不足しているログと監視 API10

不足しているログと監視とは？

題名の通りですが、この脆弱性は一見よりも複雑です。APIがログを全く記録しなかったり、ログレベルが不適切に設定されている場合は脆弱ですが、ログメッセージの内容が期待通りであり、十分な詳細が含まれているかどうかも確認する必要があります。

もう一つ難しい点はログの整合性です。たとえば、悪意あるユーザーが特別な文字を挿入し、ログ記録時にその構造を崩してしまう可能性があります。これをログインジェクションと呼び、ログ記録の効果を無効にしかねません。

何を、いつ、どの環境で記録するかを明確に決めたら、これらのログを監視する必要があります。監視がなければ、ログ運用の効果が大きく低下します。

ログだけでなく、APIやインフラ自体も監視することが大切です。

‍

不足しているログと監視はビジネスにどう影響するか？

ビジネスの視点では影響は多方面に及びます。まず、ログには個人情報が含まれることが多く、その情報が外部に漏れるとプライバシー上の問題が生じます。攻撃者からログを守ることは非常に大切です。

同じ理由で、ログに記録されるデータは、他の脆弱性（たとえばXSS）と同様に十分に検証された状態にしておく必要があります。ログを汚染されると、正しく精査されたデータを記録する努力が無意味になってしまいます。

もし十分なログ記録がなければ、攻撃が発生した際の追跡が困難になります。

ログの記録は大切ですが、過剰に記録するとリソースを消費します。ログを大量に記録したり、ログ収集エンドポイントにレート制限を設けなければ、攻撃者がサーバーのリソースを使い果たし、DoS攻撃につながる恐れがあります。

さらに、外部監査が行われた際、監査証跡がなければ意図を証明することができません。

‍

攻撃シナリオの例

ログがCSV形式で記録される場合、攻撃者がこれを把握していれば、カンマ ( , ) のような悪意のある文字を挿入する可能性があります。CSVログではカンマが新しい列と解釈され、コードやログ構造が崩れてしまいます。特にログ監視が行われている場合、監視ツールも特定の形式を期待しているため、列が多すぎる行が現れると動作が乱れることがあります。

name,lastname,email
test,test,test@test.com
test2,test2,test@test.com
test3,te,st3,test@test.com

次の例として、攻撃者がシステムに侵入し、監視ツールに気付かれることなく9年間にわたり顧客のデータにアクセスするケースが挙げられます。実際、過去にこのような事件が発生しています (https://healthitsecurity.com/news/insurer-dominion-national-reports-server-hack-that-began-august-2010)。

‍

不足しているログと監視への対策は？

• 認証に関する呼び出しは、最低限、失敗した呼び出しも含めて記録すべきです。たとえば、403 Forbiddenのステータスコードや入力検証の結果などです。
• ログの記録方法は、ログ管理システムによっても一部決まります。記録するログはそのシステムで活用できる形式にする必要があります。
• ログにはプライバシーを考慮し、十分な注意を払って安全に管理し、転送することが求められます。
• ログ記録は大切ですが、インフラ、APIエンドポイント、ログを常に監視する体制も整える必要があります。侵入があった場合、システムから警告を受ける仕組みを構築してください。
• ‍Security Information and Event Management (SIEM) システムは、API技術スタックや仮想ホスト全体のログを集約するのに役立ちます。
• 攻撃者を早期に捉えるため、環境に適したカスタムダッシュボードと警告設定を行いましょう。
• APIセキュリティソリューションの導入を検討してください。

‍

‍

結論

一見すると不足しているログ記録と監視は大きな問題に見えませんが、内部を詳しく見ると多くの問題が潜んでいます。十分なログがなければ攻撃者は自由に行動でき、たとえ十分なログがあっても、それを監視する体制がなければ意味がありません。このような脆弱性の深刻さを考慮すると、ログ記録と監視は設計段階から組み込むことが重要です。2021年の脆弱性を比較したOWASP Top 10 2021の調査報告も参考にしてください。