【ログ解析編】Sysmon・auditd・Event Logを横断して攻撃を見抜く｜CTF思考フレームワーク #45

こんにちは、アンペンです！

今回はフォレンジック4領域の最後、ログフォレンジックです。複数のサーバや端末・クラウドから集まったログをSIEMでまとめ、時系列で侵入の流れを組み立てる手法を整理します。

ログは事後調査の基盤であり、平時の転送・保管が9割を決める領域です。

ログって、サーバごとにバラバラに残ってるよね？どうやって突き合わせるの？

SIEM(Security Information & Event Management)に集めて『同じ時刻軸』で並べる。違うサーバの違うログでも、時刻を揃えれば1本の物語になるんだ。

フォレンジック4領域も、今回のログでいよいよ最後。前の3つ（ディスク・メモリ・ネット）が“1か所を深く掘る”作業だったのに対し、ログは“バラバラの記録を1本につなぐ”のが仕事です。Webサーバ、認証サーバ、クラウド……それぞれが自分の見た範囲しか知りません。その断片を集めて時系列に並べると、攻撃の全体像が物語のように立ち上がる。今日はそのまとめ役、SIEMを見ていきます。

ログは『分散している証言』を集める作業

1つの攻撃でも、痕跡は色んな場所に残ります。Webサーバにはアクセスログ、DBサーバにはクエリログ、認証サーバにはログインログ、クラウドには監査ログ。これらを1つの時間軸でまとめないと、全体像は見えません。

なぜ、こんなにバラバラに残るのか。それは、各システムが“自分の担当範囲しか見ていない”から。Webサーバは『アクセスが来た』ことは知っていても、その後その人がDBで何をしたかは知りません。認証サーバは『ログインした』ことしか知らない。一人ひとりの“目撃者”は、事件の一部しか見ていないんです。だから、全員の証言を集めて突き合わせないと、真相は見えてこない。それがログ解析の出発点です。

図解：集めるべきログソースの全体像

各サーバ・端末・クラウドからログをSIEMへ転送し、1つの時刻軸で正規化します。これにより『どのサーバで・誰が・何をしたか』が連鎖して見えるようになります。

ここで地味だけど決定的に大事なのが『時刻を揃える』こと。各サーバの時計が少しずつズレていたら、証言の順番がぐちゃぐちゃになります。Aサーバの“10時00分”とBサーバの“10時00分”が、実は3分ずれていたら——攻撃の前後関係が逆転して見えてしまう。だから全サーバの時計をNTPでぴったり合わせておくのが、相関分析の大前提なんです。これは後の守りの話で、もう一度触れます。

『SIEM』という言葉、難しそうですが、やっていることは“ログの司令塔”です。あちこちから届く、書式もバラバラなログを受け取り、①同じフォーマットに整え（正規化）、②時刻を揃え、③まとめて検索できるようにする。たとえるなら、各地から方言で届いた手紙を、全部標準語に直して時系列に綴じる編集者のような存在。これがあるかないかで、調査のスピードが何倍も変わります。

主要ログソースを覚えよう

最低限おさえる5カテゴリ

• OSログ：Windows Event Log(Security/System/PowerShell), Linux journal/syslog
• 認証ログ：AD・LDAP・SSO(Azure AD/Okta)・sshd
• アプリログ：Web Serverアクセスログ・DBクエリログ・APサーバログ
• EDR/EPPログ：プロセス作成・通信・ファイル操作の検知
• クラウド監査ログ：CloudTrail(AWS) / ActivityLog(Azure) / AuditLog(GCP)

WindowsならEvent ID 4624(ログオン成功)・4625(失敗)・4688(プロセス作成)・4104(PowerShellスクリプトブロック)あたりは頻出です。覚えておくと初動が早くなります。

