イベントログの課題と対策

39

Elirks 標的型攻撃利用マルウェア。別名 Klurpなど。

PWDump7 ハッキングツール。パスワード奪取ツール。

mimikatz ハッキングツール。パスワード奪取ツール。

WCE ハッキングツール。パスワード奪取ツール。

gsedump ハッキングツール。パスワード奪取ツール。

PsExec リモート管理ツールだが攻撃にも利用される。同種に

PsExeSvc。Microsoftの正規リリース。

これらの単語が含まれる検知名だった場合は、単なるコンピュータウイルスではなく、

なんらかの攻撃、またはその兆候である可能性があるため、管理者へ連絡をしてほしいと 周知することは、ひとつの攻撃対策になると考えられる。

40

 「管理ツール」-「イベントビューアー」-「カスタムビュー」-カスタムビューの作 成

図 4.1-1

では、設定例として、イベントログ種類を「Microsoft-Windows-TerminalServices-LocalSesssionManager」、イベントIDを「21」で「正常ログイン」を

指定したカスタムビュー設定を示しており、図 4.1-2ではそのカスタムビュー表示を示し た。このようにフィルターすることで、わかりやすく表示できる。なお、このカスタムビ ューはエクスポートすることができるので、別のPCでインポートして利用することもで きる。

図 4.1-1 カスタムビュー設定例

図 4.1-2 カスタムビュー表示例

41

タスクスケジューラによるイベント検知

「タスクスケジューラ」には、特定のトリガーを検知すると、あらかじめ指定した操作 を実行する機能がある。この特定のトリガーを「イベントログの種類」「イベントID」と 指定し、「操作」として、「プログラムの開始」「電子メール送信」「メッセージの表示」を 実行できる。以下の箇所で設定できる。

 「管理ツール」-「タスクスケジューラ」-「タスクスケジューラライブラリ」-タス クの作成

今回の感染PCでは、Windows OS標準のセキュリティ対策アプリケーションである

Windows Defenderが有効化¹¹されていた。Windows Defenderのログはアプリケーショ

ン「Windows Defender」のイベント（イベントビューアー/アプリケーションとサービス ログ/Microsoft-Windows-Windows Defender）として出力される。図 4.1-3では、トリガ ーとして「Windows Defenderが動作した際に出力されるOperationalとWHCのイベン ト発生時」を指定し、操作を図 4.1-4で「メッセージの表示」を設定している。この例で は、これらのイベントが発生すると、デスクトップ上に「Windows Defenderイベントが 発生しました」というポップアップが表示される。このタスクスケジューラについてもエ クスポート可能なので、別PCと共通設定は可能だ。

図 4.1-3 タスクスケジューラトリガーの設定例

11 ウイルス対策ソフトとWindows Defenderの共存は、Windows OSバージョンとウイ ルス対策ソフトのバージョンの組み合わせによってはサポート対象外となったり、自動的 に無効化される等、無効化を推奨しているメーカーもある。

42

図 4.1-4 タスクスケジューラ操作の設定例

なお、この「タスクスケジューラ」の「操作」設定については、Windows8以降は、こ の「電子メールの送信」と「メッセージの表示」が非推奨となっている。代替手段として は、「操作」を「プログラムの開始」とし、OS標準のメッセージ送信コマンドである

「msg.exe」を使えば同様の「デスクトップ画面にメッセージを表示させる」事が可能 だ。

攻撃検知につながる監査ポリシーの追加

イベントログはデフォルトでは取得できないものも、追加設定を行うことで取得可能で ある。３章であげた「初期感染の永続化」や「横移動の挙動」に関連する可能性のあるイ ベントIDとして代表的なものを表 4.1-2に示す。以下の箇所で設定する。

 「管理ツール」-「ローカルセキュリティポリシー」-「セキュリティの設定」-「監 査ポリシーの詳細な構成」-「システム監査ポリシー」-ポリシーを編集

43

表 4.1-2 監査ポリシー設定例

イベントID 内容 監査ポリシー設定箇所

4688 プロセスの作成イベント。プログラムの

実行記録が取得できる。しかし、大量に 出力される。

詳細追跡

-プロセス作成の監査

4697 システムの拡張イベント。サービスイン

ストールを出力。永続化を検知できる可 能性あり。

システム

-セキュリティシステムの拡張

5140 ファイル共有イベント。ファイル共有経

由でのアクセスを出力。横移動時の管理 共有へのアクセスを検知できる可能性あ り。

オブジェクトアクセス -ファイル共有の監査

例として、「イベントID 4688」を追加取得するために、「詳細追跡」で「プロセス作成 の監査」の設定を図 4.1-5に示す。この「プロセス作成の監査」は、プロセスの起動、つ まりプログラムの実行を記録する事ができる。しかし、当然ながら正規のプログラムの起 動も取得することになるため、出力が大量となることには注意が必要だ。しかしながら、

調査時において「プログラムの起動がいつから始まり、いつ実行されているか」を特定す るのは困難であることが常であるため、このプロセスの実行ログが残されていると、大変 有用である。

図 4.1-5 監査ポリシーの追加例

44

イベントログはログファイル単位で最大ファイルサイズやアーカイブ設定が可能であ る。例えば表 4.1-2のセキュリティログはデフォルトで「20Mbytes」である（図

4.1-6）。必要に応じてサイズ変更やアーカイブ後のバックアップの取得を設定することを 推奨する。

図 4.1-6 ログプロパティ例

SID とアカウントの紐付け

イベントログへの出力には、その要素のひとつであるユーザー名が出力されずに、OS 内での管理番号であるSID¹²で出力されているケースがある。SIDは数値の羅列で表現さ れることとユーザーだけでなくグループ等のオブジェクトにも付与されているため、ぱっ と見では判別しにくい。自身が普段利用しているユーザーアカウントのSIDは確認してお くことをお奨めする。下記コマンドで確認できる。

図 4.1-7 whoami 出力例

12 Security Identifier。セキュリティ識別子。ユーザーアカウントやグループ等のオブジ

ェクトに付与される。

C:¥Windows¥system32>whoami /user USER INFORMATION

ユーザー名 SID

============ ==============================================

PC-01¥user S-1-5-21-1430733546-1715160729-1453623360-8864

45