によるものです。どちらも、偽装ログにはリモートホストのIPアドレスが表示されないため、否認が容易になります。ログ改ざん攻撃は、PHPの secure_log 関数のような、限定的なログ機能しか持たずHTTPSプロトコルに対応していない特定のアプリを標的としています。

‍

ログ改ざん攻撃の影響

ログ改ざん攻撃では、コンピュータのログが手付かずのように偽装されます。実際には改ざんされていても、攻撃者はパスワードなしでシステムに侵入できる可能性があります。オペレーティングシステム自体を標準ツールで攻撃するため、検知が非常に困難です。

攻撃者が偽のログエントリを作成すると、対象ユーザの権限昇格が起こる恐れがあります。例えば、実際にはアクセスしていないファイルにアクセスしたと示す偽ログを作ることで、そのシステム内で権限を上げることができるのです。

攻撃者は様々な手法でログを作成可能です。以下はその一例です:

• SQLインジェクション
• ファイルインジェクション
• シェルコマンドインジェクション
• ブルートフォースパスワード推測
• セッションフィクセーション

*注: ログ改ざん攻撃は、ブルートフォースパスワード推測やセッションフィクセーションなど、他の攻撃と併用されることが多いです。

‍

ログ改ざん攻撃を防ぐ理由

この脅威を軽視したくなるかもしれませんが、ログ改ざん攻撃は貴社に大きな影響を及ぼす可能性があります。適切に対処しなければ、個人情報の窃盗や経済的損失につながる恐れがあるのです。フィッシングメールが偽サイトへ誘導するのと同様に、ログ改ざん攻撃は偽のログインページへ導きます。こうした偽サイトにより、ハッカーが貴社の重要な情報を把握してしまう可能性があります。攻撃を防ぎ、データの整合性を保つためには、セキュリティ基準を維持し、最新技術の動向に注視することが重要です。

ログ改ざん攻撃は、システムがログを常に監視・検証していない点を突いた攻撃です。攻撃者はアプリとサーバの間に割り込み、偽のログファイルを送ることで正当なものと認識させ、ログの記録、データ整合性、セキュリティ、パフォーマンス、開発などに様々な問題を引き起こします。

仕組み

ハッカーはプロキシサーバを利用し、Webサーバ上のログ保存方法の弱点を突きます。プロキシサーバはWebブラウザの代理となり、サイト接続時に自身のIPアドレスを送信するため、ハッカーはブラウザのキャッシュファイル内のタイムスタンプや日付を変更し、実際より長く訪れていたように見せかけます。これにより、まるでサイトにログインして作業や買い物をしているかのような錯覚が生まれます。また、他のログファイルも改ざんし、実際には訪問していないのに取引完了やメッセージ送信が行われたと見せることが可能です。こうした改ざんにより、訪問者は自分がオンラインで活動していたと誤認してしまいます。

‍

攻撃シナリオ

Webアプリは、ユーザによるログイン失敗を記録します。以下は、アプリで使用されるコードの一例です:

String userID = request.getParameter(“userID”);
try 
{
 int user = Integer.parseInt(username);
 ...
 log.info(“Successful Login, ID=” + value);
}
catch (NumberFormatException) 
{
 log.info(“Failed Login, ID=” + value);
}

トラッキングシステムは、ログイン失敗回数が制限を超えると警告を発します。システムはブルートフォース攻撃時にも警告するよう設定でき、制限に達するたびに警告と共にログが記録されます。

May 17:2020:10:43:10: Failed Login, ID=sha

制限前に成功したログインが発生すると、システムはリセットされます。これを悪用して外部者がシステムに侵入する恐れがあります。攻撃者は偽の成功ログインイベントを挿入し、システムをリセットさせることで、ログ改ざんを狙うのです。以下はユーザ入力の例です:

Sep%2011%3A2018%3A01%3A07%3A13%3A%20Successful%20Login%2C%20ID%3Dsha
which is equivalent to:
Sep 17:2020:07:07:13: Successful Login, ID=sha

ユーザ入力の検証や除去が行われない場合、偽のログは容易にシステムを無効化します。この場合、実際のログと偽のログが双方記録される可能性があります。

Sep 18:2020:07:07:13: Failed Login, Id=sha
Sep 18:2020:07:07:13: Successful Login, Id=sha

‍

攻撃の例

ログ改ざん攻撃でよく見られる手法の一つは、アプリ層で発生します。アプリ層は守られていない場合が多く、攻撃者が顧客や従業員にリクエストを送ることで、認証情報を引き出しシステムへのアクセスを可能にします。

この攻撃は、多くのシステムログに暗号化されていないパスワードが記録されている点を突いており、攻撃者がその情報を入手すれば、自由に利用される恐れがあります。

‍

ログ改ざん攻撃の防止

ログ改ざん攻撃を防ぐための第一歩は、ログへのアクセスを限定することです。書き込みを許可する場合でも、認可されたユーザのみがログに記録できるようにすることが重要です。また、万が一ログが改ざんされた際に重要な情報が失われないよう、定期的なバックアップも欠かせません。

‍

Wallarmの対策：ログ改ざんおよびインジェクション攻撃から守る

ログの改ざんは、ログを操作してマルウェアが検出・ブロックされたと偽る行為です。これはログ改ざんや置換を含むログインジェクション攻撃の一種です。

Wallarmの対策は、人工知能（AI）を活用してログを解析し、ログ改ざんを含む潜在的な攻撃を検出する点で独自です。もし攻撃が検出されなくても、疑わしいとしてブロックします。

Wallarmは偽のログを自動で検出し、サーバに届かないようにします。これにより、ログ改ざん攻撃はなくなります―アプリにとって朗報です。Wallarmの対策はシンプルです。ログを疑え！　Wallarm製品: API Security Platform, Cloud WAF

ログ改ざん攻撃を防ぐことは重要です。なぜなら、これによりDoS攻撃、ユーザデータの窃盗、知的財産の損失、またはサイバー犯罪者によるネットワークへの不正アクセスなど、さまざまな問題が引き起こされる可能性があるからです。

結論

世界は変化しており、ハッカーも新たな手法を取り入れています。最新の情報と防御策を把握し、貴社を守り続けることが重要です。