三重大学教育学部研究紀要第 71 巻自然科学 (2020)1-13 頁 パソコン内の怪しいマルウェアを見つけ出す方法 山守一徳 松原伸樹 A Method to Check Whether Doubtful Malware is Included in Own PC Kazunori YAMAMOR

パ

パソ

ソコ

コン

ン内

内の

の怪

怪し

しい

いマ

マル

ルウ

ウェ

ェア

アを

を見

見つ

つけ

け出

出す

す方

方法

法

山守一徳

†

_松原伸樹

‡

A

A M

Meetth

ho

od

d tto

o C

Ch

heecckk W

Wh

heetth

heerr D

Do

ou

ub

bttffu

ull M

Maallw

waarree iiss

IIn

nccllu

ud

deed

d iin

n O

Ow

wn

n P

PC

C

Kazunori YAMAMORI

†

_{Nobuki MATSUBARA}

‡

†

_{三重大学教育学部}

‡

_{三重大学総合情報処理センター}

概

概要

要

大学のネットワーク内には、ウィルス感染に気付かずにいる利用者が少なからず存在し、被 害が広がってしまう恐れがある。ウィルス駆除ソフトをダウンロードしてインストールできる 環境にありながら、最新版をインストールせず無頓着に利用を続ける場合だけでなく、ウィル ス駆除ソフトで検出されないウィルスが隠れていたりする。ネットワーク管理者は、ネットワ ークデータの挙動から怪しい端末を見つけることがあるため、そのために役に立つ手法を述べ る。この提案する手法は、ネットワーク管理者だけでなく、Windows を利用する個々人にも役 に立つ手法であり、自分の Windows パソコン上に怪しいマルウェアが動いているのではないか と心配になった時に調べて、マルウェアを突き止める方法である。

キ

キー

ーワ

ワー

ード

ド

コンピュータウィルス、ウィルス対策、セキュリティ対策、FireWall、エンドポイントセキ ュリティ

１

１．

．

は

はじ

じめ

めに

に

ウィルスが自分のパソコンに入り込んで いないかは、ウィルス駆除ソフトでスキャ ンして調べるのが簡単であるが、検出漏れ を起こすことがある。ウィルス駆除ソフト が最新状態になっていない場合には、調べ る能力も激減してしまっており、状態を最 新にするために、ネットワーク接続を続け て更新作業をしてよいかも不安になる。ウ ていない場合もある。 そこで、ウィルス駆除ソフトを使わずに 調べる方法を述べる。 いつどこからウィルスが入り込んだのか を調べたい場合には、できるだけ状態を保 全したまま、パソコンの中を調べたいもの である。再起動することなく、ツールを取 り込んで稼働させることで、怪しいプログ ラムを見つけ出したい。ここで紹介するツ ールは、USB メモリ上などに用意しておき、

ログラムを起動させてパソコン内を調べる ことができるツールである。 大学のネットワークを監視していると、 怪しいデータの流れを見つけることがある。 端末の持ち主にウィルスが入り込んでいな いかを調べて欲しいと頼んでみても、ウィ ルス駆除ソフトが最新になっていなかった り、利用者自身で突き止められない場合が ある。その場合に、ネットワーク管理者が 出向いていき調べる時に使うことができる ツールを挙げる。 実際に大学の現場で、怪しい動きを見つ け、端末上のウィルスを見つけ出した時の 方法についても述べる。

２

２．

．

使

使用

用す

する

るツ

ツー

ール

ル

以下に解説するツールを列挙する。 (1)Virus Total (2)Autoruns (3)Process Hacker (4)ProcessExplorer (5)Process Monitor (6)WinPrefetchView (7)UserAssist (8)TCP Explorer (9)TCPView (10)Wireshark (11)NetworkUsageView (12)HashMyFiles (13)HybridAnalysis (14)urlQuery (15)Cymon

22..11 V

Viirruuss TToottaall

ダウンロードして利用するツールではな く、ファイルを読み込ませてウィルスが含 まれているかを判定してくれるサイトであ る。https://www.virustotal.com/ の英語 サイト(図 1 参照)が本家であり、https: //www.virustotal.com/ja/ の日本語サイ トも開設されているが、最新のウィルスの チェックが反映されるのは英語サイトから であろうと推測されるので、英語サイトを 利用した方が良い。Choose file ボタンを 押して、ファイルを選択し、「Do you want to continue with the upload and get this file scanned?」と聞かれたら OK ボタンを 押すと、ファイルがアップロードされてい き、調査が開始される。分母が 60 程度の 大きな数字で分子が0 という結果になれば 問題はない。分子が１になることもある。 分子が2 以上なら危険なファイルである。 注意しないといけないのは、ファイルが アップロードされていくので、重要機密フ ァイルは、このサイトで調べることをして はいけない。有償サービスの「VirusTotal Intelligence」ではアップロードされたファ イルの情報を入手できるため、セキュリテ ィベンダーなどがマルウェア動向などを研 究する目的で、この有償サービスを利用し てアップロードされたファイルを取得して いる。マクニカネットワークスが調べたと ころ[1]_{では、アップロードされたファイル} は、サンドボックス上で解析されていたり するが、マルウェア解析以外のシステムで 利用されている可能性もあると言われてい る。 VirusTotal は、URL を指定して、危険な ページか調べることができるので、メール 図1 Virus Total の英語サイト画面 刃如"'匹I X ← • (1 Q ① ヽhUpsJ/www面""""-'<=鼻/ ・・・liil

*

1111 Ill三 s;go;o

区

]

V

i

r

u

s

T

o

t

a

l

A~ly,• 印'!'icio"sfil6a"dURLsrod&ect,YP"'ofmalwa~, a"ro=tically由acelhem咄hlhe匹"ri,Yromm""''Y Ale UR< Sea,ch

合

三

本文等に書かれてくる URL が怪しい時には、 この URL 指定の方法でチェックすることが できる。また、検索欄にドメイン名や、Ｉ Ｐアドレス、ファイルのハッシュ値を入れ てメガネの絵のボタンを押すことでも、危 険性を調べてもくれる。ファイルの中に機 密情報が入っているかもしれないファイル の場合は、ハッシュ値を入れる方法で調べ るのが良い。 VirusTotal の弱点は、新しいマルウェア の場合、多くのウィルス対策ソフトで対応 できてない場合があるため、判定が正しく で き て な い 恐 れ が あ る 。 そ の た め 、 DETAILS のタグの中の History の欄の First Submission の日時を確認した方が 良い。これは、VirusTotal に初めて送られ てきた日時を示しており、新しい日付の場 合、新しいマルウェアである可能性が高く なる。

