JPCERTは12月2日、「攻撃者が悪用するWindowsコマンド」と題する記事を発表した。

Windowsには標準で多数のコマンドがインストールされており、侵入した攻撃者は情報を収集し、ネットワーク内で感染を拡大させるためにWindowsコマンドを使っていることがJPCERT/CCの調査で確認しているという。また、ここで注目されるのは、普通の利用者が利用するWindowsコマンドと攻撃者が使うWindowsコマンドにはズレがあり、このことを考えると、Windowsコマンドの実行状況を監視または管理することで、攻撃者の動きをある程度検知・抑制できるとしている。

たとえば、侵入者が初期調査に用いるコマンドとしては「tasklist」「ver」「ipconfig」「systeminfo」コマンド、探索活動には「dir」「net view」「ping」「net use」「type」コマンド、感染拡大には「at」「reg」「wmic」「wusa」などのコマンドが利用されている。JPCERTは、Windowsの管理者がこれらのコマンドの利用状況を監視し、また制限することによって、侵入者の活動をある程度監視・制限できるとしている。

（川原 龍人/びぎねっと）

［関連リンク］
リリース本文