JPCERT、侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの特徴に関する記事を公開
2024年11月8日(金)
JPCERTは、侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの特徴に関する記事を公開した。
昨今のセキュリティインシデントの傾向から、VPN機器の脆弱性が悪用される可能性が高いことが知られている。被害発生時に想定される侵入経路は複数あることが多く、調査に手間と時間がかかってしまうケースが多い。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノートなどをもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要になる。
JPCERTは、攻撃グループ特定のサポートとして、Windowsイベントログの情報が使用できる可能性があるかについて調査した結果について公開した。調査では、ランサムウェアによってはWindowsイベントログに痕跡を残すものが存在することを確認しており、その特徴をもとにランサムウェアの推定が可能な場合があることを確認している。今回、調査に使用したWindowsイベントログは、「アプリケーションログ」「セキュリティログ」「システムログ」「Setupログ」の4つ。
JPCERTは、被害発生時の初動でWindowsイベントを調査することによって、ランサムウェアを特定し、被害拡大防止に役立ててほしいとしいる。
記事本文
昨今のセキュリティインシデントの傾向から、VPN機器の脆弱性が悪用される可能性が高いことが知られている。被害発生時に想定される侵入経路は複数あることが多く、調査に手間と時間がかかってしまうケースが多い。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノートなどをもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要になる。
JPCERTは、攻撃グループ特定のサポートとして、Windowsイベントログの情報が使用できる可能性があるかについて調査した結果について公開した。調査では、ランサムウェアによってはWindowsイベントログに痕跡を残すものが存在することを確認しており、その特徴をもとにランサムウェアの推定が可能な場合があることを確認している。今回、調査に使用したWindowsイベントログは、「アプリケーションログ」「セキュリティログ」「システムログ」「Setupログ」の4つ。
JPCERTは、被害発生時の初動でWindowsイベントを調査することによって、ランサムウェアを特定し、被害拡大防止に役立ててほしいとしいる。
(川原 龍人/びぎねっと)
[関連リンク]記事本文
その他のニュース
- 2024/11/8 JPCERT、侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの特徴に関する記事を公開
- 2024/11/8 Androidアプリの統合開発環境「Android Studio」にAIを活用したコンパニオンを導入
- 2024/11/6 「curl 8.11.0」リリース
- 2024/11/6 Microsoft、システムツールセット「Microsoft PowerToys 0.86.0」リリース
- 2024/11/6 デスクトップ環境「LXQt 2.1.0」リリース
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。