Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 001

$UsnJrnl ($J)

$UsnJrnl ($J) とは何ですか?

$UsnJrnl ($J)NTFS の更新シーケンス番号変更ジャーナル。あらゆるファイルシステム操作を記録し、ファイルの作成・変更・削除に関する高解像度のタイムラインを提供する。

$UsnJrnl は NTFS メタデータディレクトリ $Extend\$UsnJrnl に置かれるスパースファイルで、運用ストリーム $J が個々の USN レコード、$Max がジャーナルメタデータを保持します。各レコードにはファイル名、親参照、USN reason フラグ (FILE_CREATE、RENAME_NEW_NAME、DATA_OVERWRITE、FILE_DELETE など)、タイムスタンプが含まれます。ジャーナルはボリューム上のすべての変更を記録するため、攻撃者のバイナリが削除されていても、ドロップ・ステージング・圧縮・削除の各段階を USN の痕跡から復元できます。MFTECmd の $J パーサーは CSV タイムラインを生成し、Plaso や Timeline Explorer によるスーパータイムライン構築に活用できます。

  1. 01

    情報漏えい前に攻撃者がステージングフォルダーをどのように作成・改名・ZIP 化したかを復元する。

  2. 02

    業務クリティカルなパスに対する FILE_DELETE reason の集中発生からワイパー活動を検知する。

よくある質問

$UsnJrnl ($J) とは何ですか?

NTFS の更新シーケンス番号変更ジャーナル。あらゆるファイルシステム操作を記録し、ファイルの作成・変更・削除に関する高解像度のタイムラインを提供する。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

$UsnJrnl ($J) とはどういう意味ですか?

NTFS の更新シーケンス番号変更ジャーナル。あらゆるファイルシステム操作を記録し、ファイルの作成・変更・削除に関する高解像度のタイムラインを提供する。

$UsnJrnl ($J) はどのように機能しますか?

$UsnJrnl は NTFS メタデータディレクトリ $Extend\$UsnJrnl に置かれるスパースファイルで、運用ストリーム $J が個々の USN レコード、$Max がジャーナルメタデータを保持します。各レコードにはファイル名、親参照、USN reason フラグ (FILE_CREATE、RENAME_NEW_NAME、DATA_OVERWRITE、FILE_DELETE など)、タイムスタンプが含まれます。ジャーナルはボリューム上のすべての変更を記録するため、攻撃者のバイナリが削除されていても、ドロップ・ステージング・圧縮・削除の各段階を USN の痕跡から復元できます。MFTECmd の $J パーサーは CSV タイムラインを生成し、Plaso や Timeline Explorer によるスーパータイムライン構築に活用できます。

$UsnJrnl ($J) からどのように防御しますか?

$UsnJrnl ($J) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

$UsnJrnl ($J) の別名は何ですか?

一般的な別名: UsnJrnl, 変更ジャーナル, $J。

関連用語

関連項目