LogStareのSOCの窓 第5回「1日だけ倍増した攻撃、その原因は・・・」 | ScanNetSecurity
2021.10.18(月)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

LogStareのSOCの窓 第5回「1日だけ倍増した攻撃、その原因は・・・」

サイバー攻撃、内部不正、運用ミスによるシステムダウン…。日々様々な情報セキュリティニュースを目にしますが、今回はそのどれでもない事象をご紹介します。

製品・サービス・業界動向 業界動向
 株式会社LogStareは「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

●いつもの数倍の攻撃が見つかった

 サイバー攻撃、内部不正、運用ミスによるシステムダウン…。日々様々な情報セキュリティニュースを目にしますが、今回はそのどれでもない事象をご紹介します。

 ある SOC監視員がルーチン業務でお客様のファイアウォールのログを確認していたところ、目を疑いたくなるような事象を発見。昨日に限っていつもの数倍もの攻撃を受けていたのです。それは攻撃が成功した場合に甚大な被害が発生するようなものでした。

●攻撃のプロたちの痕跡がログに

 詳しくログを確認すると、不幸中の幸いか送信元IPアドレスは 1 つ。SOC監視員はすぐさまお客様に連絡し、お客様は1か所からの攻撃ならばその IPアドレスを遮断すべきと、社内の関係者に許可を得るために奔走しました。

 その間に SOC ではさらに調査を続け、攻撃元IPアドレスの保有者を割り出しました。IPアドレスの保有者は、なんと脆弱性診断サービスを提供する企業です。

 もしや攻撃のプロたちの中に犯人が!? と思ったのもつかの間。社内調整に奔走していたお客様から、「昨日ある事業部がサービス基盤の脆弱性診断を実施したが、伝達ミスで自分まで知らされていなかった」という連絡が入りました。

 SOC監視員とお客様の間には、ほっとしたような、やるせないような、なんとも微妙な空気が流れていました…。

 もしかして、あなたの会社にも、現業部門だけが知っているシステムメンテナンスの計画がありませんか?

●コミュニケーション不足がやがて SOC の機能不全に

 類似の例として、サービス基盤の Webサーバーが突然停止し、もしや(当時流行していた)アノニマスの攻撃では!? と情シス部門が焦る中、現場の担当者が粛々と計画メンテナンスを実行していたこともありました。

 現業部門からしてみれば、情シス部門が SOC によって自部門のサービス基盤を監視していることを知らなかった。というケースは間々あり、たとえ知っていても忙しさに取り紛れて連絡が行き届いていなかった、ということもあるでしょう。

 しかしながら、特定の監視対象でアラートが頻発すれば、前回同様やがて誰も見なくなり、SOC が正しく機能しなくなってしまいます。

 このような経験を踏まえ、攻撃やシステムダウンを客観的な目で検知し、それがいつ、どういった経緯で発生したものかをログ分析によって突き止め、解決の手がかりとしてお客様に提供するのが、私たち LogStare を含むセキュアヴェイルグループです。

 次回も私たちがセキュリティの運用現場で目撃した出来事から、現場の担当者はもちろん、管理層、経営層の方にも気づきを与えられる事例をお届けします。どうぞご期待ください。

今回の教訓: 現場の計画メンテナンスが SOC で重大インシデントと捉えられることがある
《株式会社LogStare》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Apache Tomcatにサービス運用妨害(DoS)の脆弱性、アップデートを公開 画像

Apache Tomcatにサービス運用妨害(DoS)の脆弱性、アップデートを公開
複数の ESET 製品に不適切なデフォルトパーミッションに関する脆弱性 画像

複数の ESET 製品に不適切なデフォルトパーミッションに関する脆弱性
マイクロソフトが10月のセキュリティ情報公開、悪用の事実確認済の「Windows(Win32k)の脆弱性」含む 画像

マイクロソフトが10月のセキュリティ情報公開、悪用の事実確認済の「Windows(Win32k)の脆弱性」含む
Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report) 画像

Linux カーネルにおいて管理者権限の奪取につながる overlayfs における名前空間の検証不備の脆弱性(Scan Tech Report)
Apache HTTP Server にディレクトリトラバーサルの脆弱性、悪用する攻撃を確認済み 画像

Apache HTTP Server にディレクトリトラバーサルの脆弱性、悪用する攻撃を確認済み
Apache HTTP Server 2.4に複数の脆弱性、悪用した攻撃も確認 画像

Apache HTTP Server 2.4に複数の脆弱性、悪用した攻撃も確認

インシデント・事故 記事一覧へ

富士病院に不正アクセス、システム障害発生に伴い診療制限を実施 画像

富士病院に不正アクセス、システム障害発生に伴い診療制限を実施
治験支援行うリニカルに不正アクセス、原因究明のためサーバを一時停止 画像

治験支援行うリニカルに不正アクセス、原因究明のためサーバを一時停止
年金振込通知書の誤送付は97万5,065件、和歌山県と奈良県も新たに発覚 画像

年金振込通知書の誤送付は97万5,065件、和歌山県と奈良県も新たに発覚
ドコモで全国的な通信障害、ネットワーク工事の切り戻しで信号量増大しネットワーク輻輳 画像

ドコモで全国的な通信障害、ネットワーク工事の切り戻しで信号量増大しネットワーク輻輳
動画配信サービスTwitchでの120GB超のデータ流出、サーバの設定変更で権限の無い第三者からの不正アクセスが可能に 画像

動画配信サービスTwitchでの120GB超のデータ流出、サーバの設定変更で権限の無い第三者からの不正アクセスが可能に
NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出 画像

NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出

調査・レポート・白書 記事一覧へ

教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘 画像

教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘
2020年度 国内テレワーク関連業務アプリ市場 前年度比164.6%増 1,018億8,200万円 画像

2020年度 国内テレワーク関連業務アプリ市場 前年度比164.6%増 1,018億8,200万円
総務省「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」第四次とりまとめ(案)」公表 画像

総務省「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」第四次とりまとめ(案)」公表
フィッシング対策協議会、新たにDMARC解説を追加した送信ドメイン認証技術導入マニュアル第3版を公開 画像

フィッシング対策協議会、新たにDMARC解説を追加した送信ドメイン認証技術導入マニュアル第3版を公開
テレワーク導入で紙媒体の誤送付が減少、2020年度「個人情報の取扱いにおける事故報告集計結果」~JIPDEC調べ 画像

テレワーク導入で紙媒体の誤送付が減少、2020年度「個人情報の取扱いにおける事故報告集計結果」~JIPDEC調べ
サイバー攻撃に1年近く気付かず、発生から発覚・公表までの期間をサイバーセキュリティクラウドが調査 画像

サイバー攻撃に1年近く気付かず、発生から発覚・公表までの期間をサイバーセキュリティクラウドが調査

研修・セミナー・カンファレンス 記事一覧へ

漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況 画像

漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況
非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄 画像

非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄
GSXとCrowdStrike、10/21にウェビナー「なぜゼロトラストにEDRが必要なのか?」開催 画像

GSXとCrowdStrike、10/21にウェビナー「なぜゼロトラストにEDRが必要なのか?」開催
CrowdStrike、5回目となるコーポレートイベント「fal.con」を10/14バーチャル開催 画像

CrowdStrike、5回目となるコーポレートイベント「fal.con」を10/14バーチャル開催
ITエンジニア限定のeスポーツ大会「LogStare eSports Series」第2回のエントリー受付開始 画像

ITエンジニア限定のeスポーツ大会「LogStare eSports Series」第2回のエントリー受付開始
クラウドの AI インフラの危険性 ~ Shodan の AI プラットフォーム版 画像

クラウドの AI インフラの危険性 ~ Shodan の AI プラットフォーム版

製品・サービス・業界動向 記事一覧へ

知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」 画像

知られざる暗号評価プロジェクト CRYPTREC 第1回「三つの会議体」
技術提携で次世代ファイアウォールSonicWall UTMに「LogStare」が正式対応 画像

技術提携で次世代ファイアウォールSonicWall UTMに「LogStare」が正式対応
「Age of Rust」Steamでのリリース不可に、NFT報酬がガイドライン違反に 画像

「Age of Rust」Steamでのリリース不可に、NFT報酬がガイドライン違反に
NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介 画像

NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介
TwoFiveとデジサート、BIMI規格に準拠した認証マーク証明書の販売代理店契約を締結 画像

TwoFiveとデジサート、BIMI規格に準拠した認証マーク証明書の販売代理店契約を締結
トレンドマイクロと富士通がコネクテッドカーのセキュリティ対策強化を目指し協業 画像

トレンドマイクロと富士通がコネクテッドカーのセキュリティ対策強化を目指し協業

おしらせ 記事一覧へ

ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
Page Top
★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。
×