22..22 A

Auuttoorruunnss

Windows Sysinternals という Microsoft 自身が Windows のトラブルシューティング 用に役に立つ無償ツールをいくつか提供し ている。Autoruns はそのツール群の中にあ るツールの一つであり、https://technet. microsoft.com/ja-jp/sysinternals の サ イトには、「毎回起動する迷惑ソフトウェ アの除去」の方法として紹介されている。 https://technet.microsoft.com/ja-jp/ sysinternals/hh237366 のサイトに使い方 が掲載されており、その中では、Publisher 欄が空欄になっているプログラムを見つけ、 「迷惑ソフトウェアかもしれないと思った 時には、まずチェックボックスを外して再 起動し、自動実行されなくなるかまずは確 認してください。」「再起動後に迷惑ソフト ウェアが実行されなくなり、かつ Windows そのものも正常に起動した場合、チェック ボックスを外したプログラムを削除しま す。」という手順が書かれている。正常に動 いている時に Autoruns を実行し、情報を保 存しておくと、怪しいと感じた時に比較し て迷惑ソフトウェアを見つけることができ るとも書いてあるが、正常時から Autoruns の実行結果を保存しておくように仕向ける のは、よほど指導しないと実施しないと思 われる。 https://technet.microsoft.com/ja-jp/ sysinternals/bb963902 から実行ソフトを ダウンロードすることができ、デフォルト では Autoruns.zip のファイル名で保存さ れる。展開すると、Autoruns フォルダがで き 、 そ の 中 に Autoruns.exe と Autorunsc.exe(64bit 版もある)が現れ、 autoruns.exe は GUI のツール、autorunsc. exe はコマンドラインのツールであるため、 Autoruns.exe の方が使い勝手が良い。 Autoruns.exe を起動すると利用の仕方の 同意を求められ Agree ボタンを押す。図 2 のように動き出して、Options のメニュー の Scan Options を選び、Check VirusTotal. com にチェックを入れて Rescan ボタンを押 す。右の方に表示される Virus Totals の欄 の分子の数が 0 だと安心、数が多いのは大 変危険なプログラムである。1 はよくあり 得るので、即アウトとは言えない。さらに、 Options のメニューの Scan Options を選び、 Verify code signatures にチェックを入れ て Rescan ボタンを押す。そして、Publisher の欄に(Verified)と出ていると一応安心で 図2 Autoruns.exe の起動後の画面

匿iAcloruas-Sysi,l=•Iぶ-ぃysmtemol ふ,om

£,le £,t~ Qpt,oas tlelp rillilQ¥llilX胃 F,1tecl I ー ロ x 口c心 。 ロ BootE応血~ 日 加 屯 心 ⑲ 知 I直 ~=-心Ls 亀Wnogon ~Wn磁＂゜wお' ,il吋t如 而s f}LSAP,゜四日'~"'恥沈＂゜"""' ;.(l WM! f]0知 口曰~,加~ ~L咋~ !jE平~~ 徽皿m心tE叫 叩,B幻 如Task, 't,迄双~ ~Dn四' 心 の 印 じ 匹 い 邸 応 菌HKLM'5"'面,c..呵 伍 四 池9血 叫T=ea!如.,.w,,,,.;,wa<St袖 吋 呪r細S 日直l心do RDP初ゥ？ポードモニ炉 r,/M加d)贔 叩 叫W Rわ., 虜HKLM¥SO汀W応"ぽ 匹 叩Wooow,NT¥C...V=oo¥Wno<Joo¥Us呵 直 日i:;;]C>W呻.,,,,,知""""""重□9オンF1'J7ージョン r,lod四）

-

叫

-

・

・

菌HKLM¥SOF1W応E¥出m凶¥Wooow,NT>C...V=面W西 oo¥Vm/ap匹t 0 ,'ils"'如％匹,.,,袖m コンビューターバフォーマン吐珪の天更 r,tm涵）•l<ro,oltWndow, 啄HKLM>SO可W応臼枷 叩 叫!<W""°"'NT>CunriS匹oo>Wno<J吋Shol 図1,,1碑紅G訟• Iりスプロ弓,- r,I点 は1此 函t叩 ow,

ある。（Not verified）と出ている有名会社 のソフトもある。 Image Path の欄に、プログラムのファイ ルの場所を示しており、その場所をエクス プローラで見に行っても見えない場合が多 く、その場合は、コマンドプロンプトで dir /a フォルダ名 のコマンドを叩くと、 隠 しファイル状態のファイルも見ることがで きる。Image Path の欄に、File not found: が現れる行も複数存在する。 起動を止めるために左端のチェックを外 すと、「アクセスが拒否されました」と表示 され、「Run as Administrator」ボタンが出 て、そのボタンを選ぶと「Autoruns にこの コンピューターへの変更を許可します か？」と聞かれるので、「はい」のボタンを 押す。チェックを外し再起動して問題なけ れば行選択し Entry メニューから delete を選択すると削除される。アクセスが拒否 されましたと表示されてチェックを外すこ とができない行も存在する。

22..33 PPrroocceessss H

Haacckkeerr

https://processhacker.sourceforge.io / のサイトから processhacker-2.39-setup. exe のインストーラ版と processhacker- 2.39-bin.zip のポータブル版をダウンロ ードすることができるが、USB メモリに保 存して解凍しその USB メモリを調べるパソ コンに接続して稼働させることを考慮する と、processhacker-2.39-bin.zip のポータ ブル版をダウンロードする。展開すると、 デフォルトでは processhacker-2.39-bin のフォルダの下に、x64 のフォルダと x86 のフォルダができ、64bitOS の場合、x64 の下の ProcessHacker.exe を起動する。 Processes のタブで、デスクトップやス タートメニューから起動したプログラムは、 explorer.exe の配下に表示されるはずで ある。階層構造で表示してくれる（図 3 参 照）ので、どのプログラムから起動されて いるのかがわかる。Internet Explorer を 起動している場合は、iexplore.exe の名前 で表示されるが、起動していないにもかか わらず iexplore.exe が存在する場合は、怪 しいプロセスであると判断できる。 Name の欄でクリックすると並び順を変え てくれる。Options の中の Reset ボタンを 押すと表示の仕方の設定を初期状態に戻し てくれる。行を選んで右クリックして、 Properties を選べば、詳細が見える。 Network のタブで、行を選んで右クリック して、Go to process を選べば、Processes のタブの中の該当プロセスを示してくれる。 Network のタブで、行を選んで右クリック して、Tools の中の Whois を選べば、接続 先の情報を教えてくれる。 https://mag.osdn.jp/09/11/12/0840211 のサイトには、使い方が紹介されており、 Processes のタブの中の怪しいプロセスを 右クリックしてSend To を選び、virustotal. com を選びと、VirusTotal のサイトでその プログラムがマルウェア等でないかをチェ ックしてくれる。ProcessHacker は起動し たタイミングにおいて、動作中であったプ ログラムが表示されるので、ずっと見る時 には、View メニューの中にある Refresh automatically をチェック入った状態にし ておく必要がある。

