アーティファクト分析
アーティファクト分析 とは何ですか?
アーティファクト分析オペレーティングシステムやアプリケーションが残したデジタルな痕跡を調査し、ユーザー操作・プログラム実行・攻撃者の行動を再構築するフォレンジック手法。
アーティファクト分析は、OS やアプリケーションが通常運用中に生成する持続的・揮発性の痕跡(Prefetch、ShimCache、AmCache、ジャンプリスト、LNK ファイル、ブラウザ履歴、ごみ箱、Windows イベントログ、journald など)を対象とします。各アーティファクトは「あるバイナリが実行されたか」「どのファイルを開いたか」といった具体的な証拠的問いに答えます。アナリストは KAPE、Velociraptor、FTK Imager で収集し、EZ Tools、Plaso、Autopsy で解析します。アーティファクトの形式や保持期間は Windows、macOS、Linux のバージョンによって異なるため、OS バージョンを踏まえて解釈する必要があります。
● 例
- 01
Windows Prefetch を解析し、リネームされたマルウェア検体がワークステーションで 2 回実行されたことを立証する。
- 02
ShellBags を調べて、攻撃者が機密共有フォルダを閲覧した事実を確認する。
● よくある質問
アーティファクト分析 とは何ですか?
オペレーティングシステムやアプリケーションが残したデジタルな痕跡を調査し、ユーザー操作・プログラム実行・攻撃者の行動を再構築するフォレンジック手法。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
アーティファクト分析 とはどういう意味ですか?
オペレーティングシステムやアプリケーションが残したデジタルな痕跡を調査し、ユーザー操作・プログラム実行・攻撃者の行動を再構築するフォレンジック手法。
アーティファクト分析 からどのように防御しますか?
アーティファクト分析 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アーティファクト分析 の別名は何ですか?
一般的な別名: フォレンジックアーティファクト分析, ホストアーティファクト分析。