無料会員登録
USBの接続履歴は、あらかじめログの保存を有効にしておくことで、Windowsのイベントビューアーやレジストリから確認できます。主に、いつ・どのUSB機器が接続された可能性があるかを確認できます。
ただし、標準機能だけでは「誰が何のファイルをコピーしたのか」「情報が外部に持ち出されたのか」「USB経由でマルウェア感染したのか」までは判断できない場合があります。
もし不審なUSBの接続履歴がある場合、社内の情報が持ち出されている可能性があります。万一、社内情報がUSBで持ち出されていた場合、競合他社への流出や、ダークウェブ上での公開・売買につながるリスクもあります。
この記事では、USB接続履歴の確認方法、確認できる範囲、ログが残っていない場合の対応、不審なUSB接続履歴を見つけた場合の対処法について解説します。
【表】USB接続履歴で確認できること・できないこと
| 項目 | 確認可否 |
|---|---|
| USB機器が接続された日時 | 確認できる可能性がある |
| 接続されたUSBの機器名・識別情報 | 確認できる可能性がある |
| 誰がUSBを接続したか | ログインユーザー等の確認が必要 |
| どのファイルをコピーしたか | 標準ログだけでは難しい場合が多い |
| 情報漏えいの有無 | フォレンジック調査が必要な場合がある |
| マルウェア感染経路 | 端末・ログ・通信履歴の総合調査が必要 |
Windowsの標準機能でもUSB接続履歴は確認できますが、確認できる範囲には限りがあります。社内不正やマルウェア感染の証拠として扱うには、ログの保全・解析・報告書作成が必要になる場合があります。情報持ち出しや感染被害が疑われる場合は、ログを上書きする前に専門のフォレンジック調査会社へ相談しましょう。
【重要】ログは時間経過で上書き・削除されます
目次
USBの接続履歴を確認するためのログ保存設定と確認手順
USBの接続履歴を保存するには、事前にログを保存する設定を有効にする必要があります。
また、ログからのUSB接続履歴の確認方法も併せて紹介します。
なお、USB接続履歴の確認作業そのものが、ログやファイルの更新日時に影響する可能性があります。退職者の情報持ち出し、機密情報の漏えい、マルウェア感染などが疑われる場合は、調査前に端末の状態を保全し、フォレンジック調査会社へ相談してください。
ログの保存を設定から有効にする
- イベントビューアーを開く
- 順番に、アプリケーションとサービスログ→Microsoft→Windows→DriverFrameworks-UserMode→Operationalを開く
- 右側にある「ログの有効化」をクリック
手順③が、「ログの無効化」の場合、設定が既に有効になっており、記録が保存されています。
長期間ログを保持しておくことで、過去のセキュリティインシデントや不正アクセスの痕跡を追跡することができます。
- イベントビューアーを開く
- 順番に、アプリケーションとサービスログ→Microsoft→Windows→DriverFrameworks-UserMode→Operationalを開く
- DriverFrameworks-UserMode内のOperationalを右クリックし「プロパティ」をクリック
- 最大ログサイズ(KB)と、ログが最大ログサイズに達した時の挙動を選択して「OK」をクリック
会社の情報が流出している、ウイルスに感染しているなどの問題が発生し、ログが有効になっておらず、記録を確認できない場合は、調査会社に相談して証拠や感染経路を特定しましょう。
接続履歴を確認する方法
ここでは、イベントビューアーからログを確認し、USB接続履歴を見る方法を紹介します。
エクスプローラーからログを開きたい場合は、以下の文字列をエクスプローラーに貼り付けて検索してください。
C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
パソコンにUSBを接続した場合、以下のようにログがイベントビューアーに作成されます。
- ログの名前: Microsoft-Windows-DriverFrameworks-UserMode/Operational
- ソース: Microsoft-Windows-DriverFrameworks-UserMode
- 日付: 2022/12/08 12:03:53
- イベント ID: 2003
- タスクのカテゴリ: Loading drivers to control a newly discovered device.