22..44 PPrroocceessss E

Exxpplloorreerr

Process hacker と似たツールで、稼働中 のプロセスの一覧を表示する。Microsoft 自身が提供するWindows Sysinternals ツー 図3 ProcessHacker の起動後の画面 ,~ , 心,e,H~k~[YAMAINf022畔"~心J ー ロ x Hぷ k~ ~ - JoolsUs.a H● Ip

〇邸r呻@)Opt,oos I 1111Fmd haodl~o『DLLs>"平t如 mfo叩 t,o,・'IS...,,chP,oc~⇔ (Ct『l•KJ Pl n卜 日 :;.ぶm t

姐

・

-

~sk

I てNa日西Sy~t畑Idle P roc:es~

PID CPU VO total Pnvate b...U文rname De;'

0 , ユ3B _'i6

ilB NT AAUTIJTHHOORIRITYTY図'f.<;1/STSTEEMM~71 vms, .. ,m 4 0.11 232 kB NT 口smss.exe 506 碑" W m [￡lMemory Comp心510n 2040 144MB ml lnterrupじ U32 _'"" ●ヽ 日匹istry 112 844,8 @n oふm 752 199MB クラ v国winintt.exe 86() 159MB w;, . . . ,□3如 ice-..exe 1000 ~86MB サーl 向~vch o~t. eice 716 0.99 MB Wmv

ル の 一 つ で あ る 。 https:// docs.microsoft.com/en-us/sysinternals/ downloads/process-explorer か ら 「Download Process Explorer」と書いてあ る リ ン ク を ク リ ッ ク し ProcessExplorer.zip をダウンロードする。 展 開 す る と 、 procexp.exe と procexp64.exe の２つの実行ファイルが 現れる。同じサイトの「Run now from Sysinternals Live」と書いてあるリンク をクリックし、procexp.exe をダウンロ ードし、実行させることもできて、これ は、ProcessExplorer.zip を展開して現 れたファイルと同じである。

Process hacker と比べると、Process hacker の タ グ 分 け さ れ て い る 中 の Processes のタグで見えてくる情報と良く 似ている（図 4 参照）。Process hacker の Services、Network、Disk のタグで見えて くる情報がない。Process の一覧表示は両 者とも似ていて、Process Explorer では Company Name の欄が一覧表示で見える。 Process の 行 を 選 ん で 右 ク リ ッ ク し て Properties メニューを選ぶという操作 は同じで、見えてくる情報が僅かに違う。

22..55 PPrroocceessss M

Moonniittoorr

Microsoft 自 身 が 提 供 す る Windows Sysinternals ツ ー ル の 一 つ で あ る 。 https://docs.microsoft.com/en-us/sys internals/downloads/procmon か ら

「Download Process Monitor」と書いてあ る リ ン ク を ク リ ッ ク し ProcessMonitor.zip をダウンロードする。 プロセスの動作を確認できるツールであ り、どのファイルに書き込んだか、どのレ ジストリを読み込んだか、どのような通信 をしているかなどの動作をプロセスごとに 確認できる。起動直後の画面は、図５のよ うになり見にくいが、Tools のメニューの 中 の Process Tree... を 選 ぶ と 、 ProcessExplorer のようにプロセスのツリ ー構造が見えてわかりやすくなる。Tools のメニューの中の File Summary...を選ぶ と、時間がかかるが、全てのファイルへの アクセス記録が見えてくる。

22..66 W

WiinnPPrreeffeettcchhV

Viieew

w

http://www.nirsoft.net/utils/win_pre fetch_view.html か ら 32bit 用 に は winprefetchview.zip 、 64bit 用 に は winprefetchview-x64.zip をダウンロード する。最新は version1.35 である。展開し て、WinPrefetchView.exe を起動すると「こ 図4 ProcessExplorer の起動後の画面 図6 WinPrefecthView の動作画面 図5 ProcessMonitor の起動後の画面

ぬP=~shplo,ec-Sysmt,mols www. _洛ot,mols8 om [VAMAINF0220¥" 98]

E-︳e10 pt,oos y; 9 E﹃RR, F1od ~"" l!elp a︱固一 直回闊 一？ ︱：

J

-

］

-P,oo

ヨ

., ＂

_-＇

cpupr-9ti-i ・s”t-gog.t-On ョR.g-grv ョ忍_{t,m,a•P•~•}"＂ a門

_ロ

＄困 m m.﹃apt" 同了＂＂曇ぷ 可]M•=•,cg

・

0"＂﹁g 同]grs.. , a向ミ99-59 ロ日・・﹃丙・ s:

＇

口"~,,"t●溢 m口"5_...

，

圏)""'●Cg09 t76km7ぶ0k コt ,OK H 0 芯2k7.g"' OK O<•/•H ●r含笑•―m.『rupS・nd•• rnK <00< 00, "''" o,rnn'°'0 t.0●ok0 .,.,, 蕊 '""'""" so 0 omK am, ,O,OK LO 0 " ""'"● 9"+,t7

"

_,.mK

・

""

"

・

'"'

0.0,<K m" ロ

Ii

匂

'i

"

"

ip

"

i'

＇

●

"

コ ご え '

'

I'

u

し

r

，． に li'J )( ￨ ' ' 召 目 否a ぅ 乏 ℃ j t!:I ~, s ! 込. ~ 竺 ! ．

叶

'

更足~ " ~ ~" .~" '-'' M ' • ~ ;,, 悟 . 答は "桜 ： ゜• • ＝ 品 .. "8 " " N ." さ " .N... ，し... '. ， ,

l

』. .

~

は a 只 、 ・ 己 t ~, — ' , •, •

H~

.n ヌ0ヌ0屈m,,. n

~

0 r 0 屡 m ' ~ ' ' ．． 図

f

I s → s <テ ~ の! § ~ で~は ~ で 8 口

.

