前回に続き、今回もWindowsの「イベントログ」に記録された不可思議なイベントを紹介します。今回は不可思議というよりも、本当だったらちょっと怖いお話です。
先日、Windows 10 Anniversary Update(バージョン1607)のWindows PowerShellのシェル環境でイベントログを調査していたところ、背筋が冷たくなるようなイベントをシステムログの中に発見しました。
それは、次のようなイベントです。そのとき使用していたのは、Windows PowerShellのバージョン1.0からある「Get-EventLog」コマンドレットです。フィルターをかけて検索してみると、膨大な数が見つかりました(画面1)。
CVEの検出の可能性:XXX
追加情報:XXX
このイベントは、既知の脆弱性(XXX)を悪用する試みが検出されたときに生成されます。
このイベントはユーザーモードプロセスで発生します。
急いでPCからLANケーブルを抜き、Windows Sysinternalsの「Process Explorer(Procexp)」や「Process Monitor(Procmon)」「Autoruns」などを使って調査しようと思いましたが、そこでふと違和感を覚え、対応を全て止めました。
その違和感とは、今まで「イベントビューアー」では目にしたことがなかったのに、Get-EventLogコマンドレットでは結構前から定期的に記録されていること、「XXX」の部分が“日時”であること、そしてイベントIDが「1」であることです。
Windows 10 Anniversary Update(バージョン1607)、あるいはより新しいWindows 10 Insider Previewビルドの環境をお持ちであれば、Windows PowerShellを起動して以下のコマンドラインを実行してみてください。皆さんのPCにも、同じイベントが大量に記録されていると思います。Windows Server 2016の場合も同様です。
Get-EventLog -Logname System -InstanceId 1 -Source Microsoft-Windows-Kernel-General
これは何かの間違いであると確信し、イベントビューアーを開いて、同じイベントを探してみました。すると、ソース「Microsoft-Kernel-General」からのイベントID「1」として記録される“システム時刻をハードウェアクロックと同期した”ことを示す、単なるシステム時刻の変更イベントであることが分かりました(画面2)。
Copyright © ITmedia, Inc. All Rights Reserved.