- レベル: 情報
- キーワード:
- ユーザー: LOCAL SERVICE
- コンピューター: MSI
- 説明:UMDF ホスト プロセス ({9e63ab53-0e3a-4b2a-95a7-0084b48740e4}) は、デバイス SWD\WPDBUSENUM\_??_USBSTOR#DISK&VEN_BUFFALO&PROD_USB_FLASH_DISK&REV_1.00#0916100000CC11227B00000288&0#{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} のドライバーを読み込むよう要求されました。
これでUSB接続履歴を確認することができます。しかし専門知識が無い中での調査は時間と労力がかかります。証拠を見逃す可能性もあるので、まずは調査会社でログの調査ができるか相談することをおすすめします。
USBの接続履歴を確認すべき2つの重要ケース
USBの接続履歴を確認するメリットとして、以下のことが挙げられます。
社内情報がUSBで持ち出された可能性を確認できる
USB接続履歴から、誰が・いつ・どの端末にUSBを挿したかが追跡できます。
万が一、社外に持ち出しがあった場合も、証拠として記録を残せることが最大のメリットです。
機密資料や顧客データの漏洩が疑われる場合、まずUSBの履歴確認から始めましょう。
USBが原因でウイルス感染したかどうかも特定できる
感染源の特定が難しいウイルス被害では、USB接続の履歴が重要な手がかりになります。
ウイルスを含んだUSBを社員が無意識に接続した場合、社内ネットワーク全体へ感染が拡大するケースもあります。
パソコンの動作異常やファイル破損が見られる場合は、ログからUSB接続の履歴を確認しましょう。
USBのログが残っていない・不十分な場合の調査方法
イベントビューアーでのUSB接続履歴の確認が難しい場合や、ログの保存が無効だったケースでも、次の2つの手段で履歴の確認や不正の特定が可能です。
専用ツールを使って自社でUSB履歴を確認する
USBの接続履歴を確認するために、ログ監視の専用ツールを導入する方法があります。操作ログやデバイス接続履歴、ユーザーの行動履歴まで可視化できるため、セキュリティ管理や内部不正の抑止にも効果的です。
ツールによっては管理画面で視覚的に履歴を表示でき、イベントビューアーよりも直感的に扱えます。
ただし、導入・設定にはある程度のITスキルが必要です。誤設定や誤検知もあり得るため、調査を急ぐ場合やトラブルが発生している場合は、無理に進めず調査会社に相談するのが確実です。
専門のフォレンジック調査に依頼する
フォレンジック調査とは、PCやスマホなどに残る操作ログ・削除データを専門技術で解析し、不正の痕跡や情報流出の証拠を特定する調査手法です。
この調査によって、以下のような対応が可能になります。
- 削除・改ざんされたUSB接続履歴の復元
- 接続されたUSBの詳細(機種・型番・接続時間など)を特定
- USB経由で持ち出された可能性のあるファイルの痕跡を解析
- 調査結果を証拠化(裁判所提出用の報告書)
社内不正やサイバー攻撃を受けた場合は社内だけでの調査では限界があり、証拠や調査が不十分となる場合が多いため、特に法的対応を見据える場合には中立な第三者である調査会社への依頼が重要です。
また、個人情報が含まれている場合、企業には個人情報保護法に基づく報告義務が生じる可能性もあるため、早期の調査着手がリスク回避に繋がります。
【30社以上から厳選】おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計4万7千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も409件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、情報漏洩調査まで受け付けています。24時間365日の相談窓口があり、最短15分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
| サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
| 特長 | ✔官公庁・法人・捜査機関への協力を含む、累計47,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
| 基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
| 受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
USBの接続履歴は、不正な情報持ち出しやウイルス感染の手がかりになります。ただし、Windowsの標準機能だけでは「誰が何のファイルをコピーしたのか」「情報が外部に持ち出されたのか」まで判断できない場合があります。
履歴が残っていない場合や、特定が難しい場合、社内不正・マルウェア感染・情報持ち出しが疑われる場合は、ログが上書きされる前に専門のフォレンジック調査会社へ相談しましょう。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
