連載
» 2017年03月01日 05時00分 UPDATE

山市良のうぃんどうず日記(85):トラブルシューター泣かせのイベントログメッセージ(その2)──「システム時刻の変更」に脆弱性あり? (1/3)

前回に続き、今回もWindowsの「イベントログ」に記録された不可思議なイベントを紹介します。今回は不可思議というよりも、本当だったらちょっと怖いお話です。

[山市良,テクニカルライター]
「山市良のうぃんどうず日記」のインデックス

連載目次

システムログに何だかヤバそうなイベントを発見!

 先日、Windows 10 Anniversary Update(バージョン1607)のWindows PowerShellのシェル環境でイベントログを調査していたところ、背筋が冷たくなるようなイベントをシステムログの中に発見しました。

 それは、次のようなイベントです。そのとき使用していたのは、Windows PowerShellのバージョン1.0からある「Get-EventLog」コマンドレットです。フィルターをかけて検索してみると、膨大な数が見つかりました(画面1)。

CVEの検出の可能性:XXX

追加情報:XXX

このイベントは、既知の脆弱性(XXX)を悪用する試みが検出されたときに生成されます。

このイベントはユーザーモードプロセスで発生します。


画面1 画面1 イベントログに大量に記録されていた「CVEの検出の可能性」イベント

 急いでPCからLANケーブルを抜き、Windows Sysinternalsの「Process Explorer(Procexp)」や「Process Monitor(Procmon)」「Autoruns」などを使って調査しようと思いましたが、そこでふと違和感を覚え、対応を全て止めました。

 その違和感とは、今まで「イベントビューアー」では目にしたことがなかったのに、Get-EventLogコマンドレットでは結構前から定期的に記録されていること、「XXX」の部分が“日時”であること、そしてイベントIDが「1」であることです。

 Windows 10 Anniversary Update(バージョン1607)、あるいはより新しいWindows 10 Insider Previewビルドの環境をお持ちであれば、Windows PowerShellを起動して以下のコマンドラインを実行してみてください。皆さんのPCにも、同じイベントが大量に記録されていると思います。Windows Server 2016の場合も同様です。

Get-EventLog -Logname System -InstanceId 1 -Source Microsoft-Windows-Kernel-General

 これは何かの間違いであると確信し、イベントビューアーを開いて、同じイベントを探してみました。すると、ソース「Microsoft-Kernel-General」からのイベントID「1」として記録される“システム時刻をハードウェアクロックと同期した”ことを示す、単なるシステム時刻の変更イベントであることが分かりました(画面2)。

画面2 画面2 問題のイベントは脆弱(ぜいじゃく)性の検出ではなく、単なるシステム時刻の変更イベントだった
       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。