2025年12月– date –
-
Office マクロの危険性と推奨設定
1. なぜ Office マクロは危険なのか Microsoft Office マクロ(VBA)は、単なる「表計算の自動化機能」だけではありません。技術的には、ユーザー権限で任意のコードを実行できる仕組みであり、機能的にはユーザーが意図しない Windows のコマンドに実行や... -
パスワードとパスフレーズ
従来、多くのシステムでは 8文字の複雑なパスワード が推奨されてきました。しかし近年のコンピューター能力の向上により、こうした短く複雑なパスワードは 総当たり攻撃(Brute-Force)で短時間に破られる可能性が高くなっています。そのため、現在では 1... -
ランサムウェア防御チェックシート Level 1
対象 Level 1 は、一般的なインターネット接続がある中小・中堅企業の Active Directory 環境を前提としたものです。 防御の基本的な考え方 攻撃者は、インターネットに接続された VPN 機器を通じて、組織内 LAN に侵入します。しかし、そのままでは何もで... -
インシデントかも?
ランサムウェアやウイルス感染の際に、最も心配されるのは被害の拡大です。しかし、ランサムウェアの脅迫状や、暗号化され変更されたファイルの拡張子の状態を知らなければ、「何かおかしいな?」で終わってしまいます。ランサムウェアが常態化した現代に... -
ランサムウェア防御チェックシート Level 0
対象 Level 0 は、すべての組織、施設でランサムウェア対策として、"今すぐに実施するべき内容" をまとめてあります。また、インターネット接続がされている組織、施設では、"必ず Level 1 も実施" してください。また、Level 0 はインターネット接続のな... -
Mimikatz
Mimikatz は、侵害後(post-exploitation)に Windows の認証情報(NTLM ハッシュ、Kerberos チケット等)を抽出・悪用するために利用される代表的ツールです。ランサムウェアでは、横展開(Lateral Movement)や特権維持のために「資格情報の窃取」が重要... -
Windows SID=500 の特徴
Built In Administrator の SID Windows では、ユーザーやグループを内部的に識別するために SID(Security Identifier) が使われます。SID はユーザー名ではなく、内部で一意に固定される識別子であり、名前変更しても変わりません。ACL によるアクセス... -
イベントログ:システム
リファレンス:System 「システム」監査は、OSのセキュリティ設定やシステムレベルのイベントを記録するカテゴリです。簡単に言うと、セキュリティログの整合性やシステム状態の変更を監視するための監査です。 攻撃者は痕跡を隠すためにログを消去したり... -
イベントログ:特権の使用
リファレンス:Privilege Use 「特権の使用(Privilege Use)」監査は、ユーザーやプロセスが特権(管理者権限やシステム権限)を利用した操作を記録するカテゴリです。簡単に言うと、重要な権限を使った行為を追跡し、権限乱用や不正操作を検知するための... -
イベントログ:ポリシーの変更
リファレンス:Policy Change 「ポリシーの変更」監査は、システムのセキュリティポリシーや監査ポリシーが変更されたときに記録するカテゴリです。簡単に言うと、誰が、いつ、どのポリシーを変更したかを追跡するための監査です。 攻撃者は、痕跡を隠すた...
