不正ログイン後の代表的な行動　その２

• 投稿日：2018-07-03　
• 最終更新日：2018-12-10　
• 表示：130PV　
• カテゴリ：攻撃方法

前回に引き続き、今回も攻撃方法のご紹介です。
既に攻撃方法の紹介でお話した不正ログインが行われた後に、攻撃者が行う代表的な行動を３つご紹介します。

代表的な３つの行動

それでは、３つの行動をご紹介します。

1. バックドアの設置
2. 情報の持ち去り
3. ログの消去

前回、バックドアの設置のお話をしましたので、今回は、残りの２つのお話します。

情報の持ち去り

行動

ログインしたＰＣやサーバのデータを探して外部に転送します。

対処方法

対処としては、不正ログインされると、余りありません。

それでは、全く無いかというと、そうとまではいえません。

今回は、その対策の一例をお話します。
それ以外の対策については、別の機会にお話します。

今回お話しする対策は、外部への送信を防ぐファイアウォールの設定や探しても見つからないようにすることです。

方法としては、ＩＤやパスワードに限らず盗まれると問題になるデータを、わかりにくいような場所に保存します。
例えば、ＯＳで標準的に用意する場所への保存はせず、独自に場所を保管するなどです。
ＯＳが標準的に用意する場所は、攻撃者も当然わかります。
このような場所ではなく、攻撃者が判りにくい別の場所に保存すると、データの存在を気がつかないので、盗まれることがありません。

ログの消去

行動

普段、それほどセキュリティの活動を行っていない場合でも、不正ログインがわかれば、調査を行うでしょう。
そのため、不正ログインしたことがばれないように、ログを消去します。
不正ログインのログが消去されれば、後から見ても不正ログインがあったことがわからなくなります。

対処方法

対処方法は２つです。

1. 見つけにくくする
2. 暗号化する
3. ハッシュ値を利用する

見つけにくくする

一つ前の情報の持ち去り対策と同じです。
場所がわからなければ、ログを消しようがありません。
これにより、ログを見ればわかるようになります。

暗号化する

すぐにはわかりにくいのですが、効果はあります。

というのも、ログを消去と言っても、全てを削除するわけではなく、不正ログインした時のログだけ削除します。
これは、以下のような順で、不正ログインがばれるからです。

1. 通常は削除されないログファイル自体がなくなれば、誰かが消したことになる
2. 使用者が消した覚えが無ければ、他の人が消したことがわかる
3. 社内等の権限を持っている人が消していなければ、攻撃者などが消したことがわかる
4. 結果、攻撃されている＝不正ログインされたことがわかる

このため、全てを消さずに、不正ログインが記録されている部分だけを消したいのです。
ところが、ログが暗号化されていると、攻撃者が暗号化できない限り、ログを編集できなくなります。
これで、ログを見ればわかるようになります。

ハッシュ値を利用する

ハッシュ値を使用した方法については、ハッシュ値を使用した攻撃検知でお話をしていますので、ご覧ください。

タグ：ファイアウォール, ログ, 暗号化

広告枠・・・広告やリンク先の保証はしません

参考記事（一部広告含む）

このページの記事についてちょっと質問！