インシデント発生時の対応

Active Directory
ログの事前設定

ログは既定値では、上書きされてしまいます。そのため、インシデント発生時の対策立案や原因究明が困難になるケースが大半です。ログが正しく設定されていれば、初動対応が確実なものになります。
ドメインコントローラー、メンバーサーバーでは、[イベントビューアー]>[Windows ログ] を開き、以下のログを右クリックし、最大ログサイズを設定します。また、その際に [イベントログサイズが最大値に達したとき] の設定を、いずれも、[イベントを上書きしないでログをアーカイブする] にします。
ディスク容量の少ない、ワークステーションの場合は、コンピュータのディスク容量に応じて、サイズ100MByte以上にして [必要に応じてイベントを上書きする] という選択もあります。

ログ名称最大ログサイズ(KB)
[WIndows ログ]>[Application]20000
[WIndows ログ]>[セキュリティ]40000
[WIndows ログ]>[システム]20000
[アプリケーションとサービスログ]>[Microsoft]>[Windows]>
[Microsoft-Windows-SmbClient%4Security.evtx]
20000
[アプリケーションとサービスログ]>[Microsoft]>[Windows]>
[Microsoft-Windows-SMBServer/Security.evtx]
20000
[アプリケーションとサービスログ]>[Microsoft]>[Windows]>
[Microsoft-Windows-TerminalServices-LocalSessionManager/Operational.evtx]
20000
[アプリケーションとサービスログ]>[Microsoft]>[Windows]>
[•Microsoft-Windows-TerminalServices-RDPClient/Operational.evtx]
20000

Syslog の確保

Firewall、UTM、VPN 装置、ルーターなどの通信機器は、Syslog を取得可能ですが、保存できるサイズに制限があるため、 Syslog を他のサーバーに転送し保存します。

初動対応時の
禁止事項

詳細は後述しますが、以下の行為はしないでください。

  • ウイルス対策ソフトによる完全スキャン
  • サーバー、コンピュータ、通信機器の電源を切らない
  • 初期化

初動対応時の
ログの保全

初動では、可能な限りすべてのコンピュータと通信機器をネットワークから切り離しし、ログの保全を行います。電源は落とさないでください。初期化したUSBメモリか、DVDーROMに以下のフォルダーのファイルをすべて取得します。

  • C:\Windows\System32\winevt\Logs
  • C:\Windows\System32\dhcp (Windows Server が DHCP サーバーの場合)
  • Firewall機器、VPN機器や通信機器の Syslog

初期に分析すべき
Security Log

総当たり攻撃の痕跡を調べるために、Security Log の Event ID 4625 を検索します。ログオンエラーコード 0xC000006A などが多発している場合や、短時間に集中的に発生している場合は、当該端末アドレスにウイルスが存在している可能性が高まります。そのような場合は、当該コンピュータのネットワークケーブルを外してください。

ログオン成功を示す Security Log の Event ID 4624 を検索し、不審なアカウントのログオン成功を調べます。また、資格情報を提示してログオンを試行するケースを調べるため、Security Log の Event ID 4648 を検索し、他の端末へのログオン試行を調べます。

リモートデスクトップを使用したログオン成功は次の Logの調査が有効です。

接続先 Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Event ID 21 と Security ログの EventID 4624 を調べます。ログオン成功のユーザー名、ソースネットワークアドレスから不審な RDP ログオンがないかを調べます。ソースネットワークアドレスがローカルの場合は、ローカルログオンであり、RDP接続ではありません。

接続元 Microsoft-Windows-TerminalServices-RDPClient/Operational (TerminalServices-ClientActiveXCore)
Event ID 1102 で接続先の IP アドレスが確認できます。

また、Admnistrators などの管理者グループに攻撃者のアカウントを登録するなど、アカウントに対する変更を調査します。万一、不審なアカウントが発見された場合は、そのアカウントを削除せず、「無効」にして、専門家の判断を待ちましょう。

このほかにも、監査設定を変更したり、大量のRDP接続やSMB接続などの調査が必要です。(追って、解説を投稿する予定です)

