★阿修羅♪ 現在地 HOME > 掲示板 > IT1 > 372.html
 ★阿修羅♪
次へ 前へ
不正アクセス/情報漏えいの証拠を確保 通信データを丸ごと記録 不審なやり取りを忠実に再現
http://www.asyura.com/0306/it01/msg/372.html
投稿者 クエスチョン 日時 2003 年 8 月 19 日 22:46:29:WmYnAkBebEg4M

不正アクセス/情報漏えいの証拠を確保 通信データを丸ごと記録 不審なやり取りを忠実に再現
http://itpro.nikkeibp.co.jp/members/NIT/ITARTICLE/20030811/1/

日経インターネットソリューション 2003年8月号,54ページより

社内システムへの不正アクセスや,社内からの情報漏えいの証拠をつかむ
――。そのための専用製品が充実してきた。「フォレンジック」製品であ
る。ネットワークを流れるすべてのデータを記録し,実際のやり取りを再
現できる。不正な通信の内容を立証できる強力なツールだ。


(河井 保博=kawai@nikkeibp.co.jp)

表1●国内で入手可能な主なフォレンジック製品
 社内システムへの不正アクセスや,社内からの機密情報の漏えいに対抗
するための新しいツールが登場している。不正アクセスや機密漏えいの法
的な証拠になり得るデータを記録・保存する「フォレンジック」と呼ばれ
る方法を採用した製品である(表1[拡大表示])。

 例えば日本ネットワークアソシエイツは6月,「InfiniStream Security
Forensics」というアプライアンス製品を発売。セキュリティフライデー
も6月にWindowsネットワーク向けの「VISUACT」を発売した。

 先行したNetDetectorとMSIESER,PacketBlackHole(PBH)は,すでに国
内の金融機関やデータセンター事業者,自治体などへの導入実績があると
いう。1000万円以上の高価なものもあるが,製品によっては数十万〜数百
万円と,中小企業にも手が届く。

不正侵入もメール内容も分かる

図1●フォレンジック製品を導入すると不正アクセスや機密漏えいの証拠
を収集できる
フォレンジック製品は,ネットワークを流れるトラフィックのデータをリ
アルタイムにディスクに記録・保存する。記録したデータを基に,実際に
どんな通信があったかを再現する機能を備えるため,不正アクセスや情報
漏えいの証拠を抽出できる。
 フォレンジック製品の特徴は2つある。1つは,あるネットワーク上を流
れるすべてのデータをリアルタイムにキャプチャし,ハード・ディスクに
記録できる点(図1[拡大表示])。パケット・キャプチャなら,IDS(侵入
検知システム)やLANアナライザでもできる。ただ,フォレンジック製品
は,数十G〜数T(テラ=兆)バイトの大容量ハード・ディスクを内蔵する
など,長時間にわたってトラフィックを記録できる。

 もう1つの特徴は,記録したデータを基に,ネットワーク上でどんなや
り取りがあったかを再現できること。例えば,だれかがWebサーバーなど
に不正アクセスを試みた形跡がないか分かる。データが暗号化されていな
い限り,エンドユーザーが閲覧したWebページや送受信したメールの内容
も再現できる。添付ファイルについても,管理コンソール上に対応アプリ
ケーションが搭載されていれば,ファイルを開いて内容を確認できる。

 つまり,キャプチャしたデータから不正アクセスや情報漏えいの痕跡を
探り出せる。このため,不審なトラフィックがある場合には,そのデータ
をやり取りしたユーザーに対して証拠を突きつけられる。また,監視して
いることを社員などに通知しておくことで,情報漏えいの抑止効果も期待
できる。

 IDSを補完するツールとしても役立つ。管理者はIDSのアラートが出るた
びに,対象システムのログをチェックするなど,即座に痕跡を確認しなけ
ればならない。IDSは誤検知も多く,運用には手が掛かる。フォレンジッ
ク製品を使えば,キャプチャ・データから痕跡を探せるため,負担は軽く
なる。

