攻撃者による「証拠隠滅」が巧妙化、ログ改ざんで侵入の痕跡を消す手口

背景

サイバー攻撃を受けた企業が事後調査（フォレンジック）を実施する際、最も重要な証拠となるのがシステムログです。しかし、高度な攻撃者は侵入後、自らの活動痕跡を消去・改ざんするための「証拠隠滅工作」を組織的に実行するようになっています。Windowsイベントログ、Webサーバーのアクセスログ、ファイアウォールの通信ログなどを削除または改ざんすることで、「いつ・誰が・何をしたか」という調査の手がかりを失わせ、侵入経路の特定や被害範囲の確定を困難にします。特に、APT（高度持続的脅威）攻撃やランサムウェア攻撃では、最終的な攻撃実行前にログ削除が行われることが多く、企業は「攻撃されたこと」は分かっても、「何が盗まれたのか」「どこから侵入されたのか」が判明せず、適切な対応や再発防止策の策定が困難になります。

実態

攻撃者がログを操作する手法は多岐にわたります。最も単純なのは、管理者権限を奪取した後、Windowsの「wevtutil」コマンドを使ってイベントログを一括削除する方法です。また、より巧妙な手口として、自分の活動に関連する特定のログエントリだけを選択的に削除する「サージカル削除」も確認されています。これにより、ログ全体が消えているわけではないため、管理者が異常に気づきにくくなります。さらに、ログのタイムスタンプを改ざんして、攻撃が実際より古い時期に行われたように見せかけたり、別の時刻に偽装したりする手口もあります。クラウド環境では、AWS CloudTrail、Azure Monitor、Google Cloud Auditログなどの監査ログを無効化したり、ログ保存先のS3バケットを削除したりする攻撃も報告されています。また、SIEM（セキュリティ情報イベント管理）システム自体を攻撃し、ログ転送を停止させたり、SIEM内のデータベースを破壊したりするケースも増えています。

影響と対策

ログの改ざん・削除により、企業はインシデントの全容把握ができず、情報漏えいの範囲を特定できない、法的義務である報告内容が不正確になる、保険請求に必要な証拠が不足する、といった深刻な二次被害が発生します。対策としては、まず「ログの外部保管」が最重要です。FortiGateやCheck Pointなどのネットワーク機器のログは、機器本体だけでなく、専用のログサーバーやSIEMに即座に転送し、攻撃者がアクセスできない場所に保管します。クラウド環境では、ログを別のアカウントや別のクラウドプロバイダーに複製する「クロスアカウント・クロスリージョンバックアップ」が有効です。また、ログの「イミュータブル（改変不可能）」設定を有効化し、一度記録されたログは誰も削除・変更できないようにします。さらに、ログ削除や監査機能の無効化といった重要操作自体もログに記録し、異常な操作が行われた際に即座にアラートを発報する仕組みを構築します。定期的にログのバックアップテストと復元テストを実施し、いざという時に確実にログが利用できることを確認することも重要です。

まとめ

「ログは嘘をつかない」という前提は、攻撃者がログを操作しないことが条件です。高度な攻撃者は証拠隠滅の専門家でもあり、ログ保護はもはやオプションではなく必須の対策です。攻撃者の手が届かない場所にログを保管し、改ざん不可能な状態で維持することが、真相究明と再発防止の鍵となります。PSIでは、ネットワーク製品のログを確実に外部保管するアーキテクチャ設計と、SIEM連携による統合ログ管理体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp