ログ解析の話

Photo by Jacob Miller on Unsplash

セキュリティ・インシデントが発生した場合には、様々なログの解析が必要となる。
例えば標的型攻撃の被害を受けた場合、マルウェアを含むメールを開封してしまったPCのログに加え、FireWallやIDS/IPSといったゲートのログ、サーバのOSやDBMSのログなどが多面的に解析される。
しかし複数かつ大量のログを収集し、それらの相関を解析することになるため、もはや人手では困難であり、そのためのテクノロジーを導入せざるを得ない。
それが昨今、SIEM (Security Information and Event Management)と呼ばれる、ログの一元管理のソリューションである。

何はともあれインシデントに備えるには、ある程度の期間にわたってログを保管していなければ話にならない。
そういうわけで、こんな個人のちっぽけなブログであってもサーバを管理運営する以上、最低限数か月分のアクセス・ログを保管することにしている。

なお、このサイトにはWAFも導入しているので、HTMLを書き換えられるような攻撃はまず起こらないだろう。（第一、そこまでするようなサイトでもない。）
そんなことよりもっと簡単なのは、コメント欄に嫌がらせの書き込みを残すことである。
この週末、ちょっと時間ができたので、久しぶりにログを追いかけてみたところ、ヘイトまとめサイトへ誘導を促す書き込みが残っていた。
「コレお前の?」とのコメントで、「めら速」の「放射脳」なる記事のURLが書かれていたのである。子供かよ。しょうもない。
そして、さらに同一人物から複数の書き込みを確認したので、この際だから晒すことにした。

• Jupiter Telecommunication からのIPアドレス 27.141.161.200。

内容そのものは、法的に誹謗中傷や名誉棄損に当たるほどのものでもないので、削除に留めておく程度でよかろうと判断した。
しかしエスカレートしてきた場合には、プロバイダ責任制限法に基づき該当ユーザの情報について開示請求をかけることは可能である。
またこの人物に呼応する形で書き込みを残している連中も、So-net や K-Opticomから来ていることが判明している。

個人のブログとはいえ、誰もが目にすることができる形で情報や考えを発信している以上、批判や批評を受けるのは当然であり、またコメントとして是非残していただきたいところだ。
しかしヘイトまとめサイトを引用するような、しょうもないことは全く別の次元の話である。