: X く 9 < >

母P,oc~,Moo;to, ,ぎ iot=alcwww,<y<mt=alc, 03

[;1, ld;t Ese,t m t~I =ls Qpt;oc, H•lp

￠

ll

-

だ咽8-小ト⑮一回︱A暑一団やや

a

■

T,=o P,o " mN“ 9• PID Opm<= P“<o Rosel< D"“ ︱- >

'"" A m●-0r9﹃EXm >SSO &¥R g o,eo,

""' .. "Bho"t•9 7368k上LReadF-―ec ●Ll"'"'""'8・ヽよPD.ta●Loo,l>C-00,0 SUCCESS o,;,, , 3, 096.676,L

,rn """悶︳ 9mEXE 250 0 < R"S, llo g・HKLM¥SOFTWAAE● Mimoo• ●図︱ー。 を9n・・SUOOESS K,,S,lloro, ョ・ign・

,rnふ-T"6,o,,.~'368 1i} • e .. oe , ︱'o ,u .. ﹃''""'"'"、 go“taに"""o"""'・:suoc mooooo

寄"""

'

""'

141$・"1m)︳ofe﹃EXm 25'01 nRecg.ry<3-・: H<

,rn, 11 ,,.,~"'"'258 0 e,.c,osoKoy HKCM• SOFTWARE● M,o,o,oft●Po--cyg succ m ss

,rn, .. "uchost'召 7368-_’~R,ooe,︱e-3●L-sers● "'•''""むPO8t溢Cocsl・。o""'SUCCmooooon"et8.540 ,,S 0,L

""'" "Jphost•9 7368t"1刀eodF-―. -3●-,,,.,,,,,.,00,,.,D,,,>Loo, ︱● C5 0,0,,,SUOOESS o,;,1,om,,,. ,rn "" H匂host•9 "" li}.e .. oe , ―• O き"•"'"'● r8ざよ︶も藝t●王''"'gg""'・ _:OOC ODESS 0畔,t6'4S,408 ,L ""︱︱ 'c,u "2"告9er8軍とも “t品""涵ogoo,,,,SUCC m SS Offs" 7217'5, C

,rn,'閏"<hc"m 7368 [ij.R

'

""

、

由

""s3ho"texe7368E}".. ,,, ︱eC ●L-＂ers● ""'"° ・ども 8ta●Coo,,.C 0 "" succ mooooonet864心．oo60-’V

•A_^V •9,9 ー ':'9,＇•':＇~；,,_i' r ,9,Ln.9 .. E,． ’:＇.,;,'： 3・Q,＇9.﹄． 5,＇’ Z`n-99,．ー';.913￨i﹄9;"A9b

99-5how;"9 33Z677 of 91,、787 eveots (36%) Bo<k a byv;rt,al memo,y

のアプリがデバイスに変更を加えることを 許可しますか？」と尋ねられ「はい」を選 んだ後に画面（図 6 参照）が表示される。 WindowsOS は、起動を高速化するために Prefetch ファイルを作成しており、起動時 に読込んでいる。Prefetch ファイルは c:\Windows\Prefetch に拡張子 pf のファイ ルとして保存されている。Prefetch ファイ ルを解析することで、実行したプログラム ファイル名、前回実行した日時、今まで何 回実行したか、プログラムが読込んだファ イ ル 名 を 調 べ る こ と が で き る 。 WinPrefetchView.exe の起動後の画面の半 分より上の欄の行を右クリックすると Properties を選ぶことができ、作成日など を見ることができる。

22..77 U

UsseerrA

Assssiisstt

https://blog.didierstevens.com/progr ams/userassist/ の 中 の I posted my program (source code and binaries) here. と 書 い て あ る here の 位 置 に UserAssist_V2_4_3.zip があるが、その下 に Download: UserAssist_V2_6_0.zip (https) と書いてあるところがあり、そこ から UserAssist_V2_6_0.zip をダウンロー ドする。zip ファイルを展開して、32bitOS の 時 は 、 UserAsist\bin\Release \UserAsist.exe を実行、64bitOS の時は UserAsist\bin\x64\Release\UserAsist.ex e を実行する。 このツールは、エクスプローラからアプ リケーションを実行した履歴を表示する （図 7 参照）。Last の欄をクリックして並 び順が日付順になるが、日付の値が入って いない行もある。Last の欄は、感染した日 時を調べる時に役に立つ。Counter の欄に 起動した回数が表示されるが、Counter の 値が 0 の行もある。エクスプローラから実 行されたアプリケーションだけが表示され、 他の方法で実行されたアプリケーションは 表示されない。

22..88 TTC

CPP E

Exxpplloorreerr

http://www.umechando.com/software/ から TCPXPLOR.ZIP をダウンロードし、展 開 し て TCPXPLOR フ ォ ル ダ の 下 の Tcpxplor.exe を起動する。梅村博一氏によ って開発されているソフトである。起動す ると「この不明な発行元からのアプリがデ バイスに変更を加えることを許可します か？」と尋ねられ「はい」を選んだ後に設 定画面が開き、デフォルトのまま OK ボタン を押す。ウィンドウが開いたら、左上の「パ ケットキャプチャーを開始します」のボタ ンを押して監視スタートする。 図８にTCPEXplorer の動作画面を示す。 IP アドレスの箇所を右クリックすると whois で調べることができる。通信をして いるプログラムと紐付して表示してくれる。 このツールは、パケットキャプチャーをし ながら、どのプログラムがその動作を起こ 図8 TCPEXplorer の動作画面 図7 UserAssist の起動後の画面

｀

如

,Arn,t2紐0.0 sommaad, Help Key Inds,Name 1 M;ornsof1.Ge"1a,led_8wekyb3d8bbwe'App {CEBFF5.. 2 UEME CTLSESSION ー ロ x Coont" last • {CEBFF5 .. 3 {1 AC IIE71-02E7-IE5D-8711-2EB1AE51988)1¥m,… 2 2018/12/28 170 .. {CEBFF5.. I {1ACIIE71-02E7-IE5D-8711-2EB1AE51988)1¥ooL O 2018/12/18191... {GEBFF5 .. 5 M,ornsof1W,cdow,Gonlrn1Paoel O 2018/11/19 170...• < > "i'TCPE, 社四 ファイ!L,(E)衰示"'ツー）L{I) ヘル'』

■

il

■

,

1

1

-

-

-

-T~/5 も邑届. '°Tべ'てのセッシ•ン（セッレ•ン"'" . . ・'自動スクロ＿，レ •

.

D

、

• • HTTO , , 力ヒス RボートRア凡ス 凶ート件 諫 デ ータ " " j_~,,](10_,2_., 0)"_り,'""". 1 _, 1 ai•••=-1四） "'"'11,,,.,,., .,,,. '' ·~,-..~·• .. a鱈4囀,Hnes , al• ● •=-I=> 如. Ii• 四 " ' 芍心 匹00 ' ' ·~,-..~·· ' a

、

I(●●,0) Aroh>• < ロ ·~-1,00 = Ii"""印”匹’’甲"""'妬匹,I巴 ~'"'"" ， ロ-ヰ~-1,00 = Ii"'~ 蕊,n- ''•=-..~•' ' ~"'"""囀2 ， 釦•~=-'紐函 --11,,.四'""- '.-.~... ~-, , -~""'"'" ! J2105"97"

.

