Enterprise

企業

2018.01.18 投稿者: ブログチーム

インシデント調査のための攻撃ツール等の実行痕跡調査(1)

インシデント調査のための攻撃ツール等の実行痕跡調査(1)

“JPCERT/CCでは、2016年6月に攻撃者がネットワーク内に侵入後に利用する可能性が高いツール、コマンドを調査し、それらを実行した際にどのような痕跡がWindows OS上に残るのかを検証した結果をまとめたレポート「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」を公開しました。その後、多くのご意見をいただいたことから、レポートのアップデート作業を行ってきました。そして本日、本レポートのアップデート版を公開しましたのでお知らせします。”

(「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)公開(2017-11-09)」 2017年11月9日 JPCERT Coordination Center )

JPCERT/CCの分析センターが調査報告書を発表しまた。この調査結果は次のような場面での使用が想定できます。

  • 攻撃者がネットワーク内に侵入した後に、どのような行動をするのかを知る
  • ログ調査からの問題発見を迅速にできるようにする
  • 自社のセキュリティ対策を見直すべきポイントを理解する

インシデントが発生する可能性は現在どのような組織・個人においてもありますが、そのインシデントの理解や原因究明に時間がかかるケースが多く、特に専門家の人材がいない場合にはインシデントが発生していることは検知できても、内容の把握や対応が非常に困難です。

インシデントの原因調査は、インシデント発生前後のログのチェックが欠かせません。そのため、ログは収集するだけでなく、実際に有効活用できるような形式で記録保管しておく必要があります。

JPCERT/CCは「特徴的なログを適切に採取し分析することにより、侵入や攻撃の影響範囲を捉えられる可能性がある」としています。

(2)へつづく

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top