Time Table

ETW(Event Tracing for Windows)は、Windows OSの機能であり、アプリケーションやドライETW（Event Tracing for Windows）は、Windows OSの機能であり、アプリケーションやドライバーなどの動作に関するイベントを集約し、記録するための仕組みである。現在、ログ管理やセキュリティ監視に広く利用されている。しかし、昨今のセキュリティインシデントの調査において、Event Logに記録されるログだけでは十分な情報が得られないケースが増えている。そこで、より詳細なWindows OS上の情報を記録できる仕組みが求められている。

ETWは、Event Logよりも多くのアクティビティを記録する可能性を持っており、多くのEDR製品でETWを用いた監視が行われている。一方で、攻撃者はETWをバイパスする機能をマルウェアに組み込むことでEDR製品を回避する動きも見られる。

本講演では、ETWに焦点を当てて、ETWを利用したインシデントレスポンス手法やETWの機能をバイパスする方法について詳しく解説する。プレゼンテーションでは、まずETWの仕組みやファイルフォーマット、ETW構造体について説明する。次に、ETWを利用して不正なアクティビティを検知する方法、ETWを用いたフォレンジック手法について紹介し、現在マルウェアに利用されているETWバイパス手法についても解説する。最後に、われわれが作成したETWを使用したフォレンジックツールも紹介する。

このプレゼンテーションを通じて、ETWの深い理解とその活用方法を学び、システムやネットワークのセキュリティ向上に役立てることを目指す。