アクセスログの解析技術 :: 所長のつぶやき

最近は、通信ログがどの程度信用できるのか?

ということで、とある情報の一例を示すことにします。

[HTTP_ACCEPT_ENCODING] => gzip, deflate [HTTP_ACCEPT_LANGUAGE] => ja [HTTP_CONNECTION] => Keep-Alive [HTTP_HOST] => www.****.***.jp [HTTP_USER_AGENT] => Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) [HTTPS] => on [nokeepalive] => 1 [PATH] => /sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin [REMOTE_ADDR] => 20*.***.***.*** [REMOTE_HOST] => ppp3348.***.***.jp [REMOTE_PORT] => 1630[SCRIPT_FILENAME] => ****/test.php [SERVER_ADDR] => 21*.***.***.*** [SERVER_ADMIN] => info@***.**.jp [SERVER_NAME] => www.***.**.jp [SERVER_PORT] => 443

ホームページにアクセスするとこんな情報が表示されることに気づかず驚かれることと思います。

実はホームページにアクセスするとこのような情報をやり取りした後、一般的に言うHTMLを読み込む仕組みになっています。

アクセスログは、その最初に通信でやり取りする記録の一部に過ぎず、厳密に記録をとることで精度が高まります。

ただ、数字の羅列だけではわかりづらいため、一覧にしたり日本語で解説を入れたりしているのです。

この情報ひとつで、その後にとった行動と照らし合わせると、事件が起きた際もあっさり足取りをつかむことが出来ます。

これが、最近多い「IP公開」と言われる手法です。

IP公開は、俗に言う記帳する行為に近いと言われており、記帳簿の一部を開示したものです。

一般プロバイダの場合は、番号順に振っているだけですが、同じ番号順でも民間企業・官公庁のアドレスでアクセスしたら、一発でばれてしまうということも多々あります。

そうなれば、民間企業***.**.co.jpからアクセスがあれば、すぐに犯人を捕まえることは可能です。※所有会社が協力した場合に限ります。

ただ、前提となるのが「証拠資料を的確に準備できるか?」という点であり、犯人より前に保全する必要があるといえます。

いずれにしても、IPアドレスは一度アクセスすると削除することは出来ないため、つい先日もイーバンクで不正アクセス事件がありましたが、まさに対策をとった手法は同じことといえそうです。

イーバンクが民間企業である故、すぐに犯人特定にはいたっておりません。

IPアドレスから芋づる式で見つけ出すことは容易であっても、資料を積み上げることは困難に思えてなりません。