最近開いたファイルを調査しよう!【Recent Files編】

※当サイトはプロモーションが含まれています

こんにちは、ぎんたです。

IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。

  • 社員の端末がマルウェアに感染したことが判明したが、どのようなファイルを開いたのか?
  • ある社員が業務中に端末を使ってネットサーフィンばかりしているようだ。どんなファイルを開いているのか調査したい!
  • ユーザーが機密情報を故意に流出させた疑いがあって、通常は保持する必要のないファイルが端末で操作された痕跡の有無を調査したい!

さまざまな要望や声が聞こえてきます。

フォレンジックの技術・知識を使えば、このような要望に応えることができますよ。

今回は、Recent Filesを解析して端末上で開かれたファイル・フォルダを調査する方法について解説していきます。

スポンサーリンク

目次

スポンサーリンク

Recent Filesの内容と解析対処の場所

Windowsでは、ユーザーごとに最近開いたファイルやフォルダのリストを管理しています。

Windows エクスプローラーを起動させたときに表示される「最近使用した項目」は、この情報を参照しています。

この設定はユーザーごとに異なるため、NTUSER.DATハイブに配置されており、以下の場所で見つけることができます。

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

NTUSER.DATハイブはWindowsの各ユーザーアカウントの設定情報を保存するレジストリファイルの一つで、フォレンジックツールを使用して抽出できます。

NTUSER.DATハイブは各ユーザフォルダの直下にあります(隠しファイル)

レジストリの解説や、フォレンジックツールを使用した抽出のやり方については今後執筆する別の記事で紹介できればと思います。

このアーティファクトを解析することで、

  • 最近開いた各ファイル・フォルダ名
  • 各ファイル・フォルダの最終更新日時から最後に開かれた日時

を特定できます。

このアーティファクトを解析するツールですが、今回はEricZimmerman氏のツールにある「Registry Explorer」を紹介します。

使い勝手が良く無料で使える、フォレンジックの実務でもよく使われるツールの一つです。

このツールは無料で公開されており、以下のリンクからダウンロードできます。

Eric Zimmerman’s toolsのダウンロードサイト

Registry Explorerを使ったRecent Filesの解析

解析して出力された結果を見てみましょう。

使い方は簡単で、以下の方法であらかじめ抽出したNTUSER.DATハイブを読み込むだけです。

Registry Explorerを使ったファイルの読み込み

RecentDocsの解析

「Software→Microsoft→Windows→CurrentVersion→Explorer→RecentDocs」と画面左側のフォルダをたどっていきます。

画面右側の「Recent documents」タブを見ていくと、最も最近開いた(MRU)ファイルがリストの一番上に配置され、新しい順に上から並べて表示してくれます。

Registry Explorerを使ったRecentDocsの表示結果
ぎんた

必ず記載されているとは限らないけど、右側画面の列で最後に開かれた日時も確認できるよ。
上の図だと右側が切れていて表示できてないけど、右にスクロースしたら出てくるよ。

「.拡張子」の解析

Recent Filesのアーティファクトには、.docx、.7zなどのファイル拡張子ごとのキーも存在します

キーごとに、特定のファイル拡張子の最後に使用されたファイルに関する情報を提供してくれます。

例:拡張子が「.docx」の例

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.docx

Registry Explorerの画面左側で「Software→Microsoft→Windows→CurrentVersion→Explorer→RecentDocs」とたどっていくと、「.×××」という拡張子ごとのキーが見えてきます。

下の図は「.docx」のキーを参照した例です。

Registry Explorerを使った「.拡張子」の表示結果

確認すると、最後に開いた時刻は「2022-12-02 10:40」でファイル名が「$IWKWHDC.docx」であるとわかります。

もしマルウェアに感染した原因となるWordファイルの場合、感染のトリガーとなった開封時刻を特定することができます。

Folderの解析

最近開いたフォルダの情報も解析できます。

Registry Explorerの画面左側で「Software→Microsoft→Windows→CurrentVersion→Explorer→RecentDocs」とたどっていくと、「Folder」というキーが見えてきます。

ここでは、最近開いたフォルダ名や最後に開かれた日時が記載されています。

※画像は省略します。

まとめ

今回は、Recent Filesを解析して端末上で開かれたファイル・フォルダを調査する方法について解説しました。

振り返り
  • Recent Filesを解析することで、過去に端末上で開かれたファイル・フォルダが判明する。
  • Registry Explorerを用いてRecent Filesを解析できる。
  • Recent Filesの解析で、過去に開いたファイル・フォルダ名、最後に開かれた日時が判明する。
こころ

他にも似たようなアーティファクトはあるのかな?

ぎんた

ファイル・フォルダの操作に関するアーティファクトは他にもあるよ。
以下の記事でも紹介しているので見てみてね。

以上、ぎんたでした。

サイバーセキュリティを学ぶ上で必要な攻撃と解析に関する他の記事は、以下のリンクで確認できます。

学習に関しましては、以下のセキュリティの勉強法、おすすめの学習本・動画の記事が多くの方に読まれています。

資格の記事については以下の記事がおすすめです。

ITエンジニアへの転職については以下の記事がおすすめです。

その他学習・転職関連に関しましては、以下の記事もあわせて読まれています。

ぜひご覧ください!

スポンサーリンク

よかったらシェアしてね!
目次