、

]](1028)W1心.. ' ~1'75'9'123 1 I < >I ヽ硯中 送但6、444("1 KB)受但0(00) 血U i9,'1,48(12匹 ）

しているのかまで調べてくれるため、怪し いプログラムを見つけるのに役に立つ。デ ータ欄には、HTTP 通信の通信内容まで見る ことができる。右上欄に現れるセッション を左の欄で選択することによって、絞り込 むことができる。ずっと見ているとセッシ ョン数が上がっていくので、変化のあるプ ログラムを見つけるのに役に立つ。

22..99 TTC

CPPV

Viieew

w

TCP Explorer と似たツールで、通信中の プロセスごとの、通信先や使用ポート番号 の 一 覧 を 表 示 す る 。 https://technet. microsoft.com/ja-jp/sysinternals/tcpvi ew.aspx のサイトから TCPView.zip をダウ ンロードし、展開すると、TCPView のフォ ルダの下に Tcpview.exe が存在するので、 それを起動する（図 9 参照）。 TCP Explorer では、Hyper-V 利用等の計 算機環境によって表示されて来ないことが 起きていたが、その場合でも Microsoft 自 身が提供するWindows Sysinternals のツー ルの一つであるため TCPView では表示がさ れてくる。表示行を右クリックして、 ProcessProperties...を選択すると、実行 ファイルの存在場所も見ることができる。

22..1100 W

WiirreeSShhaarrkk

コンピュータ上で流れるネットワーク パケットを確認できるツールである。ネッ トワークにおけるトラブルシューティング や、不審な通信がないかといった解析に利 用する。http://www.wireshark.org の中の Download の ボ タ ン を 押 し 、 WindowsInstaller の 64bit 版、32bit 版が 存在しているが、USB メモリにインストー ル し て 使 う と 便 利 で あ る た め 、 WindowsPortableApps(32bit) を 選 ん で USB メ モ リ に ダ ウ ン ロ ー ド す る 。 WiresharkPortable_3.0.3.paf.exe がダウ ンロードされ、起動すると、インストーラ が動き、USB メモリ上にファイル展開され る が 、 そ の 展 開 さ れ た 中 の WiresharkPortable.exe を起動しただけで は、ネットワーク上のパケットデータをキ ャプチャできない。npcap ドライバをパケ ットキャプチャするマシンの上にインスト 図9 TCPView の起動後の画面 図10 npcap インストール後の Wireshark 起動後画面 図11 Wireshark のパケットキャプチャ 実行中の動作画面 ふTCP如w-Sys,ntemal<.www. 乎,ntemalscom ￡,le Q pt,ons￡,ocess y;.,.,t!elp I i;iA --<団

Process / PIO Pro1ocol Local Address

回ekrr,.e澄 3644 UDP 洒mam記？？〇 [!3e l<fri.e漁 3644 UDP 祖m8iri訟20

圧leはn.e滋 3644 UDP yamamro'2'20 日el<fri.e xe 3644 UDP 喪main訟20 [i3EAA¾,ent.e 澤 11152 UDP yamamた220

口

．）ERAherit.e液 11152 UDPV6 y.:,m<iiri訟20

~r@ わx.e 滋 14804 TCP yi;imainro220

ー ロ x

Local Port R•=<• Addcm R,mo1, Poe< ~

51181 55133 55143 6013'<! 1237 1238 51733 loo,lho,1 51734 ヽワイヤーシャークネットワークアナうイザ ー ロ x )ァイル① 編集① 表示凹 移勘⑬ キャ1チャ〇 分祈凶 ほ計(,J<: 話(~ 悪預rtfJ ツー)(,a] ヽ ・ .~ 0 閤~l!ll'l ~ ~ 茎T _!_二垂Gl.El. GI. Il 1•1表示フィルタ・・<Ct,1-f> を適用 こ 書式..十 このフィルタを!100111キャブチャフィルタ・・・を入力 N 区•ploop屈 <Ad,pt~,I, ・ IIすべての表示さむインタ→ェう・I □ -/J/1,Iりア接巧9 □ -/J/1,Iリア投綬., イーサネット ト▲ ,Ethemet(□efaoltSw,t<h) !.ll ローカルエリア授芸噌8 ,Etheme<(H,.,k,) }.IJ ◎ G文o,= tm pto,e ◎ 知dom 四,etg,o~•to, ◎ SSH『e匹tr n如" ◎ UDPL"t~"『e四trnpto" 学習 コーザーズガイド・Wiki・賃問と回答・メーリングリ入ト W● .shackを起勒中3.0.8(,803-0-

・

6130b92b転6)白勒ア9プデートを受(tします ァ伝み込みもしくはキャブチャR準Ir. 1111ケットなし 11ブロファイル・況'"" ヽ--~叩 9―•“叩知 - 0 X ，，イ 1kll ●●3 螂•細切9心・輝覇 む"' ..薗 ナ紐 心9四 ヽ・ 。口きi;,q ... .!.:;;三"""~ 1111• 砂9げ・·~砂｀” . . · ~ ... 心 ロ・l書... O.•~- - ,_ ... "・"""""" "'・'"・'躙.. ・'"'"細・'.m 麿 心 " "'o.-ia,-..,-,"""" ''・"砂闘 169.254.84.2ヽ 16'.254.m.m 即 心 " 辺°""''"""''"'R'""'°= '"・""''"'・'・''・ 12?.8.0.l f(P ● 5 .. l•9• "'" (PSH, • ● "・ 認"" "'・'・・'' "'・'・'・' " ' . ...,... ,...,,.,.1, 52●, "'"'"'・'・'・' 12?.0.0.l r<P 45紐249→""'(PSH, • "● """ "'・'・'・' '"・・'''・ 『<P ""'''. "'''l"•I• 「 l, "'by<o,~ •I心(l952blu).2U切t●, up<oc.,,(1952blU)~lo«Nou8

> """"-rト··•

c m , Pro<ocol Vmi~ •• Sec 192.168.lee.●,'"'・'"認'.]00.255

U,ocO."l"•'ro<ocol,Sc, Poc" 13●, O><P~" l渇

"'"'"'"'"•"-シ,Nl<O ""(S.NOC心 " ●g● ● lockPro<ocol) , 暢NollSlo<Pro,ocol >"1,ro~«山,,,__,,,~,.,、 Pべtへ ot ● , ... ,. 0<9'.. ee38Uee.. E L , ... " .. ,, .... " ... ,, ● f5S d d U 1182'1'8, ... 調8a.. <6 ,e ,e 29.. d F 4● ●5●2● , .... ., ● 5 .... ., .. ., ヽ,...."""""°'""' " " ● , .. ●I● ' " " ●l● ' " "● 1'1●I吟''"'"'""'..'" 2● ●Iヽ2ヽI●3 .. " .. " .... " .. "ヽ3蛉螂'""灰"CF

。

,

,

.

