4702 スケジュールタスクの更新
既存のスケジュールタスクが更新・変更されたときに記録される。正規タスクの実行内容を悪性なものに書き換える「乗っ取り」を捉えうる。
概要
サブカテゴリは Audit Other Object Access Events。既存タスクの定義が変更されると生成され、更新後のタスク XML が含まれる。作成 4698 と同様、XML の中身(実行ファイル・引数・トリガー・実行権限)が読み解きの中心。
発生契機・方法
- 既存タスクの編集(GUI /
schtasks /change/Set-ScheduledTask/ API)。
セキュリティ上の確認事項
- 攻撃者は、既にある正規タスクの
Actionsを悪性な実行内容に書き換えて、新規作成より目立たない形で永続化することがある。更新後 XML の実行ファイル・引数が想定どおりかを確認する。 - 実行権限が SYSTEM に引き上げられていないか、トリガーがログオン時・短間隔に変えられていないかなど、更新による昇格・自動実行化に注目する。
ログレビュー時の注意観点
- 正規ソフトの更新でもタスクは変更される。対象タスクごとに「元の定義」を把握し、差分(何が変わったか)で評価する。
- 作成 4698・有効化 4700・無効化 4701・削除 4699 と合わせ、タスクの履歴として読む。
主なフィールド
| フィールド | 意味 |
|---|---|
Task Name | 更新されたタスク名 |
Task Content (XML) | 更新後のタスク定義 |
Subject\Account Name | 更新を行ったアカウント |