見出し画像

パソコンが不正利用されていないか確認する方法

毎日の暮らしを快適にしたい

自分の知らない間に、誰かにパソコン触られたかも? と思ったこと誰でも一度ぐらいはあると思います。会社、自宅どちらもリスクという観点から気になったときは確認し、安心したいですよね。

知人の会社ですが、とある社員が休日に出社し他人のパスワードを用いて不正ログインを行い人事情報をダウンロードしていたようです。
また、自宅でも家族のプライバシーは守られるべきものと考える一方で安全に使用されているのか心配になります。


イベントビューアーとは

イベントビューアーは、Windowsオペレーティングシステム(OS)に組み込まれた重要なツールの1つです。これは、システムやアプリケーションから生成されるイベントログを管理し、表示するためのユーティリティです。イベントログは、システムやアプリケーションの重要な動作や状態の変化を記録するためのファイルです。イベントビューアーは、これらのログを閲覧、検索、分析するための中心的なツールとして機能します。

イベントビューアーの概要

イベントビューアーは、Windows OSの管理ツールの一部として提供されています。通常、「イベントビューアー」という名前で知られていますが、コントロールパネルや管理ツールからアクセスすることができます。このツールは、一般的にシステム管理者や技術者がシステムの問題解決や監視、セキュリティの向上に活用します。

以下にイベントビュアーの立ち上げ方を載せておきます。

Windowsの下の方にある検索窓に「イベント」と入力してenter
候補が出てくるのでクリック
イベントビュアーが立ち上がりました!

ログの収集と表示

イベントビューアーは、システムやアプリケーションから生成されるさまざまな種類のログを収集し、表示します。これらのログには、次のような情報が含まれます。

  • システムイベントログ: システムの動作に関連するイベントやエラーが記録されます。例えば、起動時のイベント、ハードウェアのエラー、ドライバの問題などが含まれます。

  • セキュリティイベントログ: システムのセキュリティに関連するイベントが記録されます。ログインの試行、アカウントのロックアウト、不正アクセスの試行などが含まれます。

  • アプリケーションイベントログ: アプリケーションが生成するイベントやエラーが記録されます。アプリケーションのクラッシュ、障害、重要な操作の記録などが含まれます。

イベントビューアーを使用すると、これらのログをタイムラインやカテゴリごとに表示し、特定のイベントやエラーを検索して分析することができます。これにより、システムの問題解決やセキュリティの監視、アプリケーションのトラブルシューティングなどが容易になります。

ログイン履歴の重要性

ログイン履歴の確認は、セキュリティとプライバシーの保護、不正アクセスの検出、そしてインシデント対応の迅速化において非常に重要です。

セキュリティとプライバシー保護

ログイン履歴を確認することで、不正なアクセスや権限の乱用から自身のアカウントを守ることができます。正当なユーザー以外がアカウントにアクセスしようとしている場合や、予期せぬ場所からのログインがあった場合には、そのアクティビティを迅速に検出して対処することが重要です。ログイン履歴の確認は、アカウントのセキュリティとプライバシーを保護するための基本的な手段です。

不正アクセスの検出

ログイン履歴を監視することで、不正アクセスや未承認のログインを検出することが可能です。例えば、異常に多くの失敗したログイン試行があった場合や、不審なIPアドレスからのログインがあった場合、これらのパターンを早期に検出することができます。これにより、不正アクセスが発生する前に対処することができ、セキュリティを強化することができます。

インシデント対応の迅速化

ログイン履歴を定期的に監視することで、セキュリティインシデントに対する迅速な対応が可能となります。不正アクセスや異常なアクティビティが検出された場合、これらの問題に迅速に対処することで、被害を最小限に抑えることができます。ログイン履歴を通じて、誰がいつ、どこからアカウントにアクセスしたかを把握し、状況を正確に把握することができます。これにより、迅速な対応と問題解決が可能となります。

※ログイン履歴の確認は、セキュリティ対策の基本であり、セキュリティ意識の高い環境を維持するために欠かせません。ログイン履歴を定期的に監視し、不審なアクティビティを早期に検出することで、セキュリティとプライバシーを守り、インシデントへの迅速な対応を実現することができます。

イベントビューアーを使用したログイン履歴の確認方法

イベントビューアーの起動方法

Windowsの検索ボックスに「イベントビューアー」と入力します。そして検索結果から「イベントビューアー」をクリックして起動します。(上に図を載せてます。)

または、Windowsキー + R を押して「実行」ダイアログを開き、「eventvwr.msc」と入力してOKボタンをクリックします。

ログのフィルタリングと検索方法

ログイン履歴を確認するためには、以下の手順に従います。

  1. イベントビューアーの左側のペインから、「Windows ログ」を展開し、「セキュリティ」をクリックします。

  2. 中央のペインにはログの一覧が表示されます。

  3. ログインに関連するイベントを見つけるためにフィルタリングは右側のペインから「現在のログをフィルター・・・」をクリックします。

  4. 「イベント レベル」や「キーワード」などの条件を指定して、フィルタリングを行います。たとえば、ログイン成功や失敗を示すイベントIDを指定することができます。

  5. 必要に応じて、期間を指定して特定の日付範囲のログを表示することもできます。

ケーススタディ

不正アクセス事件の発見と対応

背景: ある企業の情報セキュリティチームは、企業のネットワークに不正なアクセスがあったことを発見しました。社内の機密情報への不正アクセスが懸念され、迅速な対応が求められました。

