【タイムライン構築編】複数ソースを統合してインシデント全体を再構成する｜CTF思考フレームワーク #49

広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。

タイムライン構築って、攻撃の時系列を再現するの？それって全体像が見えるの？⏱️

見えます。ディスク・メモリ・ネットワーク・ログを統合し、『最初の侵入から検知まで』を時刻順に並べる。これがインシデントレポートの核心。タイムラインがないと『何が起きたか』を説明できません。

タイムライン構築は、フォレンジック調査の最終フェーズ。複数の証拠ソース（ディスクMACタイム・Sysmon・auditd・pcap・Webログ・メールログ）を統合し、時刻順に並べて『攻撃ストーリー』を完成させます。Plaso/log2timeline、Timesketch が代表的ツール。

全ソースを時系列で並べると、攻撃の全貌が見えるんだ…

この記事は、CTF思考フレームワーク第49回。タイムライン構築の手順、Plaso・Timesketchの使い方、複数ソース統合のテクニック、最終的なインシデントレポートの書き方を整理します。

🧩 「断片の証拠を拾うのは見習い、それを時系列に並べるのが探偵」。タイムライン構築はDFIRの最終工程で、複数ソースをUTCで揃えて全体ストーリーを再構成する作業です。

plaso (log2timeline) でディスクとログを統合し、Timesketchで可視化、注釈を加えながら攻撃ストーリーを書き起こす。これがForensicsの集大成です。

タイムライン構築はForensicsの仕上げ。すべての証拠を時系列で並べて物語を再構成するんだ⏳

👀 観察フェーズ：まず何を見る？

まず入手した全ログ・MFT・メモリのリストを作って、それぞれの時刻ソースを揃える🔍

タイムラインに入れるべきソース：MFT・$LogFile・$UsnJrnl、Event Log、Sysmon、ブラウザ履歴、Prefetch、ShellBags、レジストリ最終書込時刻、ネットワークログ。

タイムゾーンと時刻ズレ、これを揃えないと物語が崩壊するんだね😨

• NTFS関連（$MFT, $LogFile, $UsnJrnl）
• Windows Event Log（Security/System/Sysmon）
• PowerShellログ（4103/4104）
• ブラウザ履歴（Chrome History, Firefox places.sqlite）
• Prefetch（プログラム実行履歴）・Amcache・SRUM
• Webサーバログ・プロキシログ・DNSログ・pcap

タイムライン構築の核心は4要素。

🤔 仮説フェーズ：攻撃者は何を考える？

🕒 仮説①：時刻ソースの正規化

全証拠のUTC変換。NTPズレ・タイムゾーン違いをまず解消。

🧩 仮説②：複数ソースの突合

MFT(作成)+Sysmon ID 1(実行)+ネットワーク接続を同時刻でクロスチェック。

🎯 仮説③：Pivot Point特定

「最初の異常イベント」を見つけて前後数分を集中精査。攻撃者の最初の一歩。

📜 仮説④：物語の作成

最終アウトプットは「時刻+主体+行動+証拠」のテーブル。法廷でも通用する形に。

🕶️ 攻撃者は「ログ削除」「タイムスタンプ書き換え」で時系列を撹乱します。だからこそ単一ソースを信じず、独立に取れるソースを多面的に重ねるのが鉄則。MFTの $SI vs $FN、Event Logの記録時刻 vs Sysmonの記録時刻、サーバの時刻 vs プロキシの時刻、と冗長性で突き合わせます。

バラバラの証拠が「1本の物語」になった瞬間、Forensicsは完成だね💡

🔬 検証フェーズ：どうやって確かめる？

log2timeline.py→psort.pyの2段階でスーパータイムラインを作成→Timeline Explorerで眺めるのが定番🧪

plaso で log2timeline.py → psort.py でCSV化 → Timesketch にインポートして可視化＋検索。事象に注釈を付けて報告書化までシームレス。

Elastic SIEMのTimeline機能を使うと共同分析もしやすいんだね💡

# plasoでタイムラインDB作成
log2timeline.py case.plaso disk.img

# CSV化（時刻範囲指定可）
psort.py -o l2tcsv -w timeline.csv case.plaso "date > '2024-01-01'"

# Timesketchにインポート
tsctl import --name "Case-001" timeline.csv

タイムライン構築で見える攻撃像トップ3。

⚔️ 攻撃フェーズ：実際の手口

タイムラインで初めて見える攻撃像：①初期侵入（フィッシング添付クリック）→②C2接続→③偵察コマンド→④横展開→⑤永続化→⑥データ持ち出し、の流れが分単位で可視化される。

# 重要な検出パターン例
# - Prefetch（最初の実行時刻）
# - $UsnJrnl（ファイル作成・名前変更の連鎖）
# - ShellBags（フォルダ閲覧履歴）
# - SRUM（Network Usage / Application Usage）

タイムラインに「ヒトの認知に合うフィルタ」を入れるのがコツ。1日数十万行のログを全部読むのは無理なので、Tag付け＋色分け＋スパムソース除外が鍵🎨

タイムラインを正確に作るための3点！🛡️

🛡️ 防御フェーズ：どう守る？

「物語を語れること」がForensicsの最終ゴール💪

タイムライン構築を「事件後にやる」だけではコストが膨大なので、事前にログ整備・時刻同期・SIEM導入で「いつでも書ける」状態を作っておくのが現代的アプローチ。

• 全機NTP同期＋UTC運用（標準時ズレで断絶しない）
• Sysmon・auditdは事前展開して常時収集
• ログ集中管理（SIEM/WEF）でローカル消去耐性
• Timesketch / ELK Stackで横断検索基盤を準備
• IRプレイブックにタイムライン構築ステップ明記
• Tabletop演習で実際にplaso/Timesketchを練習

🛡️ 今日からできる対策ツール

フォレンジックと同じくらい大事なのが「そもそも侵入されない」こと。🛡️ ソースネクストのセキュリティツールなら、買い切りで使えるタイプも多いので、「サブスク疲れ」している人に人気です。

PR / 広告

※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。

⚠️ よくある落とし穴

1. タイムゾーンを揃えずに統合し、UTC/JST混在で1日ズレる
2. プロセス起動時刻のみ追い、ファイル更新時刻を見落とす
3. plasoのfilter式を書かず、結果が膨大すぎて読めない
4. $LogFile / $UsnJrnl の保持期間切れで重要証拠が消える
5. ログだけに依存し、ディスクアーティファクトを無視
6. Webアプリログとサーバログの突合が抜けて、初期侵入経路を見失う

🧰 ツール早見表

🎓 本気で学びたい人へ

インシデントレスポンスやフォレンジックを職業として目指したい方へ。🎓 ササエルはインフラとセキュリティの両輪で学べるスクールです。

PR / 広告

📚 もっと深く学びたい人へ

実際に手を動かして攻撃手法を体で覚えたいなら『7日間でハッキングをはじめる本 TryHackMe』がおすすめ📚

📚 次に読みたい

• マルウェア解析入門編｜CTF思考フレームワーク #48
• ファイルカービング編｜CTF思考フレームワーク #47

✍️ 学んだことを発信する

検証記録やレポートをオンラインでまとめるなら、ConoHa WINGのWordPressが手軽で便利です。

PR / 広告

⚖️ 大事なお約束