マルウェア分析はファイル自体を説明し、フォレンジックケース分析はそのファイルが実環境で出現・実行・影響したかを説明します。両方を接続すると、侵害経路、外部接続、流出可能性、ユーザー活動をより正確に判断できます。
| マルウェア分析情報 | ケースで確認する証拠 |
|---|
| SHA-256ハッシュ | 同一ファイルの存在、ダウンロードパス、実行痕跡 |
| ファイル名 | Prefetch、AmCache、RecentDocs、LNK、shell history |
| 作成・変更時刻 | 前後のタイムラインイベントとユーザー活動 |
| IP・ドメイン | DNS、ブラウザ、プロキシ、ファイアウォール、ネットワークログ |
| 永続化シグナル | 自動実行、サービス、スケジュールタスク、スタートアップ項目 |
| ファイルアクセス挙動 | 機微フォルダアクセス、圧縮、コピー、削除痕跡 |
| MITREマッピング | ケースのキルチェーン段階と一致するか |
- Malware Labでハッシュ、IOC、危険挙動、MITREマッピングを確認します。
- マルウェア結果をフォレンジックケースに関連付けます。
- AI分析でIOCとファイル名をケース内検索します。
- 手動レビューで元アーティファクトと時刻を検証します。
- タイムラインで出現、実行、通信、データアクセス順を再構成します。
- レポートではファイル分析と環境証拠を分けて記載します。
- "このマルウェアIOCがケース証拠に登場するか探してください"
- "このファイルが初めて実行された前後1時間のタイムラインを示してください"
- "外部IPをDNS、ブラウザ、ネットワークログと照合してください"
- "実行後に機微ファイルアクセス、圧縮、USB利用があったか確認してください"
- "マルウェア結果とケース証拠を合わせて侵害経路を要約してください"
| セクション | 内容 |
|---|
| ファイル分析 | マルウェア判定、機能、IOC、MITREマッピング |
| 環境証拠 | ケース内の実行、作成、アクセス、通信痕跡 |
| タイムライン | ファイル出現から後続活動まで |
| 影響評価 | 流出、永続化、権限昇格、追加感染可能性 |
| 次の対応 | IOC遮断、アカウント確認、追加収集、原本検証 |
- IOCがケースにないことは侵害なしの証明ではありません。
- 悪性ファイルでも実行痕跡がなければ影響判断は分けてください。
- 外部接続はネットワークログと時刻が一致すると信頼度が高まります。
- ファイル分析とケース証拠は補完関係であり、どちらか一方だけで最終判断しないでください。