_

.

.

.

.

.

_____

.

.

.

.

.

.

.

.

.

.

.

'ヽ・'"'"区心 "''卜"""'最示"'""鱒匹.,.噴"'四 プ0万鳥如 心

ールする必要がある。npcap をインストー ルするには、https://nmap.org/npcap/の中 の Npcap 0.9982 installer for Windows Vista/2008, 7/2008R2, 8/2012, 8.1/2012R2, 10/2016 (x86 and x64)をクリ ックし、npcap-0.9982.exe をダウンロード してキャプチャするマシン上で実行すると イ ン ス ト ー ル さ れ る 。 そ の 後 、 WiresharkPortable.exe を起動すると、図 10 の 画 面 に な る 。 Npcap Loopback Adapter というインターフェース名が表示 されてきて、この状態で、左上の「パケッ トキャプチャを開始します」ボタンを押す と図 11 の画面になって、パケットデータ が見える。TCP Explorer、TCPView はプロ セス毎に見えたが、WireShark はプロセス 毎でなく時間順に流れていくデータが見え る。

22..1111 N

Neettw

woorrkkU

UssaaggeeV

Viieew

w

アプリケーションごとのネットワーク使 用 履 歴 を 確 認 で き る ツ ー ル で あ る 。 http://www.nirsoft.net/utils/network_u sage_view.html から 32bit 版か 64bit 版 かを選んで zip ファイルをダウンロードす る 。 フ ァ イ ル 展 開 し て 現 れ る NetworkUsageView.exe ファイルを実行さ せると、アプリケーションがどのくらいの パケットを送受信したかを確認できる。図 12 に動作画面を示す。 Windows 8 以降の OS では、アプリケー ションによるネットワーク利用ログが c:¥Windows¥System32¥sru¥SRUDB.da t というファイルに記録されている。この ファイルからデータを抽出して表示してお り、各アプリケーションが１時間ごとに何 バイトのデータを送受信したかを確認でき る。

22..1122 H

HaasshhM

MyyFFiilleess

不審なプログラムのハッシュ値を調べる ツールであり、http://www.nirsoft.net/ utils/hash_my_files.html のサイトから ダ ウ ン ロ ー ド し て 使 用 す る 。 Download HashMyFiles 、Download HashMyFiles for 64-bit systems、Download HashMyFiles - Non-Unicode Version (For Windows 98)の ３ つ の リ ン ク が ペ ー ジ 中 程 に あ り 、 hashmyfiles.zip（64bit 用は hashmyfiles- x64.zip、Windows98 用は hashmyfiles98. zip) を ダ ウ ン ロ ー ド し 、 解 凍 す る と HashMyFiles.exe が現れる。 起動して、ファイルをドラッグ＆ドロッ プすると、MD5 / SHA1 / CRC32 / SHA-256 / SHA-512 / SHA-384 ハッシュ値が計算され て表示される（図 13 参照）。フォルダをド ラッグ＆ドロップすると、そ のフォルダ内の全ファイルに ついてそれぞれ計算が行われ る。行を選択し、右クリック して Open In VirusTotal Web Site のメニューを選ぶと、 VirusTotal を使って危険な ファイルかどうかを調べるこ とができる。 ファイルの中に機密情報が 図13 HashMyFiles の動作画面 図12 NetworkUsageView の起動後の画面 口Hash MyFdes ー ロ x Die ];dit y;ewQpt,ons !:!elp ほ）口ooGI II.II困ぬ 虐9J・JI. Filename 1 M DS SHA1 CR0 2 SHA-256 SHA-512 SHA-,

D Ha,hMyFdes... 554d6b ... 心 邸..6ef5a951 a3a17d1... 685e1女6...82cf37•

● Netwo~U,.,•~= ー ロ x

￡11, Edit< = Qptl如,Help

11.1因 む分図'

Rな0『dIDT,=ramp , App No App叩 n沖 oc App ID如 Na匹 ,Us,,SID N 心,oH… ,,.,~s.c, ,,.,~,

な

.

,

.

ll匹,SO "''昭 籾mn...~•p,ogramf此¥面oll... F, 心o, 立 立 YAMAIN ..,_,_,,, ___氏''"'"'-. -乃' "・"' 9匹""''昭 籾B皿.~•p,ogramf,I~(• 四 <..Th, 叫"""d ll妬 YAMAIN ..,_,_,,,___氏''"""--,,,,.. "・"""" 丁匹 心'"'匹四mn...WpoUs,,如 心 - " たb Wiod=sPoshNo"・--函B VAMAIN ..S-n,,...氏''"""--"" "-"' 丁匹 ふ ' "'匹四mn...Wpo如 " ' Wiod=s ブッシュ通~ 四 NTAUTH ... S-n,a 氏''"'"'--'-史' ,.,, 丁匹 メ 心 " ' 四mn...Do欧 氏 匹ryOp<im匹i='乃 YAMAIN..,_,_,,,___応''"""--,. 梵'"-"'' [i;].,,ss "'匹四mn...~agT=• _{C.ee~,ed 如 E,p..四'} YAMAIN..S-n,,...応''"'"'"'が,,, "・"'

ml""" ,.,,,,四mo...wl< m M"『=ftA≪ooo,...m YAMAIN ..5.,-,,..., 応al<ekPCL... 勺'"・妬9

〇函勺 ,.,,,,,匹mo...~•p•ogrnmf,l~C• 四 ,... Mi<『匹ftWom n叩 YAMAIN ..S-n,. ...応al<ekPCL..臼" "・ 四

r函" ,.,,,,のmo...., 叩 = V.cd-sUpda<e m YAMAIN ..S-n,. ...応al<ekPCL..,,,-,'却

r函.,, ,.,,,,のmo...~ 靭'""匹,,.,,,,匹丸．． 籾,,-,図ffide,...ぷ,s YAMAIN ..S-n,. ...応al<ekPCL..,.m ss. の4

印匹 心 "''邸 匹mo...~•p,ogramf,l~C• 匈 ,... Mi<『心ポP匹呻"'"'立, YAMAIN ..S-n,. ...応al<ekPCL..H.<M @.≪s

＜

入っているかもしれないファイルの場合は、 VirusTotal にファイル自身を入力せず、フ ァイルのハッシュ値を入力して調べないと 機密情報が洩れる恐れがある。そのため、 HashMyFiles は、SHA-256 等のファイルのハ ッシュ値を求めるために使われる。また、 ハッシュ値を併記している Web サイトに書 かれているハッシュ値と算出したハッシュ 値が同じかを調べて、インターネットなど でダウンロードしたファイルが正常かどう か、改竄されていないかを調べるのにも使 わ れ る 。 https://blog.halpas.com /archives/6562 [2]_{等にも使い方が書かれ} ている。

