「ログを見たけど何が起きたかわからなかった」——インシデント対応の現場でよく聞く言葉です。原因の多くは「何を見るべきか」ではなく「どの順番で・どのアーティファクトを組み合わせて見るか」が整理されていないことにあります。
フォレンジック調査は「犯罪捜査」のようなイメージがありますが、本質は「証跡から攻撃の流れを時系列で再現すること」です。特別な資格や高価なツールがなくても、基本的な手順を知っているだけで調査の精度は大きく変わります。
この記事では、Windowsフォレンジック調査の基本的な考え方と、現場で使えるアーティファクトの種類・調査ツールを整理します。
フォレンジック調査とは——「何が起きたか」を証跡から再現する技術
デジタルフォレンジック(Digital Forensics) デジタル機器に残された証跡(ログ・ファイル・メモリ・レジストリ等)を収集・保全・分析し、インシデントの原因・経緯・影響範囲を明らかにする技術。法的手続きへの対応や再発防止策の立案にも活用される。
フォレンジック調査の目的は主に以下の4つです。
| 目的 | 内容 |
|---|---|
| 攻撃の経緯解明 | いつ・どこから・どうやって侵入したか |
| 影響範囲の特定 | どのシステム・データが侵害されたか |
| 証拠の保全 | 法的手続き・監査に使える形で証跡を保全する |
| 再発防止 | 攻撃経路を特定して同じ手口を防ぐ |
インシデント対応の全体フローについては「セキュリティインシデント対応入門」で解説しています。
調査の基本原則——証跡を汚さずに収集する
ロカールの交換原則——調査者も痕跡を残す
ロカールの交換原則(Locard’s Exchange Principle) 「接触があれば必ず痕跡が残る」という法科学の原則。デジタルフォレンジックでも同様に、調査者がシステムにアクセスした行為自体が新たな痕跡を生む。
調査者がシステムにログオンしてファイルを開くだけで、アクセス日時・プロセス起動ログ・一時ファイルなどの痕跡が上書きされます。これを防ぐために以下の原則を守ってください。
オリジナルには手を加えない:調査は必ずディスクイメージやログのコピーから行います。オリジナルのシステムで直接作業することは避けてください。
調査作業のログを残す:「いつ・誰が・何をしたか」を記録することで、調査者自身の行為と攻撃者の行為を区別できます。
揮発性の高い証跡から先に取得する
証跡には「電源を切ると消える揮発性の高いもの」と「ディスクに残る揮発性の低いもの」があります。取得する順序を間違えると重要な証跡を失います。
【証跡取得の優先順位(揮発性の高い順)】
1. メモリ(RAM)ダンプ
→ 実行中プロセス・暗号化キー・ネットワーク接続情報が含まれる
2. ネットワーク接続状況
→ netstat -ano で現在の接続を記録
3. 実行中プロセス一覧
→ tasklist /v でプロセス情報を記録
4. イベントログ
→ .evtx形式でエクスポート
5. ディスクイメージ
→ フォレンジックツールで取得(時間がかかるため最後)
証跡保全の具体的な手順については「証跡保全の基本」で詳しく解説しています。
Windowsフォレンジックで調査する主なアーティファクト
アーティファクト(Artifact) フォレンジック調査において分析対象となる、システム上に残された痕跡の総称。イベントログ・レジストリ・プリフェッチファイルなど多岐にわたる。
イベントログ——誰が・いつ・何をしたか
Windowsが標準で記録するイベントログは、フォレンジック調査の起点です。認証・プロセス起動・サービス登録など、攻撃の痕跡が多く含まれています。
| ログファイルの場所 | 主な用途 |
|---|---|
%SystemRoot%\System32\winevt\Logs\Security.evtx |
認証・権限変更 |
%SystemRoot%\System32\winevt\Logs\System.evtx |
サービス登録・システムイベント |
%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx |
PowerShell実行履歴 |
調査で使う重要なイベントIDについては「Windowsイベントログ重要ID一覧」を参照してください。
プリフェッチファイル——何のプログラムが実行されたか
