職業プログラマの休日出勤

職業プログラマによる日曜自宅プログラミングや思考実験の成果たち。リアル休日出勤が発生すると更新が滞りがちになる。記事の内容は個人の意見であり、所属している(いた)組織の意見ではない。

本当に、そのログ間引いて大丈夫?

今日話題になっていた記事の中に、またまた警察の捜査の不手際を紹介するものがありました。
it-giron.com

情報セキュリティをチョットカジッタ人間として、警察の捜査手法についてあれこれ言いたいことは山ほどありますが、その中から1つの問題を取り上げておきたいと思います。

問題の箇所は、上記の記事の、この部分です。

「警察がレンタルサーバー会社に情報照会した時に渡したアクセスログから、関係者のIPアドレスを事前に削除した上で、情報提供をしてくれれば良かったのに。」
この発言の意味するところは、IPをこちらが削除した上でアクセスログを渡していれば、間違って私の自宅に来ることなく捜査が空振りになることもなかったという意味だろうと解釈した。

https://it-giron.com/25

以下、この警察官の発言の通りにログを削除(間引き)した場合に、どうマズいことになるのか、簡単な解説です。

消したログからわかるかもしれないこと

  • 真犯人が内部の者だったときに、その捜査の手がかり
  • 内部の者の設備が他者に操作されて犯行に使用された場合、その捜査の手がかり

じゃあ、どうするべきなのか?


本件のレンサバ(レンタルサーバ)の管理会社の人の立場としては、次のような姿勢でいると良いと思います。

  • ログの全文は、これだよ
  • 別添えの、このリストの人たちは社内の人や外注先の人たちだよ
  • 社内の人たちや外注先の人たちはたぶんシロだと思うけど、その最終的な判断は警察で下してね

当然のことながら、警察はレンサバ管理会社の人がこのように判断するように、捜査の協力を要請するべきです。

別の事案

数年前、某リバースプロキシ製品のベストプラクティス(おすすめ運用手法)を紹介する某社のブログ記事で、こんなものがありました。

これが不適切な点は、外部の攻撃者がHTTP(S)リクエストを以って攻撃を仕掛ける際に、User-Agent をリバースプロキシのものと同じにしていれば、
攻撃を受ける側としては、ログが残らずに攻撃に気付きにくくなったり、攻撃を受けた後に攻撃元を探るのが(ただでさえ激ムズなのに)困難になってしまう、というものです。

リバースプロキシ製品の中には、HTTPヘッダを除去・付与・上書きしてくれるものがあるので、リバースプロキシが付与するような信頼しても良い情報に基づいてログの破棄を判断するべきです。

さいごに

警察さん、頑張っておくれやす。