問題の発見: 情報セキュリティチームは、イベントビューアーを使用してセキュリティイベントログを監視していました。ある日、イベントビューアーで異常なログインパターンを発見しました。特定のユーザーアカウントが、通常の業務時間外や週末に複数回ログインしていることが明らかになりました。このアカウントは、機密情報にアクセスする権限を持っているため、情報セキュリティチームは緊急の対応が必要と判断しました。

対応策:

  1. ログインのブロック: 異常なログインを検出した後、情報セキュリティチームは当該アカウントへのログインを即座にブロックしました。これにより、不正アクセスの進行を防ぎ、被害の拡大を抑えることができました。

  2. 調査と分析: 情報セキュリティチームは、不正アクセスの原因や範囲を調査しました。イベントビューアーを使用して、不正アクセスがどのように行われたのか、どのデバイスやIPアドレスからアクセスされたのかなどの情報を収集しました。

  3. インシデント対応の計画立案: 情報セキュリティチームは、不正アクセスに関するインシデント対応計画を立案しました。この計画には、被害の評価、復旧手順、通知プロセス、顧客へのコミュニケーション戦略などが含まれています。

  4. セキュリティの強化策の実施: 不正アクセスの原因を特定した後、情報セキュリティチームはセキュリティポリシーやアクセス管理手順の改善策を実施しました。これにより、将来の不正アクセスを防ぐための対策が取られました。

ログイン履歴の重要性を示す実例:

上記のケースでは、ログイン履歴の確認によって不正アクセスが発見され、迅速かつ適切な対応が可能となりました。ログイン履歴を監視することで、通常とは異なるアクティビティが検出され、セキュリティインシデントへの対応が迅速化しました。このケースは、ログイン履歴がセキュリティの重要な要素であり、セキュリティインシデントへの対応において不可欠であることを示しています。

ログイン履歴の分析と活用

先ほどの事例は企業内でのセキュリティ監視に関する内容となりますが、日常でPC周りの備品の位置が微妙にずれている、なんか挙動がおかしい、検索履歴に身に覚えのない文言が入っているなど、一度引っ掛かると心のもやもやはなかなか解消されません。そこで簡易的にログイン履歴を分析し、不審なアクティビティがないか調べてみましょう。

不審なアクティビティの識別

ログイン履歴を分析することで、不審なアクティビティを識別することができます。例えば、以下のようなアクティビティは不審と見なされる可能性があります。

  • 頻繁なログイン試行の失敗

  • 異なる場所やデバイスからの同時ログイン

  • 通常の業務時間外や休日に行われるログイン

これらの不審なアクティビティを検知することで、不正アクセスやセキュリティインシデントへの対応を迅速に行うことができます。

ログインパターンの確認および分析

 ログイン履歴を分析することで、従業員やシステムユーザーのログインパターンを把握することができます。例えば、特定のユーザーが通常の業務時間にログインしない場合や、異なる場所からのアクセスが急増した場合は、注意が必要です。また、ログインの頻度や時間帯の変化も重要な情報となります。

先ほど立ち上げたイベントビュアーの操作は以下です。

  • 左側で「システム」を選択

  • 右側で「現在のログをフィルター」を選択

  • ポップアップした「現在のログをフィルター」のイベントIDに「6005,6006,7001,7002」を入力

それぞれの数字の意味を記載しておきます。

  • 起動(ID:6005)

  • ログイン(ID:7001)

  • ログアウト(ID:7002)

  • 終了(ID:6006)

ログイン履歴の分析と活用により、不審なアクティビティを識別し、セキュリティの強化やリスクの軽減に貢献することができます。

リモートで不正操作の懸念があるときはこちら

  • 左側で「セキュリティ」を選択

  • 右側で「現在のログをフィルター」を選択

  • ポップアップした「現在のログをフィルター」のイベントIDに「4624,4688,4689」を入力

それぞれの数字の意味を記載しておきます。

  • リモートアクセスの相手を調べる(ID:4624)

  • アプリ起動(ID:4688)

  • アプリ終了(ID:4689)

ログデータの使い方例

イベントビューアーは、Windowsオペレーティングシステムに組み込まれた強力なツールであり、さまざまな用途に活用することができます。以下では、出退勤のデータや不正労働の告発におけるイベントビューアーの使いみちについて説明します。

1. 出退勤のデータ

イベントビューアーを使用して、ユーザーの出勤や退勤の時間を把握することができます。Windowsログオンおよびログオフのイベントは、セキュリティログに記録されます。これにより、特定のユーザーがいつコンピューターにログオンし、いつログオフしたかを確認できます。出勤時間や勤務時間の把握に役立ちます。

2. 不正労働の告発

イベントビューアーを使用して、不正労働の告発に必要な証拠を収集することができます。例えば、サービス残業や無給の時間外勤務が多くやってられないと感じている場合はPCのイベントログを抽出し、勤務時間外のアクティビティを確認することができます。これにより、未払いの残業代を請求する材料として使用できます。

不正労働の告発を検討する際には、労働基準法や会社の規則に従い、適切な手続きを踏むことが重要です。また、個人情報の取り扱いにも十分な注意が必要です。事前に労働組合や労働弁護士と相談することをお勧めします。

この記事が気に入ったらサポートをしてみませんか?