プリフェッチファイル(Prefetch File) Windowsがプログラムの起動を高速化するために作成するキャッシュファイル。
C:\Windows\Prefetch\に.pf形式で保存され、プログラム名・実行回数・最終実行日時・ロードしたファイルの情報が含まれる。
プリフェッチファイルはイベントログに残らないプログラムの実行証跡を調査するために非常に有効です。マルウェアが実行されて削除されていても、プリフェッチファイルが残っていれば「いつ・何が実行されたか」を特定できます。
格納場所:C:\Windows\Prefetch\
ファイル形式:プログラム名-ハッシュ値.pf
例:POWERSHELL.EXE-022A6EC4.pf
CMD.EXE-AB3B3A43.pf
注意点:プリフェッチはデフォルトでサーバーOSでは無効になっています。クライアントOS(Windows 10/11)での調査で特に有効です。
レジストリ——永続化の痕跡を探す
レジストリ(Windows Registry) Windowsのシステム設定・アプリケーション設定・ユーザー設定を一元管理するデータベース。攻撃者はここに自動起動エントリを書き込んで永続化を図る。
攻撃者がよく悪用するレジストリキーは以下の通りです。
【自動起動エントリ(Autorun)の主なキー】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
【サービス登録】
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
【最近使用したファイル(MRU)】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
レジストリの調査では「作成日時・変更日時」がタイムライン再現の手がかりになります。
$MFT・USNジャーナル——ファイルの作成・削除・変更の記録
$MFT(Master File Table) NTFSファイルシステムのメタデータファイル。ドライブ上のすべてのファイル・フォルダの属性(名前・作成日時・更新日時・サイズ等)が記録されている。削除されたファイルの痕跡も残る。
USNジャーナル(Update Sequence Number Journal) NTFSがファイルシステムへの変更を記録するジャーナルログ。ファイルの作成・削除・名前変更・属性変更が時系列で記録される。
$MFTとUSNジャーナルを組み合わせることで、「いつ・どのファイルが作成・変更・削除されたか」を詳細に追跡できます。マルウェアが削除されていても$MFTには痕跡が残ることがあります。
攻撃タイムラインの再現——アーティファクトをつなぎ合わせる
フォレンジック調査の醍醐味は、複数のアーティファクトをつなぎ合わせて「攻撃の全体像」を描き出すことです。単一のアーティファクトだけでは断片的な情報しか得られませんが、組み合わせることで攻撃の経緯が見えてきます。
タイムライン再現の例(ランサムウェア感染のケース):
【攻撃タイムラインの例】
10:23 イベントID 4625(ログオン失敗)×50回
→ ブルートフォース攻撃の開始
10:31 イベントID 4624(ログオン成功)
→ 認証情報の窃取に成功
10:33 プリフェッチ:MIMIKATZ.EXE の実行痕跡
→ 資格情報ダンプツールの実行
10:35 レジストリ:Run キーへの書き込み
→ マルウェアの永続化
10:40 イベントID 7045(サービス登録)
→ マルウェアのサービス化
11:15 USNジャーナル:大量ファイルの更新記録
→ ランサムウェアによるファイル暗号化開始
このようにタイムラインを並べることで、「ブルートフォースで侵入→資格情報ダンプ→永続化→暗号化」という攻撃の流れが再現できます。
ランサムウェア感染時の初動対応については「ランサムウェア対応の初動手順」を参照してください。
現場で使える無料ツール
Hayabusa——Windowsイベントログの高速解析
Hayabusa(隼) 日本のセキュリティ企業Yamato Securityが開発したオープンソースのWindowsイベントログ解析ツール。Sigmaルールベースの脅威検知・タイムライン生成・CSV出力に対応し、大量のevtxファイルを高速に処理できる。
