「退職した社員が何かを隠していた気がする」「誰かが勝手にパソコンを操作したようだ」「USBにデータをコピーされたかもしれない」といった不安を感じたことはありませんか?
こうした兆候の裏に、不正アクセスや情報漏洩、内部不正といった重大なインシデントが隠れていることもあります。 しかし、実行者が意図的に痕跡を隠していた場合、普通の方法では証拠をつかむのは困難です。
そんなときに力を発揮するのが、Windowsに標準搭載されている「イベントビューアー」です。 ログを通じてパソコン内部の動きを追跡し、何が・いつ・誰によって行われたかを時系列で把握することで、証拠収集や初期対応の大きな手がかりとなります。
この記事では、イベントビューアーで取得できるログの種類や不正の兆候を見抜くポイント、証拠としての活用方法まで解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
イベントビューアーとは何か?
イベントビューアーとは、Windows OSに標準搭載されているシステム管理ツールの一つで、パソコンやサーバー上で発生した操作・動作・エラーなどを時系列で記録する「ログ」を確認・解析するための機能です。
このツールを使えば、システムの異常、ユーザーのログイン履歴、アプリケーションの動作状況、外部デバイスの接続履歴などを確認できるため、トラブルシューティングや不正調査においても非常に有効な手段となります。
イベントビューアーで確認できる情報の種類
イベントビューアーでは、システム全体の挙動を把握するために多種多様なログ情報を確認できます。これにより、異常の原因追及や証拠収集が可能となります。
- システムログ:Windows OSの起動・シャットダウン・エラーなどに関する記録
- アプリケーションログ:各種ソフトウェアの起動や異常終了などの履歴
- セキュリティログ:ユーザーのログオン/ログオフ履歴やアクセス権限変更などの記録
- セットアップログ:インストール・アップデートなどの構成変更履歴
- フォワードイベント:他端末から転送されたログ情報(ログの集中管理用)
主なログの分類(アプリケーション・セキュリティ・システム)
イベントビューアーで確認できるログは、大きく「アプリケーション」「セキュリティ」「システム」の3種類に分類されます。それぞれのログには、特定の用途や確認ポイントが存在します。
- アプリケーションログ:特定のソフトウェアに関連するエラーや情報が記録され、開発者やサポートチーム向けの分析に役立ちます。
- セキュリティログ:ユーザーのログイン・ログオフやアクセス権限の変更など、セキュリティに直結する操作を記録。フォレンジック調査で特に重視される領域です。
- システムログ:OSやドライバレベルのシステムイベントが記録され、パソコン全体の正常性を判断する際に活用されます。
証拠としてログが重要な理由
情報漏洩や社内不正、ハッキングなどが疑われる事案では、実際に「誰が何をしたのか」を客観的に証明する必要があります。 その際に有力な証拠となるのが、イベントビューアーに残されたログ情報です。
- ログは日付・時刻・ユーザー名などを含むため、行動の証明として利用可能
- 改ざんが困難な状態で保管されていれば、裁判でも証拠として採用されることがある
- 原因特定だけでなく、再発防止策の立案にも有効
このように、イベントビューアーから取得したログは不正やサイバー攻撃の証拠として活用される場合があります。一方でログから不正やサイバー攻撃の痕跡を読み取るには、一定の知識や経験が必要です。
ログを読み取ることが困難、または正確に不正やサイバー攻撃が発生したか正確に知りたい場合は、専門家に相談しましょう。
イベントビューアーでわかる具体的な操作・履歴
イベントビューアーでは、パソコン内部で「いつ・誰が・何をしたか」といった操作履歴が詳細に記録されています。これらの情報は、不正アクセスや内部不正の検出、証拠の確保などに役立ちます。
電源ON/OFFや起動・終了の履歴
パソコンがいつ起動され、いつシャットダウンされたかは、イベントログの中でも基本的かつ重要な情報です。不審な時間帯の起動や突然の電源オフなど、異常動作の手がかりになります。
- 「イベントビューアー」を起動する(スタートメニューで「eventvwr」と検索)
- 「Windowsログ」→「システム」を開く
- ソースが「EventLog」や「Kernel-General」「Kernel-Power」のイベントID(例:6005, 6006, 6008)を探す
- 日時やメッセージを確認し、異常な時間帯や強制終了の痕跡がないかチェック
ユーザーのログイン/ログオフ履歴
社内不正や情報持ち出しが疑われる場合、特定ユーザーのログオン・ログオフ履歴を確認することで、アクセス状況や行動時間を可視化できます。
- 「イベントビューアー」を起動
- 「Windowsログ」→「セキュリティ」を選択
- 「イベントID 4624」(ログオン)、「4647」(ログオフ)、「4634」(セッション終了)を確認
- 対象ユーザーのアカウント名やログオンタイプ(リモートかローカルか)を確認
アプリケーションの起動・エラー・強制終了
不審なソフトウェアの起動や、頻発するアプリケーションエラーは、マルウェア感染や社内不正の兆候として検出されることがあります。
- 「イベントビューアー」を開き、「Windowsログ」→「アプリケーション」を選択
- ソースが「Application Error」「Application Hang」「.exe名」などを確認
- 発生時刻やエラーメッセージから、異常動作やクラッシュの原因を探る
USB接続やネットワークアクセスなどの記録
USBメモリの接続履歴や外部ネットワークとの通信記録は、データ持ち出しや情報漏洩の証拠となる重要な要素です。
