JPCERT/CC が不正アクセス時の調査方法をまとめた報告書を公開

もし自分の管理しているシステムが不正アクセスを受けたときには、攻撃者に何をされたのかについて、ログ等の痕跡を分析して調査する必要がありますが、このような作業はセキュリティの専門家でなけければ難しいものです。

今回、JPCERT/CC が公表した「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」はそのような時に役立つマニュアルになっています。対象となっている OS は Windows7 Pro SP1, Windows 8.1 Pro, Windows Server 2008R2 SP1, Windows Server 2012 R2 の4種類。この上で特定の攻撃ツールが実行された場合にイベントログやレジストリにどのような痕跡が残るのかについて詳細に解説があります。

一般社団法人JPCERTコーディネーションセンター, "インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書," p.5, 2016/6/28.

本調査の目的は、インシデント調査のためのログ分析において、多くの攻撃者が使用するツールの実行痕跡を読み解くことによって、攻撃の実像に迫ろうとする分析者のために参考となる、基礎的な情報を整理して提供することにある。すなわち、ログに記録された情報から、どのツールが実行されたのかを割り出し、また逆に、あるツールが実行された場合に、どのような情報がどのログに記録されるのかを提示することにより、効果的なログ調査をガイドできるような辞書づくりを目指した。

なかなか面白いのでセキュリティに興味があれば一読しておくと良さそうです。