Hayabusaはevtxファイルを一括で読み込み、攻撃の可能性がある怪しいイベントを自動的に抽出・タイムライン化します。
# タイムラインの生成(CSV出力)
hayabusa.exe csv-timeline -d C:\Logs\evtx -o timeline.csv
# サマリーレポートの生成
hayabusa.exe logon-summary -d C:\Logs\evtx
# 重大度「高」以上のイベントのみ抽出
hayabusa.exe csv-timeline -d C:\Logs\evtx -o timeline.csv --min-level high
Eric Zimmermanのツール群——アーティファクト解析の定番
Eric Zimmerman’s Tools アメリカのフォレンジック専門家Eric Zimmerman氏が開発・公開している無料のフォレンジックツール群。$MFT・USNジャーナル・プリフェッチ・レジストリなど多数のアーティファクトを解析できる。
現場でよく使われる主なツールは以下の通りです。
| ツール名 | 用途 |
|---|---|
| MFTECmd | $MFTの解析・CSV出力 |
| PECmd | プリフェッチファイルの解析 |
| RECmd | レジストリの解析 |
| MFTECmd(-vss) | ボリュームシャドウコピー内のMFT解析 |
| Timeline Explorer | 各ツールのCSV出力を統合してタイムライン表示 |
よくある失敗パターン——調査で証跡を失う現場の落とし穴
① 感染端末で直接調査作業を行った
感染端末にRDPでログオンして直接ファイルを開いたり、ツールをインストールして調査した結果、調査者自身のアクセス痕跡が攻撃者の痕跡に混入したケースです。調査は必ずディスクイメージやログのコピーから行い、オリジナルへの書き込みは最小限にしてください。
② 電源を切ってメモリの証跡を失った
「とりあえず電源を切った」結果、メモリ上に存在していた実行中プロセス・暗号化キー・ネットワーク接続情報が消えたケースです。メモリダンプは電源を切る前に必ず取得してください。WinPmemなどのツールを使えば数分で取得できます。
③ イベントログだけ調査してプリフェッチを見ていなかった
イベントログに痕跡が残っていなかったため「何もわからなかった」と結論付けたが、後からプリフェッチを調査したらマルウェアの実行痕跡が見つかったケースです。イベントログだけでなく複数のアーティファクトを組み合わせて調査してください。
④ タイムゾーンのズレを考慮していなかった
複数のシステムのログを組み合わせてタイムラインを作成したが、一部のシステムがUTC・一部がJSTで記録されており、タイムラインがずれていたケースです。調査開始前に各システムのタイムゾーン設定を必ず確認してください。
実務チェックリスト——フォレンジック調査の確認ポイント
調査前の準備
- [ ] 証跡保全用のツール(WinPmem・wevtutil等)を事前に用意しているか
- [ ] 調査用の外付けドライブ・USBメモリを準備しているか
- [ ] 調査作業の記録(何を・いつ・誰が実施したか)の方法を決めているか
証跡取得(揮発性の高い順)
- [ ] メモリダンプを取得したか
- [ ] 実行中プロセス・ネットワーク接続を記録したか
- [ ] イベントログをevtx形式でエクスポートしたか
- [ ] タイムゾーン設定を確認・記録したか
調査・分析
- [ ] Hayabusaでイベントログのタイムラインを生成したか
- [ ] プリフェッチファイルを調査したか(クライアントOSの場合)
- [ ] レジストリの自動起動エントリを確認したか
- [ ] 複数のアーティファクトを組み合わせてタイムラインを作成したか
Windowsイベントログの調査手順については「Windowsイベントログ調査入門」で詳しく解説しています。
まとめ——今日確認すべきことは1つです
今日やることは1つだけです。Hayabusaをダウンロードして、手元の検証環境のイベントログに対して実行してみてください。
実際にタイムラインが生成される体験をすることで、フォレンジック調査の流れが具体的にイメージできるようになります。インシデントが起きてから初めて触るのではなく、平時に使い方を習得しておくことが重要です。
あわせてご覧ください
コメント