- 「イベントビューアー」で「Microsoft」→「Windows」→「DriverFrameworks-UserMode」などのログを確認
- USB接続はイベント1003(UserPnp)などを参照
- ネットワーク通信履歴は「Firewall」ログなどで確認
不正アクセス・失敗したログインの証拠
不正なパスワード入力や無許可アカウントからのアクセス試行は、失敗したログインとして記録されます。これを検出することで、外部からの攻撃や内部不正の痕跡を早期に把握できます。
- 「イベントビューアー」→「Windowsログ」→「セキュリティ」を開く
- 「イベントID 4625」(ログオン失敗)を検索
- 失敗したアカウント名、IPアドレス、試行時刻、ログオンタイプを確認
- 繰り返し試行されていないか、同一IPから複数回試行されていないかを分析
証拠として有効なログの見つけ方・着目ポイント
ログは膨大な情報が記録されており、全体をただ眺めているだけでは重要な情報を見落とす恐れがあります。 ここでは、不正アクセスや情報漏洩の証拠を見つける際に着目すべきイベントIDやパターン、そしてログの保全方法について解説します。
よく使うイベントIDと意味一覧
イベントログを解析する際に知っておくと便利なのが「イベントID」です。これにより、特定の動作やエラーを迅速に把握することができます。
- 4624:ログオン成功(ユーザーが正常にログイン)
- 4625:ログオン失敗(パスワード誤入力や不正試行)
- 4647:ログオフ操作(ユーザーが明示的にログオフ)
- 6005:イベントログサービスの開始(システムの起動)
- 6006:イベントログサービスの停止(通常のシャットダウン)
- 6008:予期しないシャットダウン(強制終了など)
- 1102:監査ログの消去(痕跡隠滅の可能性)
不正利用や侵害の初期兆候を示すログ例
内部不正や外部からの侵害は、最初の段階で微細な異常として現れることがあります。見落とされがちな初期サインにも着目することで、重大な問題の早期発見につながります。
- 深夜帯など通常と異なる時間帯のログイン(ID:4624)
- 短時間にログオン試行が連続で失敗(ID:4625)
- USBメモリの頻繁な接続・取り外し
- 監査ログの消去(ID:1102)が記録されている
- 不審なソフトウェアの実行ログやアプリケーションエラー
証拠保全のための保存方法・期間設定
証拠としてログを活用するためには、適切な形での保存と改ざん防止措置が不可欠です。また、ログの保存期間や保存場所の設計も重要な要素となります。
- イベントビューアーから該当ログを右クリックし「すべてのイベントを保存」を選択
- 保存形式は証拠性保持に適した形式を選ぶ
- 保存先は改ざんリスクの少ない外部ドライブやクラウドストレージに設定
- Windowsログの「最大ログサイズ」を定期的に見直し、ログが自動消去されないよう管理する
イベントビューアーの使い方
イベントビューアーはWindows標準ツールでありながら、初見では扱いづらい印象を持たれることもあります。しかし基本的な操作を覚えるだけでも、ログ分析やトラブル原因の特定に役立ちます。
起動手順・基本的な操作方法
イベントビューアーはWindowsに標準搭載されており、管理者権限があれば誰でも簡単に起動可能です。基本的な使い方を押さえておきましょう。
- スタートメニューで「eventvwr」と入力し、イベントビューアーを起動
- 左側のツリーメニューから「Windowsログ」「アプリケーションとサービスログ」などを選択
- 表示された一覧から、目的のログをダブルクリックで詳細を確認
- 必要に応じて右クリックから「すべてのイベントを保存」でエクスポート可能
目的のログを効率的に検索・フィルター設定
膨大なログの中から必要な情報を絞り込むためには、検索やフィルター機能の活用が欠かせません。特定のIDや時間帯での絞り込みが有効です。
- 対象ログ(例:セキュリティ)を右クリックし「現在のログのフィルター」を選択
- イベントIDや期間、ユーザー名、ソースなどで条件を指定
- 複数のID(例:4624, 4625, 4647など)をカンマで区切って入力
- OKを押すと、条件に一致するログのみが表示される
- 必要に応じてCSV形式でエクスポートし、Excelなどで分析
トラブル時や証拠収集時のポイント
事件や不正の可能性がある場合、ログの扱い方ひとつで証拠の有効性が左右されます。記録を残すだけでなく、調査の初動として注意すべき点を押さえておきましょう。
- 証拠性を保つため、ログのコピーは「.evtx」形式で保存する
- 分析の前に、現状のログをフルバックアップしておく
- OSやソフトの自動ログクリア機能が働く前に手動保存を行う
- 社内でのログ操作が疑われる場合は、第三者によるフォレンジック調査を検討
証拠としてのログ活用法と法的留意点
イベントビューアーで取得したログは、内部不正や不正アクセスの追及において重要な証拠となり得ます。しかし、証拠としての有効性を保つには、技術面と法的観点の両面からの配慮が必要です。
証拠提出時に注意すべき改ざん防止方法
ログは簡単に削除や書き換えが可能なため、証拠として提出する際には「真正性」(改ざんがないこと)の証明が求められるケースもあります。
- ログを取得した直後に「.evtx」形式で保存し、ハッシュ値(SHA-256など)を算出
- 保存媒体は書き込み禁止(WORM)ディスクや外部ストレージを使用
- ハッシュ値をレポート等に記載し、後日検証可能な状態で提出
- ログを閲覧・保存した日時・担当者も記録として残しておく
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
こちらの業者は、対応件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
- 次の記事へ
業務上横領とは何か?定義や手口について解説