JPCERT、侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの特徴に関する記事を公開
2024年11月8日(金)
JPCERTは、侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの特徴に関する記事を公開した。
昨今のセキュリティインシデントの傾向から、VPN機器の脆弱性が悪用される可能性が高いことが知られている。被害発生時に想定される侵入経路は複数あることが多く、調査に手間と時間がかかってしまうケースが多い。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノートなどをもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要になる。
JPCERTは、攻撃グループ特定のサポートとして、Windowsイベントログの情報が使用できる可能性があるかについて調査した結果について公開した。調査では、ランサムウェアによってはWindowsイベントログに痕跡を残すものが存在することを確認しており、その特徴をもとにランサムウェアの推定が可能な場合があることを確認している。今回、調査に使用したWindowsイベントログは、「アプリケーションログ」「セキュリティログ」「システムログ」「Setupログ」の4つ。
JPCERTは、被害発生時の初動でWindowsイベントを調査することによって、ランサムウェアを特定し、被害拡大防止に役立ててほしいとしいる。
記事本文
昨今のセキュリティインシデントの傾向から、VPN機器の脆弱性が悪用される可能性が高いことが知られている。被害発生時に想定される侵入経路は複数あることが多く、調査に手間と時間がかかってしまうケースが多い。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノートなどをもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要になる。
JPCERTは、攻撃グループ特定のサポートとして、Windowsイベントログの情報が使用できる可能性があるかについて調査した結果について公開した。調査では、ランサムウェアによってはWindowsイベントログに痕跡を残すものが存在することを確認しており、その特徴をもとにランサムウェアの推定が可能な場合があることを確認している。今回、調査に使用したWindowsイベントログは、「アプリケーションログ」「セキュリティログ」「システムログ」「Setupログ」の4つ。
JPCERTは、被害発生時の初動でWindowsイベントを調査することによって、ランサムウェアを特定し、被害拡大防止に役立ててほしいとしいる。
(川原 龍人/びぎねっと)
[関連リンク]記事本文
その他のニュース
- 2024/12/25 プログラム言語「Ruby 3.4.0/3.4.1」リリース
- 2024/12/25 Apple Silicon向けの「Fedora Asahi Remix 41」リリース
- 2024/12/24 「PHP 8.4.2」リリース
- 2024/12/24 Arch Linuxをベースとした「CachyOS」の2024年12月版リリース
- 2024/12/23 システム管理者向けライブLinuxディストリビューション「Grml 2024.12」リリース
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
全文検索エンジンによるおすすめ記事
- JPCERT/CC、2021年第1四半期に確認されたサイバー脅威の総括を発表
- OSSにおけるセキュリティ技術の必要性
- JPCERT/CC、WindowsのSysmonログを可視化して端末の不審な挙動を調査する「SysmonSearch」を公開
- JPCERT/CC、WindowsのSysmonログを可視化して端末の不審な挙動を調査する「SysmonSearch」を公開
- JPCERTが2019年第4四半期のインシデント報告対応レポートを発表、マルウェア「Emotet」の相談が増加
- JPCERT/CC、「攻撃者が悪用するWindowsコマンド」を発表
- ダークトレース・ジャパンが2021年1〜10月におけるサイバー脅威の現状とその対応を説明
- 「CL All Hands」を支えたリーダーの視点 ークリエーションラインの全社員参加型イベント成功の裏側
- 大流行中のランサムウェア「WannaCry」感染状況をリアルタイムに表示するマップが公開される
- 大流行中のランサムウェア「WannaCry」感染状況をリアルタイムに表示するマップが公開される