22..1133 H

Hyybbrriidd A

Annaallyyssiiss

怪しいファイルをアップロードすると、 サンドボックス内で実行し、実行結果をレ ポート表示してくれるサイトである。 https://www.hybrid-analysis.com/のペー ジ（図 14 参照）の中ほどに、ファイルをド ラッグ＆ドロップで落としてアップロード させる領域がある。https://www.falcon -sandbox.com/[3] _{の表によると、無料で調} べてくれるのは、１か月に 30 個までで、サ ン ド ボ ッ ク ス で 調 べ る 対 応 OS も 、 Windows7(32/64)と Ubuntu(64)に限られて いる。最大アップロードサイズが 100MB ま での制限もある。 アップロードすると、「Do not submit my sample to unaffiliated third parties」 のチェックボックスが現れ、第３者に検査 ファイルを送っていいかを選べ、「Allow community members to access sample」 のチェックボックスでコミュニティメンバ ーに送っていいかも選べるようになってい る。「I consent to the Terms & Conditions and Data Protection Policy.」 にチェック を入れて、「私はロボットではありません」 にチェックを入れてからContinue ボタン を押す。その後、Generate Public Report ボタンを押すと調査結果が表示されてくる。

22..1144 uurrllQ

Quueerryy

URL を入力して危険なサイトであるかを 調 べ て く れ る サ イ ト で あ る 。 https://urlquery.net のページ（図 15 参 照）の上部に URL を入力する欄があり、そ こに URL を入力して Go ボタンを押すと、調 査を開始し、Processing…が表示される。 数分掛かって調べられ、No alerts detected と出れば問題はない。JavaScript で動く部 分や外部サーバとの連携も調べられる。

14 Hybrid Analysis のサイト画面 図15 urlQuery のサイト画面

F= AsFo=F.a M•lw•~A='X

l← • C fil CDll htt区//www.h沖ad-aaao •••¥9* ≫ :

urlque,y.net・URL Scanne, X

.!.Fo如 AL 0.A中a父 皿h l!Y紐A父 叫 !!String父 吋

This,s a free malwa『eanalys,s文n,,cefo,thecommunity that detectsand

analy,es unkn<>Nn th,eats using a uniqueHybrid Analysistechnology 、 , ＇ ’ , ＇

-t

t

-0

9 , ＇ ’ , ＇ Drag& Drop F0< Instant知alyos

＿

…

l:11

*

,

≫ — ,eacch ,tat却 c, about

詈竺主主ご忠::,

霊芯ばば；弓 P『ofileURL,II

一

http//wwwe匹 plecom/s心pに 心s工,p

、

'

日

璽

2018-12-2811,33'07 ff「 0-0 -17 fo,edable.dk/e4b70fd4aw 2018-12-2811'32,57C□ 0 -0 -1 d,70.52zsoft.com/,qy」d_,r.,

-

叩

-

・

—

2018-12-2811'32,43C口 0 -1 -0 www.aaq,.o,gJMes/art,clef4,u,sりこP<AL!•V

22..1155 C

Cyym

moonn

マルウェア、フィッシングサイト、ボッ ト ネ ッ ト の 追 跡 サ イ ト で あ る 。 https://cymon.io/のページ（図 16 参照） に怪しいホストのＩＰアドレスかドメイン、 またはファイルのハッシュ値を入力し、 Search ボタンを押すと、ブラックリストの データベースの中に登録されていないかを 調べることができる。Not Found と表示さ れれば問題はない。

３

３．

．

ツ

ツー

ール

ルの

の利

利用

用方

方法

法

USB メモリ内に 2 章で挙げたツールを ダウンロードし、圧縮ファイルは展開状態 にして保存しておく。パソコンの挙動が怪 しいと思った時は、まずTCP Explorer を 起動し、通信しているプログラムを見つけ る。TCP Explorer は、「パケットキャプチ ャーを開始します」のボタン接続後に表示 が 見 え て く る ま で に 時 間 が 掛 か る 。 Hyper-V を利用している場合等、動かない 場合もある。動かない場合は、TCPView を利用する。怪しいプログラムは、外部と 通信しようとすることが多いため、まず外 部と通信しているプログラムを探るのが良 い。 その後、Process Hacker を起動し、現在 稼 働 中 の プ ロ グ ラ ム を 見 る 。Process Hacker は、多くのプロセスが見えてくる ので、View メニューの中の「Hide Signed

processes」にチェックを入れたりして、怪 しい候補を絞る。怪しいプロセスの行を右 ク リ ッ ク し 、「 Send To 」 を 選 び 、 virustotal.com を選ぶことで、マルウェア であるかのチェックをする。図 17 に表示さ れてくる画面例を示す。１個ずつチェック するのが面倒な場合、Process Explorer の Option のメニューの Virus.com のサブメニ ューの CheckVirusTotal.com を選ぶと一覧 で VirusTotal による検査結果が表示され てくる。図 18 にその画面例を示す。

また、Process Explorer では Company Name の欄が一覧表示で見えるので、その欄 が空欄であるプロセスは怪しいと注目でき る。さらに、Process Explorer の Options のメニューの中の Verify Image Signature にチェックを入れて、Verified Signer の 欄を見て、(Verified)と表示されていない プロセスは、マルウェアの可能性が高いと 推定できる。このデジタル署名の有無は、 署名無しが全てマルウェアであると断定は できないが、多くのマルウェアは署名無し であることが多いため、注目する時のヒン トになる。 Process Explorer ではプロセスが色別表 示 さ れ る が 、 Options の メ ニ ュ ー の Configure Colors...を選ぶと表示される Color Selection 表の中の紫色の Packed Images に該当するプロセスは、怪しいソフ トであると推測できる。この Packed Images とは、パッキングと呼ばれ、プログラムが 図16 Cymon のサイト画面 図17 VirusTotal の確認結果

■

<-

・

---'

<, Q GAが“日,.~..--・... .,,, I¥〇 三

--

如

.

.

.

.

.

.

C

"

'

l

'

M

(

)n

,

。

Open Threat Intelligence

cymon Isthe la,gesto芦nuacke,ofma"'•"·phlshl 咽 botnets,spam, and mo,e,Bmoght to yooby• 父""・" ” ● wh● <CymM"Yふ．．

一

.iv -ustotal

＾

"''口, ="~"""~''''"'"•9 ● o io ...n-•o ...

