JPCERTコーディネーションセンター(JPCERT/CC)は9日、近年確認されている組織内ネットワークにおけるインシデント調査を通じて、攻撃者が使用するツールを分析した「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)」を公開、合わせてGitHubに各ツールの概要や痕跡などを細かに記した「ツール分析結果シート」を公開している。

ログ分析から攻撃の分析を調査するための辞書づくりを目指したという報告書は攻撃者により使用されることが多いツール、痕跡を纏めたもので、6月に纏めたデータに新たなツール群、検証OSにWindows 10、フォレンジック的な視点を加え大きく改訂。PDFでは、調査方法やログ取得環境などが纏めてあり、「ツール分析結果シート」」には各ツールの概要、動作概要、ログ取得から得られる情報、ツール実行成功時に確認できる痕跡、イベントログやレジストリ、USNジャーナル、MFTなどで記録される調査に活用できる重要な情報を記載してある。

「ツール分析結果シート」(GitHub上に公開)