ログ解析
ログイン失敗ログの読み取り
連続したログイン失敗とその後の成功ログから、追加確認が必要な兆候を読み取る演習です。
- 難易度
- 初級
- 所要時間
- 約9分
- カテゴリ
- ログ解析
- 保存
- 未完了
学ぶこと
- 失敗ログだけでなく成功ログとのつながりを見る
- 時刻、送信元、対象ユーザーをセットで確認する
- 初動で残すべきログ項目を整理する
前提知識
- 認証ログの基本
- MFAとセッションの概要
シナリオ
SaaSの監査ログで、同じユーザーに対するログイン失敗が短時間に続き、その直後に成功イベントがありました。あなたは最初に確認すべき点を判断します。
与えられた素材
2026-05-17T09:01:03+09:00 user=staff01 result=failed ip=198.51.100.40 reason=bad_password
2026-05-17T09:01:19+09:00 user=staff01 result=failed ip=198.51.100.40 reason=bad_password
2026-05-17T09:01:37+09:00 user=staff01 result=failed ip=198.51.100.40 reason=bad_password
2026-05-17T09:02:10+09:00 user=staff01 result=success ip=198.51.100.40 mfa=passed
2026-05-17T09:02:44+09:00 user=staff01 action=session_created ip=198.51.100.40IPアドレスは文書用の予約アドレスです。
フラグを入力する
このログで見落としたくない確認観点を示すフラグを入力してください。形式: CYBERLENS{...}
入力値は小文字化し、空白を除去してSHA-256で照合します。入力内容は保存されません。
Hints
段階ヒント
- Hint 1
失敗が続いたことだけでなく、その直後に成功している点を見ます。
- Hint 2
MFAがpassedでも、本人操作かどうかは別途確認が必要です。
- Hint 3
対象ユーザー、送信元、成功後のセッション作成をセットで見ます。
ヒントを全部見ても詰まる場合は、解説を読んでから復習できます。 解説表示は正解扱いにはせず、完了状態とは分けて保存します。
Solved
解説
正解は、連続失敗後の成功イベントを追加確認する判断です。このログだけで侵害とは断定できませんが、同一送信元から短時間に失敗が続き、その後にMFA通過とセッション作成が発生しています。実務では、本人確認、端末・所在地の妥当性、MFA方式、同時刻の別サービスログ、成功後の操作内容を確認します。
防御・実務での確認ポイント
- ログイン失敗件数だけでなく、直後の成功とセッション作成を見る
- MFA通過ログがあっても、本人操作と断定しない
- 対象ユーザー、送信元、時刻、MFA方式、成功後の操作を記録する
- 不審な場合はセッション失効、パスワード変更、MFA再登録確認を検討する