サイバー攻撃の痕跡はどこに? JPCERT/CCが指南

攻撃ツールやマルウェアなどが実行された痕跡がWindows上に残りやすいポイントなどを紹介している。

» 2016年06月28日 16時30分 公開
[國谷武史ITmedia]
調査したツールやコマンド(一部)

 JPCERT コーディネーションセンター(JPCERT/CC)は6月28日、「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」を公開した。サイバー攻撃などでツールを実行した際にどのような痕跡がWindows OSに残るのかを検証している。

 報告書は、セキュリティ対策の検討や導入、インシデントの初期調査で高度な専門知識を有していない担当者でも利用できるように作成したという。JPCERT/CCが調査したインシデントで実際に使用されていた攻撃ツールやコマンドなど44種類について、それらが実行された場合の情報の詳細や確認方法を紹介している。

 近年のサイバー攻撃では、マルウェアの拡散や企業システムの探索活動などの際に、セキュリティ機器による検知を逃れる目的から、Windows OS標準のコマンドが使用される場合があるという。ただ、Windowsの標準設定のままでは痕跡が残らない場合があり、事前に適切な設定にしておくことが必要なため、報告書では監査ポリシーの設定とSysmonをインストールしてプロセスや通信の詳細なログを取得し、ツールやコマンドの実行を記録する方法を説明している。

攻撃などの成否を確認するポイント(同)

 JPCERT/CCでは今後、別のツールやコマンドについても検証を進める予定。MFTやジャーナルファイルなど、フォレンジック調査する場合の確認方法についても調べていくという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