侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes
侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノート等をもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で、侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要です。ただ、これまでのJPCERT/CCの経験では暗号化されたファイルの拡張子やランサムノートだけでは攻撃グループを特定できなかったことも複数あります。 今回は、そのような攻撃グループ特定のサポートとしてWindowsイベントログの情報が使用できる可能性
