今日話題になっていた記事の中に、またまた警察の捜査の不手際を紹介するものがありました。
it-giron.com
情報セキュリティをチョットカジッタ人間として、警察の捜査手法についてあれこれ言いたいことは山ほどありますが、その中から1つの問題を取り上げておきたいと思います。
問題の箇所は、上記の記事の、この部分です。
「警察がレンタルサーバー会社に情報照会した時に渡したアクセスログから、関係者のIPアドレスを事前に削除した上で、情報提供をしてくれれば良かったのに。」
https://it-giron.com/25
この発言の意味するところは、IPをこちらが削除した上でアクセスログを渡していれば、間違って私の自宅に来ることなく捜査が空振りになることもなかったという意味だろうと解釈した。
以下、この警察官の発言の通りにログを削除(間引き)した場合に、どうマズいことになるのか、簡単な解説です。
消したログからわかるかもしれないこと
- 真犯人が内部の者だったときに、その捜査の手がかり
- 内部の者の設備が他者に操作されて犯行に使用された場合、その捜査の手がかり
じゃあ、どうするべきなのか?
ほんとお疲れ様としか。。ところで、IPアドレスを含むアクセスログを提出する際、管理者のIPのものを削除するのではなく、管理者IPアドレスのリストを別添えするべきですよね。 / “サイバー警察に家宅捜索を受けた際の体験談” https://t.co/sFYMErD66V
— 自宅適合者 T.Motooka (@t_motooka) June 27, 2018
本件のレンサバ(レンタルサーバ)の管理会社の人の立場としては、次のような姿勢でいると良いと思います。
- ログの全文は、これだよ
- 別添えの、このリストの人たちは社内の人や外注先の人たちだよ
- 社内の人たちや外注先の人たちはたぶんシロだと思うけど、その最終的な判断は警察で下してね
当然のことながら、警察はレンサバ管理会社の人がこのように判断するように、捜査の協力を要請するべきです。
別の事案
数年前、某リバースプロキシ製品のベストプラクティス(おすすめ運用手法)を紹介する某社のブログ記事で、こんなものがありました。
- 当該リバースプロキシは、Webサーバ・アプリケーションサーバの死活監視を定期的に実施する
- Webサーバ・アプリケーションサーバは、その死活監視のアクセスログが大量に記録される
- 死活監視のHTTPリクエストは、◯◯という User-Agent で飛んでくるから、ディスク容量の節約のために、そのUAのログは記録せずに破棄しましょう
これが不適切な点は、外部の攻撃者がHTTP(S)リクエストを以って攻撃を仕掛ける際に、User-Agent をリバースプロキシのものと同じにしていれば、
攻撃を受ける側としては、ログが残らずに攻撃に気付きにくくなったり、攻撃を受けた後に攻撃元を探るのが(ただでさえ激ムズなのに)困難になってしまう、というものです。
リバースプロキシ製品の中には、HTTPヘッダを除去・付与・上書きしてくれるものがあるので、リバースプロキシが付与するような信頼しても良い情報に基づいてログの破棄を判断するべきです。
さいごに
警察さん、頑張っておくれやす。