2.感染経路(Rev.20160527)
削除メールの復元
VSS（以前のバージョン）
実行形式ファイル
リンク日時
ZIPファイル内タイムスタンプ
圧縮ファイル内のファイルを実行
不審な添付ファイルを実行
文書ファイル
1.電子メール
展開されたフォルダ
ファイル内タイムスタンプ
埋め込みコンテンツ
パスワードで保護されたファイル
不審な本文記載のURLをクリック
Web閲覧
送信日時
不審なメールのヘッダ情報
配送経路
VSS（以前のバージョン）
リモートからのプログラム実行
リモートからのプログラム実行
PowerShell
タスクスケジューラ
リモートからのログオン成功
7.別の機器からの接続（横展開）
イベントログ
感染直前に閲覧していたURL
セキュリティ
履歴ファイル
(
共有上に置かれたマルウェアの実行
5.ネットワークドライブ（共有フォルダ）
不審なURLへのアクセス
実行痕跡の調査
ファイルのダウンロード
国外のドメイン
削除ファイルの復元
ブラウザ
)
キャッシュファイル
キャッシュの管理情報
2.Web閲覧
4.ソフトウェアの自動更新
キャッシュしたファイルのURL
キャッシュ日時
Javaキャッシュファイル(.idx)
IEアドレスバーに入力したURL
古いコンポーネント（Adobe Flash,Java等）
レジストリ
NTUSER.DAT
VSS（以前のバージョン）
WPAD (Web Proxy Auto Discovery)
PROXYログ
レジストリ
3.外部記憶媒体
USB機器の接続履歴
CD/DVD
Copyright © LAC Co., Ltd. All Rights Reserved.
SYSTEM
USBSTOR
ログファイル
setupapi.dev.log
イベントログ
デバイスドライバのロード
実行痕跡の調査
ファイルのURL
古いバージョンの利用
脆弱性が利用された場合
PROXYログ
VirusTotal等でのURL確認
EXEのダウンロード等
履歴情報（URL）のカービング
6.ログオン・ログオフ スクリプト（AD）
実行痕跡の調査
実行痕跡の調査
受信日時
TypedURL