違いは解析機能や対応アプリ
 ただ,基本的な仕組みは同じでも,製品によって違いはある。例えば
NetDetectorは,トラフィックをキャプチャすると同時に,送信元/あて先
アドレス,ポート番号,時刻などの情報を含む統計情報をリアルタイムに
計算する。このため,ブラウザでNetDetectorにアクセスすると,即座に
これらの統計情報を閲覧できる。

 これに対して,InfiniStreamは,管理コンソール上で生データを解析す
る。このため,長期間のトラフィックを対象にすると,数十Gバイトもの
データをダウンロードして解析することになり,処理にかなりの時間がか
かる。

 キャプチャ能力の違いもある。メーカーの公称では,InfiniStreamは1G
ビット/秒以上でもデータを取りこぼさない。これに対して,NetDetector
は今のところ,500Mビット/秒前後が上限になりそう。100Mイーサネット
環境では支障はないが,ギガビット・イーサネット環境でのピーク時など
にはデータを取りこぼす可能性がある。PBHの場合は,高速ネットワーク
向けに,複数台をクラスタリングできるようになっている。MSIESERは,
今のところ100Mイーサネットまでの対応である。

 再現できるアプリケーションの種類も,製品によって違う。例えば
VISUACTはWindowsネットワーク向けの製品。Windowsネットワーク上のど
のユーザーがサーバー上のファイルを読み出したかなどが分かる。

 一方,NetDetectorとInfiniStream,MSIESER,PBHは,HTTPやSMTPとい
ったインターネット・プロトコルが対象である。ただし,Telnetやインス
タント・メッセージ,VoIP(IP電話)など,製品によって対応状況が異な
るアプリケーションがある。

 次へ  前へ

IT1掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る

コメント
1. 2021年3月18日 14:07:13 : Lb6NbjbykU : alZlaG12UVhoUlE=[4] 報告
日経香港法人に不正アクセス 顧客情報1644件流出か
https://www.msn.com/ja-jp/news/national/%E6%97%A5%E7%B5%8C%E9%A6%99%E6%B8%AF%E6%B3%95%E4%BA%BA%E3%81%AB%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9-%E9%A1%A7%E5%AE%A2%E6%83%85%E5%A0%B11644%E4%BB%B6%E6%B5%81%E5%87%BA%E3%81%8B/ar-BB1eHwUP?ocid=msedgntp

 日本経済新聞社は、同社香港支局と香港の現地法人である日経中国社で使っているメールアカウントが不正アクセスされ、顧客の個人情報1644件が流出した疑いがあると17日発表した。

 日本経済新聞社によると、流出の疑いがあるのは、同社が発行する国際版や電子版、Nikkei Asiaの購読を中国社と契約している海外顧客の名前やメールアドレス、会社名、住所、電話番号など。多くは日系企業のもので、法人顧客のクレジットカード情報24件も含まれていたという。日本国内の顧客情報は漏れていないとしている。

 不正アクセスは3月初めの社内調査で発覚した。手口を含めた詳細は調査中だという。日経新聞広報室は「ご迷惑とご心配をおかけしたことをおわびします。再発防止に努めます」とコメントした。

2. 2021年5月27日 12:12:36 : GPcAd90O4Y : MmJSNUZ5bjBwYU0=[1] 報告
国交省やNISCも内部情報流出 富士通へ不正アクセス
https://www.chunichi.co.jp/article/261128

 国土交通省と内閣サイバーセキュリティセンター(NISC)は26日、システム運用を委託する富士通の情報共有ツールに対する不正アクセスで内部情報が流出したと発表した。国交省職員らのメールアドレス少なくとも約7万6千件分が含まれる。有識者会議メンバーなど省外関係者のアドレスもあり、個別に連絡する。
 不正アクセスを受けたのは、富士通が社内外の関係者と情報を共有するツール。同社は25日、複数の法人顧客から預かった情報が盗まれたと発表していた。
 NISCは行政機関のサイバー攻撃対策を統括する組織。システム構成のパソコン製品名や保守日程などが外部に流出したとみられる。

  拍手はせず、拍手一覧を見る

★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。