Reading Time: 1 minutes

攻撃者がコンピューターに侵入後、不正なプログラムを実行するために、タスクスケジューラを悪用するケースがあります。タスクスケジューラとは、WindowsOSにて標準搭載されている機能であり、決められた時間、あるいは一定の間隔にて、プログラムやスクリプトを実行することが可能な「タスク管理ツール」です。タスクスケジューラの脆弱性として、2014年9月に「CVE-2015-0098」が報告されており、この脆弱性を利用することで特別に細工されたアプリケーションの実行、および以下の操作を行うことが可能です。

・ プログラムをインストールする
・ データを表示、変更、削除する
・ 管理者権限をもつアカウントを作成する

上記のような不正な操作を検知するための手段として、不審なタスクが生成されていないことを、定期的にタスクスケジューラにて確認する方法があります。以下では、設定されているタスクの確認方法についてご案内します。

 

1.タスクスケジューラの確認方法

1) スタート > 管理ツール > タスクスケジューラ を開きます。

2) タスク スケジューラ ライブラリ をクリックします。

3) 現在設定されているタスクスケジューラの一覧を確認することが可能です。なお、タスク スケジューラ ライブラリから確認できる内容は下記の通りです。

・ 名前
・ 状態
・ トリガー
・ 次回の実行時刻
・ 前回の実行結果
・ 作成者
・ 作成日時

しかし、不審なタスクが作成されていないかを目視で確認する場合、常に現在の設定状況について正確に把握しておく必要があり、また、気の緩みが原因で見落としが発生する可能性もあります。そこで、JPCERT/CC(※)が公開した文章「ログを活用したActive Directoryに対する攻撃の検知と対策」では、タスクスケジューラを確認することに加え、イベントID 4698 など、タスクに関連するイベントログの監査を行うことを推奨しています。

※JPCERT/CC・・インターネットを介して発生するコンピューターセキュリティについての情報を収集し、日本国内に関する報告の受け付け、対応の支援、発生状況の把握、再発防止のための対策の検討や助言などを行なう一般社団法

 

以下では、イベントID 4698を出力するための監査ポリシーの設定手順についてご案内します。

≪イベントログ出力のために必要な監査ポリシーの設定≫

コンピューターの構成 > Windowsの設定 > セキュリティの設定 > 監査ポリシーの詳細な構成 > 監査ポリシー > 
オブジェクト アクセス > その他のオブジェクト アクセス イベントの監査 > [成功] にチェック

上記の監査ポリシーを設定後、タスクスケジューラを作成すると以下のようなイベントログがイベントビューアーに出力されます。

▲ クリックで拡大します。

しかし、イベントログに関する知識に長けているような方ではなく、今までなじみがないという方が上記のようなログを見たときに、「何を表しているのかよくわからない・・・。」という状況に陥り、正確な監査ができない場合があります。そこで、イベントログになじみがないような方でも、簡単にログの監査をおこなうことができるためのツールとして、最後に弊社製品の「ADAudit Plus」をご紹介させていただきます。

 

2.ADAudit Plusを使用したタスクスケジューラの監査方法

ADAudit Plusとは、Active Direcory監査に特化したツールであり、リアルタイムにイベントログを収集、解析して200以上の定義済みレポートから参照することができるため、イベントログの知識がない方でも監査を行うことが可能なツールとなります。また、本製品はJPCERT/CCなどが監査を推奨しているイベントログへの対応を積極的に行っており、最新ビルド5050では、「ログを活用したActive Directoryに対する攻撃の検知と対策」にて監査が推奨されているイベントログの収集に対応しました。

JPCERT/CC推奨のイベントログ監査に対応!Microsoft推奨のイベントログ監査にも役立つ「ADAudit Plus」

ADAudit PlusからイベントID 4698を監査する場合、 レポート > プロファイル別レポート > 詳細追跡 > スケジュール タスク作成 から確認することが可能です。

▲ クリックで拡大します。

このように、ADAudit Plusを使用することで、「誰が」「いつ」「どこから」「何という名前スクリプトを」「どの実行間隔で」作成したのかを一目で確認することが可能となります。さらに、リアルタイム・アラート機能を使用することで、タスクスケジューラが生成された瞬間にシステム管理者へ通知を行うことも可能です。

もし、ADAudit Plusについて、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

ADAudit Plus ダウンロードページ


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。