4698 スケジュールタスクの作成
新しいスケジュールタスクが作成されたときに記録される。タスクは再起動後も残り、指定時刻や条件で自動実行されるため、永続化・実行・権限昇格に多用される検知の要。
概要
サブカテゴリは Audit Other Object Access Events。新規スケジュールタスクが登録されると生成される。イベントにはタスク名・作成アカウントに加え、タスクの完全な XML 定義(実行ファイルのパス・引数・トリガー・実行権限)が含まれる点が読み解きの鍵。
発生契機・方法
schtasks.exe、タスクスケジューラ GUI、Register-ScheduledTask(PowerShell)、API などによるタスク登録。- リモートからのタスク作成は横展開の経路にもなる。
セキュリティ上の確認事項
- MITRE ATT&CK の
T1053.005 (Scheduled Task: タスクスケジューラを悪用して、繰り返し・特定時刻にコードを実行する手口)に対応し、Execution / Persistence / Privilege Escalation のいずれにも使われる。 - XML 定義の中身を精査する。
Actionsの実行ファイルがpowershell/cmd/ 一時フォルダ・怪しいパスを指す、-encなどのエンコード引数を含む、Principalが SYSTEM 権限で動く、起動トリガーがログオン時・短間隔、といった点が危険信号。 - 削除 4699・有効化 4700・無効化 4701・更新 4702 と併せ、タスクのライフサイクル全体を追う。
ログレビュー時の注意観点
- 正規のソフトや OS も多数のタスクを作る。タスク名・実行パス・作成主体の正常パターンをベースライン化し、逸脱を見る。
- レジストリ
...\Schedule\TaskCache\Treeを直接操作する隠れタスク手口では、4698 が出ないことがある。レジストリ監査やタスクスケジューラ運用ログ(Microsoft-Windows-TaskScheduler/Operationalの Event ID 106 等)で多層に補完する。
主なフィールド
| フィールド | 意味 |
|---|---|
Task Name | 作成されたタスク名 |
Task Content (XML) | タスクの定義。実行ファイル・引数・トリガー・実行権限 |
Subject\Account Name | タスクを作成したアカウント |
用語メモ
- スケジュールタスク — 指定時刻や条件で自動的にプログラムを実行する Windows の仕組み。攻撃者の常駐手段として頻用される。