PC での外部通信ログの取得

45

46

一般的に攻撃痕跡を調査するためのログ取得箇所は、「プロキシサーバ」「Firewall」と いったサーバやゲートウェイでの取得を指摘することが多い。組織全体を見ることのでき るという点で、これらの箇所でのログ取得は大変重要であるが、PC側でもある程度、近 しいログ取得が可能である。PCが利用するサーバと連動するクライアントソフトやクラ イアント側のゲートウェイでログを取得すれば、ほぼ同じ内容が取得できる。例えば、PC はWebブラウザからのHTTP要求に対しては、「DNSクライアント」と「Windows ファ イアウォール」が動作して初めてプロキシサーバへHTTP要求が届くような仕組みで動作 している。このDNSクライアントと、Windowsファイアウォールのログ取得を行うこと で、このPCの外部通信を記録することができる。PC側で取得する利点は、サーバ側の 組織全体での取得に比べて、比較的容易に実装できる点や、感染嫌疑PCが特定されてい る場合の調査に適しているなどがある。

下記2つの取得方法を紹介する。

 DNSクライアント動作ログの取得（DNSキャッシュ）

 Windowsファイアウォールのログ取得

DNS クライアント動作ログの取得

WindowsOSでは、DNSクライアントのログ取得機能はないが、DNSクライアントの

機能のひとつである、DNSキャッシュを取得することで、DNSクライアントの問合せ記 録とすることができる。コマンドと実行例を図 4.2-2に示す。

図 4.2-2 DNS キャッシュの表示例

DNSキャッシュの保持時間は、デフォルトでは86400秒（1日）であり、再起動時に その内容は初期化される。C2サーバとの通信は、すべてのマルウェアで1日以内に必ず

>ipconfig /displaydns Windows IP 構成 bak.****mails.com

--- レコード名 . . . : bak.****mails.com レコードの種類 . . . : 1

Time To Live . . . .: 2937 データの長さ . . . . : 4 セクション . . . : 回答

A (ホスト) レコード. . . : 192.168.250.3

47

発生するわけではないが、通信していた場合は、このDNSキャッシュにその通信が記録 される可能性がある。例えば、このキャッシュ表示をファイルに出力するバッチファイル を、PCがシャットダウンする際に自動実行される「シャットダウンスクリプト」に定義 しておけば、その問合せ記録は保存できる。この「シャットダウンスクリプト」の設定は 以下箇所で設定できる。

 「コマンドプロンプトを管理者として実行」-「gpedit.msc」-ローカルグループポ リシーエディターを起動（図 4.2-3）

図 4.2-3 コマンドプロンプトでの実行例

ローカルグループポリシーエディターでの設定箇所を図 4.2-4と図 4.2-5に示す。

図 4.2-4 ローカルグループポリシーのスクリプト指定

図 4.2-5 シャットダウンスクリプトの追加

C:¥Windows¥system32>gpedit.msc

48

Windows ファイアウォールのログ取得

Windows ファイアウォールのログ取得は、Windows ファイアウォールのプロパティで

設定可能である。以下の箇所で設定する。

 「管理ツール」-「セキュリティが強化されたWindowsファイアウォール」-「ロー カルコンピューターのセキュリティが強化されたWindowsファイアウォール」プ ロパティ

設定箇所を図 4.2-6と図 4.2-7に示す。

図 4.2-6 Windows ファイアウォールプロパティ

図 4.2-7 ログ設定箇所

49

Windows ファイアウォールの設定は、「パブリック」「ドメイン」「ホームネットワー

ク」のそれぞれのプロファイル単位で設定が可能である。ネットワークプロファイルを考 慮して、必要なプロファイルを選択して設定する。図 4.2-7のように、ログファイルの保 存先やサイズ制限を設定することができる。ログ取得例を図 4.2-8に示す。

図 4.2-8 Windows ファイアウォールログの例

注意点は、ここでの記録はすべてIPアドレスで記録されるため、送信先のFQDNが記 録されないことである。