無料調査ツールの
活用

確実に保全ができた場合は、初期に分析すべき Security Log の調査であげた内容や、Pass the Hash やゴールデンチケットの詐称などの高度な分析が可能な調査ツールを使用することで、侵害の有無の判定のための時間を節約できます。
LAC 社の FalconNest は無償で侵害判定ができるため、調査結果を精査してください。平時から、定期的にツールを利用しておくことで、侵害の恐れがある場合の比較ができ、また、侵害の気づきに繋がります。
https://www.lac.co.jp/solution_product/falconnest.html

Firewall での
不審なアラート

Firewall や UTM を導入している場合は、不審なアラートや大量の通信がないかを確認します。
リモートデスクトップ(RDP/3389/TCP/UDP)、サーバーメッセージブロック(SMB/445/TCP) などが、業務時間外に行われていないか、などもチェックします。

不審なコンピュータへの
初動措置

初動の目的は、システムの保全といえます。ウイルス(検体)の確保ができれば、ウイルス対策ソフトのパターンが作成でき、PCやサーバーの初期化を免れる可能性が高くなり、復旧の時間も短くなります。

従って、初動ではむやみにウイルス対策ソフトの完全スキャンなどを行わずに、電源は投入したまま、専門事業者に調査を依頼してください。ウイルスはメモリ上にのみ存在しているケースがあり、電源を消されてしまうと、ウイルスの手掛かりがなくなります。

あわてて通信機器のファームウェア/OS をアップデートすると Syslog が消えてしまうことがあります。ネットワークに接続されていない限り、電源を入れたまま、専門家の指示を待ちます。

専門事業者リスト

日本ネットワークセキュリティ協会の「サイバーインシデント緊急対応企業一覧」です。
https://www.jnsa.org/emergency_response/?fbclid=IwAR2UIIgn-IVfEY7CV-58QVxIZ1uoQ2DJYPIR_2hGBC274jP6qrl8fv4utQI

日常的な
Auto Run の調査

インシデントが発生していなときは、Auto Run の調査を行っておけば、異常値の発見が容易になるかもしれません。
ウイルスは、電源を遮断されると消えてしまうため、永続化を目的として、自分自身を Auto Run するように登録をします。このAutoRun するソフトウェアの一覧を取得する、Microsoft Sysinternal の AutoRun.Exe を実行します。
スキャンの際は、[Options]>[Scan Options]>[Check VirusTotal.com] のチェックを入れてスキャンを実行します。ファイルのハッシュ値が VirusTotal に送信され、VirusTotal での評価を知ることができます。