実行可能状態のまま圧縮・暗号化されてい ることを示している。正規のソフトウェア でもこのパッキングされているものがある が、怪しいソフトは検知・解析を困難にす るためにプログラムをパッキングすること が多い。 怪しいプロセスが多いと感じる場合は、 Autoruns を起動し、右の方に表示される 「Virus Total」の欄の数字を調べる。 Options のメニューの「Hyde VirusTotal Clean Entries 」 に チ ェ ッ ク を 入 れ て 、 「Virus Total」の欄の値が 0 の行を表示さ せないようにする。このようにすることで 表示されるプログラムの数がかなり減る。 それでも「Virus Total」の欄の値が 1 のプ ログラムは多く存在しており、その中で 1 より大きいプログラムがあった場合は明ら かに怪しいプログラムである。 なお、Virus Total の利用には、アップ ロードされたファイルは、Virus Total の サイトへファイル自身が取得されていって いることに注意が必要である。

４

４．

．

本

本学

学で

での

の状

状況

況

本学では、Firewall のログ等から、危険 なデータの動きを検知すると、そのPC を 突き止めて確認をする。9 割ぐらいの確率 で、最新版のウィルス対策ソフトがインス トールされてないことが多い。最新版のウ ィルス対策ソフト(Eset Endpoint Security )をインストールして、全スキャン をかけるとウィルスが検知することが出来 る。(図 19 参照) ウィルス対策ソフトで検知できなかった 場合、2 章で紹介したツールを利用して、 不審なプロセスを発見する。ここで該当の 思われるプロセスを発見したら、該当プロ セスを殺す(図 20 参照)。その後、FireWall ログ等で状況が改善されたことを確認する。 図18 ProsessExplorer を実行し、VirusTotal にチェックを入れた画面

Process Explorer -Sysinternals: www.sysinternals.com [matsubara-PC¥matsubara]

吐

ptions

j

View ProcessFind Users Help Run At Logon 口 _~ Pro~ ., VerifyImage Signatures

一

nknown Verified Signer (Verified) Adobe Sy （サブジェクトに署名が e c r n a e d t e N S g ． n a n m ￨ e a . I P M . m n 0 k M o n y i i s T e ー K n a 0 T h n a y s 5 e w w o ﹄ A l W R e P H i d 珈 C o

＂

も 厘 一 ︳ l 慢 [ lg[ 4 t ロ 曰 CPU Tray Icons 912K 1816 AMD 2,272K 14076DellInc • 1,9,052 K 4932 Configure Symbols... Configure Colors ... Difference Highlight Duration ... Font... Submit Unknown Executables ~ 984 K 4232Adobe Systems IncorporatedQ,但g 1,088K 4280 Atheros QL迫 1,732 K 1900

”

辺 7,788 K 1424Sysinternals -wwwsysinternQ塵 i 50,716K 10000 RimArtsInc 868 K rill80 MicrosoftCorporation Verif.,d) Microsoft - (Verified) Adobe Sy (Certificateexpired) (Verified)Microsoft (Verified) DellInc (Verified) Microsoft 380 K ＞ Processes: 241 Physical Usage: 59.24% 1000,-,W•OOウ

＿

A

検出された脅威 万イル：

l

脅威： I I 情報： 削除によって駆除されました

５

５．

．

ま

まと

とめ

め

明らかにウィルスが入り込んでいると指 摘された場合には、被害最小にするために、 ネットワーク接続は切り離したいところで ある。一方で、入り込んでいるウィルスの 特定をしたいし、できれば感染経路、感染 日時を特定したいところである。 紹介したツールは、ウィルスのファイル を見つけ出し、感染日時のヒントを与えて くれるツールである。感染経路を特定する には、OutlookAttachView[4]_{や IECashView}[5] などの別のツールが必要である。 また、ウィルスの入り込んだパソコンの 被害状況を解析したり攻撃の痕跡を確認す るためには、パソコンをデータ保全する必 要があり、そのためのツールが存在する。 メモリイメージを保存する DumpIt[6]_、ハー ドディスクのストレージイメージとメモリ イメージを保存する FTK Imager Lite[7]_、 Prefetch ファイルや NTFS 情報など解析に 必 要 な デ ー タ を 取 得 す る CDIR Collector[8]_{がそのためのツールである。}

参

参考

考文

文献

献

[1] ウイルスチェックのつもりで情報漏え い ？ VirusTotal の 使 い 方 に 注 意 , http://www.itmedia.co.jp/enterprise/ar ticles/1603/14/news104.html(2019 年 9 月 現在) [2]【MD5/SHA1】簡単に使えて高性能なハッ シ ュ 計 算 ソ フ ト 「 HashMyFiles 」 , https://blog.halpas.com/archives/6562 (2019 年 9 月現在)

[3] Falcon Sandbox Services and Products, https://www.falcon-sandbox.com/ (2019 年 9 月現在)

[4]OutlookAttachView v3.26 - View/ Extract/Save Outlook Attachments, https://www.nirsoft.net/utils/outlook_ attachment.html(2019 年 9 月現在) [5]IECacheView v1.58 - Internet Explorer Cache Viewer, http://www.nirsoft.net /utils/ie_cache_viewer.html(2019 年 9 月 現在) [6]DumpIt ダ ウ ン ロ ー ド サ イ ト , https://my.comae.io/(2019 年 9 月現在) [7]FTK Imager Lite ダウンロードサイト, 図20 プロセスを殺す画面

Process Explorer -Sysintemals: www.sysinternals.com [matsubara-PC¥matsubara] 口 ヽ_︱ヽ

x

e e e x e e x e x e x 2 2 e 3 3 y d d r a e t v R R r o r o r o , t i c A c c c S A A a

6

堕

3 O O 曰 p 50,640 K 1,128 K 1,784 K 8824 Adobe Systems Incorporated辺fil.

3728 Adobe Systems Inc 辺]§_

10420 Japan Soft Land Inc Unknown Verified Signer ¥Verified) Adobe Sy (Verified) Adobe Sy (Verified) Adobe Sy （ サブジェり卜に署名が

＾

菌和plicationFramel--lost1 Window ＞じorporation 攣 =:Ja rmsvc exe 直尼th_Wlan位entexe 配atiecl双 exe 曰菌atiestoO<exe 苗atiwexe I 室 Autoruns64exe 曰竺

江

82exe re滋 CPU Usage: 6.45% Com Set Affinity. Set Priority

K

"

1

i

i

'

P

ro

一

cess Kill Process Tree Restart Suspend Debug Create Dum p Del

一

Sh1ft+Del ems IncorporatedQLfil 趾 Ccert,. ficate expired) 指定されたファイルが 麟 (Verified)Microsoft 凶 (Verified)Dell Inc : Is -www.sysintern立 (Verified)Microsoft ＞ I Usage: 62.27% • 「 nocc≫c,. ~., ,. , o,ys.col

https://accessdata.com/product-downloa d/ (2019 年 9 月現在)

[8] CDIR Collector ダウンロードサイト, https://www.cyberdefense.jp/products/c dir.html/(2019 年 9 月現在)