ここで出てきた“4桁の数字”——4624や4688——は、Windowsの『出来事の通し番号』です。最初はとっつきにくいですが、よく出る数字をいくつか覚えておくと、調査が一気に速くなります。「4625（ログイン失敗）がずらっと並んで、最後に4624（成功）が1つ」——これだけで“パスワード総当たりが成功した”と読める。数字を“事件のサイン”として覚える。これがログ解析の上達の近道です。

『相関分析』で侵入の物語を組み立てる

SIEMの真価は相関分析(correlation)にあります。単一ログだけでは『普通のログオン』に見えても、複数ログを並べると怪しさが浮き彫りになります。

相関分析の典型例

• 22:30 海外IPから複数アカウントでログイン失敗(4625)
• 22:42 同IPから1アカウントでログオン成功(4624)
• 22:43 PowerShell起動(4104) + 外部への通信(EDR)
• 22:45 クラウド監査ログに新規IAMユーザー作成(CloudTrail)

これらを1本の時系列に並べると、ブルートフォース→侵入→足場拡大→永続化、という攻撃の流れがはっきり見えます。

ここがこの回のハイライト。さっきの一つ一つのログ、単体で見たら“どれも普通”ですよね。海外からのログイン失敗も、PowerShellの起動も、IAMユーザーの作成も、それぞれは日常的に起こりうる。でも、これらが“数分のうちに、同じ相手から、立て続けに”起きていたら？——その並びこそが、攻撃の動かぬ足跡です。点では無実に見える出来事が、線でつなぐと有罪になる。これが相関分析の力です。

練習は、小さなSIEM（Wazuhなど無料のものでOK）を自分のVMに立てて、複数のログを集めてみることです。SSHのログイン失敗を何回かわざと起こして、それがSIEMの画面に時系列で並ぶのを見る——「おお、つながった！」という体感が、相関分析の理解を一気に深めます。もちろん対象は自分のラボだけで。

CTFでやってみよう：自分のVMでログ集約を体験

守りで意外と軽視されがちなのが、さっきも出た『時刻合わせ』です。会話で押さえましょう。

ログさえ全部集めておけば、あとから時系列に並べられるよね？

集めるのは大前提だけど、もう一つ“隠れた落とし穴”があるんだ。それが各サーバの時計のズレ。サーバごとに時刻が数分ずれていたら、せっかく集めたログを並べても、出来事の前後がデタラメになる。「成功が失敗より先に記録される」なんて矛盾が起きたら、もう物語は読めない。だからNTPで全サーバの時計をきっちり合わせておくことが、地味だけど決定的に重要。あと、攻撃者はログを消すから、生まれた瞬間に外へ転送しておくのも忘れずに。集める・揃える・守る、の3点セットだよ。

守る側の対策：『転送・改ざん防止・保管』

攻撃者はログを消すのが定石です。守る側は『現場のログだけに頼らない』設計にしておきます。

『現場のログ』だけじゃ消されちゃうから、先に外に出すんだね。

そう。これで4領域編は完結。次回からはフォレンジック応用編。ステガノグラフィー(画像に情報を隠す技術)から入っていくよ。

ここまでをひと言で言うと、ログ解析は『集めて・揃えて・物語にする』。あちこちに散った証言をSIEMに集め、時刻を揃え、相関で1本の流れにする。そして、その証言が消されないよう、生まれた瞬間に外へ逃がしておく。フォレンジック4領域の締めくくりにふさわしい、“全体をつなぐ”技術です。

まとめ：『集めて・揃えて・物語にする』

今日の持ち帰りは『点を集め、時間で結べば、線になる』です。1台のログ、1つのイベントだけでは、攻撃はなかなか見えません。でも、バラバラの証言を同じ時間軸に並べた瞬間、無実に見えた点々が、くっきりとした攻撃の線に変わります。集める・時刻を揃える・改ざんさせない——この3つが、ログという“最後の証人”を守り抜くコツです。

次回からはフォレンジック応用編。まずはステガノグラフィー、ファイルや画像に情報を隠す技術を扱います。

次に読みたい記事

参考資料