Kerberos 認証 イベント
4768Kerberos 認証チケット (TGT) が要求されました。
4771Kerberos の事前認証に失敗しました。
Kerberos エラーコード
0x0エラーなし
0x6無効なユーザー名
0x7コンピュータアカウントがReplicationされていないか、
無効なコンピュータ
0x9管理者がパスワードをリセットする必要がある
0xCKDCポリシーが要求を拒否した
0x12アカウントの無効化/期限切れ/ロックアウト/無効なログオン時刻
0x17パスワードの有効期限切れ
0x18パスワードが間違っている
0x20コンピュータのアカウントで頻繁にログを記録
0x25ワークステーションの時刻がドメインコントローラーの時刻と同期していない
ログオン イベント
4624アカウントが正常にログオンしました。
4625アカウントがログオンに失敗しました。
4647ユーザーがログオフを開始しました。
4778(RDP)セッションはウィンドウズステーションに
再接続しました。
4779(RDP)セッションはウィンドウズステーションから
切断されました。
4800ワークステーションがロックされました。
4801ワークステーションのロックが解除されました。
4802スクリーンセーバーが起動しました。
4803クリーンセーバーが解除されました。
ログオンエラーコード
0xC0000064ユーザー名が登録されていない
0xC000006Aユーザー名は正しいが、パスワードが間違っている
0xC000006Fユーザーが許可された以外の日に
ログオンしようとした
0xC0000070制限されたワークステーション
0xC0000071パスワードは有効期限切れ
0xC0000072アカウントが現在は無効
0xC0000133DCとコンピュータのクロックがずれている。
0xC000015bこのマシンでは、要求されたログオンタイプ
(別名ログオン権)は付与されていません。
0xC00000193アカウントは有効期限切れ
0xC0000224次回のログオン時にパスワードの変更を要求される
0xC0000225明らかにWindowsのバグであり、リスクではない
0xC0000234ユーザーは現在ロックアウトされている
ログオンタイプ
0Systemシステム の起動時など、システム
アカウントでのみ使用されます。
2Interactiveユーザーがこのコンピューターに対話型
ログオンをしました。
3Networkネットワークからこのコンピューターに
ログオンしたユーザーまたはコンピューター。
例えば、リモートドライブ。
4Batchバッチ ログオンの種類はバッチ サーバーに
よって使用され、そこではプロセスが
直接介入せずにユーザーの代わりに
実行される可能性があります。
5Serviceサービス コントロール マネージャーによって
サービスが開始されました。
7Unlockこのワークステーションのロックが解除されました。
8Network
Clear text
ユーザーがネットワークからこのコンピューターに
ログオンしました。 ユーザーのパスワードは、
非ハッシュ化形式で認証パッケージに
渡されました。
組み込みの認証では、ネットワーク経由で
送信する前に、すべてのハッシュ資格
情報がパッケージ化されます。
資格情報は、プレーンテキスト (クリア
テキストとも呼ばれます) でネットワークを
通過しません。
9New
Credentials
送信元が現在のトークンを複製し、
送信接続用に新しい資格情報を
指定しました。 新しいログオン
セッションのローカル ID は同じですが、
他のネットワーク接続には異なる
資格情報を使用します。
10Remote Interactiveターミナル サービスまたはリモート
デスクトップを使用してリモートで
このコンピューターにログオンしたユーザー。
11Cached Interactiveコンピューターにローカルに保存された
ネットワーク資格情報を使用して
このコンピューターにログオンしたユーザー。
資格情報を確認するために、
ドメイン コントローラーに接続できま
せんでした。
12CachedRemoteInteractiveRemoteInteractive と同じです。
これは、内部監査に使用されます。
13Cached Unlockワークステーション ログオン。
グループの変更
4731セキュリティが有効なローカル グループが作成されました。
4732セキュリティが有効なローカル グループにメンバーが追加されました。
4733セキュリティが有効なローカル グループからメンバーが削除されました。
4734セキュリティが有効なローカル グループが削除されました。
4735セキュリティが有効なローカル グループが変更されました。
4727セキュリティが有効なグローバル グループが作成されました。
4728セキュリティが有効なグローバル グループにメンバーが追加されました。
4729セキュリティが有効なグローバル グループからメンバーが削除されました。 
4730セキュリティが有効なグローバル グループが削除されました。
4737セキュリティが有効なグローバル グループが変更されました。
4754セキュリティが有効なユニバーサル グループが作成されました。
4755セキュリティが有効なユニバーサル グループが変更されました。
4756セキュリティが有効なユニバーサル グループにメンバーが追加されました。 
4757セキュリティが有効なユニバーサル グループからメンバーが削除されました。
4758セキュリティが有効なユニバーサル グループが削除されました。 
4745セキュリティが無効なローカル グループが作成されました。
4745セキュリティが無効なローカル グループが変更されました。
4746セキュリティが無効なローカル グループにメンバーが追加されました。 
4747セキュリティが無効なローカル グループからメンバーが削除されました。 
4748セキュリティが無効なローカル グループが削除されました。
4749セキュリティが無効なグローバル グループが作成されました。
4750セキュリティが無効なグローバル グループが変更されました。
4751セキュリティが無効なグローバル グループにメンバーが追加されました。
4752セキュリティが無効なグローバル グループからメンバーが削除されました。
4753セキュリティが無効なグローバル グループが削除されました。
4759セキュリティが無効なユニバーサル グループが作成されました。
4760セキュリティが無効なユニバーサル グループが変更されました。
4761セキュリティが無効なユニバーサル グループにメンバーが追加されました。 
4762セキュリティが無効なユニバーサル グループからメンバーが削除されました。
4763セキュリティが無効なユニバーサル グループが削除されました。