皆さんの組織では、マルウェア感染したWindows PCが（組織内の）何処と通信したか？、を追跡できるログを取っていますでしょうか？ 先日のプログラム実行履歴についてTwitterで呟いたところ「次のトピックはSysmonですねｗ」と Haruyama さんから突っ込みを…

皆さん、プログラムの実行履歴って取られてますか？ Windows が標準で搭載している監査機能を利用すると、プログラムの実行をセキュリティログに残す事ができます。 具体的にはローカルセキュリティポリシーなどで、「プロセス作成の監査」を有効にすればイ…

マルウェアへの感染が発覚した場合、該当端末を一時的にネットワークから隔離し、その後、より詳細に調査を行うという手順が一般的に取られるかと思います。 明確な対応手順が決まってない組織では、ネットワークからの隔離後に色々と操作をしてしまい、せっ…

年金機構における標的型攻撃による情報漏えい事件を受け、様々な組織で同様のウイルス、マルウェアへの感染が無いか、一斉に点検や対応が行われているようです。 報道発表によれば、一連の攻撃で使われたマルウェアは Emdivi と呼ばれているマルウェアという…