オープンソースDFIR基盤Velociraptor完全入門
数千台のエンドポイントに、たった一つのクエリ。インシデント対応と脅威ハンティングを一変させる無料・オープンソースのDFIR基盤「Velociraptor」を、日本語で——“何ができるか”から、VQL・始め方・実務シナリオまで、防御者の視点で基礎から解説します。
📋 この記事の目次
「1台のPCを丁寧に調べる」フォレンジックは大切です。でも、攻撃が社内ネットワーク全体に広がっていたら? 1台ずつ手作業で調べていては、攻撃者のスピードに追いつけません。そこで登場するのが Velociraptor(ヴェロキラプター)——数百〜数千台のエンドポイントに、たった一つのクエリを投げて、証拠を一斉に集めることができる、無料・オープンソースのDFIR/脅威ハンティング基盤です。日本語のまとまった解説がまだ少ない領域ですが、その実力は世界中のインシデント対応の現場で証明されています。この記事は、DFIR完全ロードマップの一歩進んだ実践編として、Velociraptorの全体像をやさしく解き明かします。
Velociraptorは、エンドポイントにエージェントを配布して内部を可視化する強力なツールです。利用してよいのは、あなた自身が管理する端末・自組織のために正式に許可された環境・自分の検証用ラボに限られます。他者のPCやネットワークに無断で導入・監視する行為は、不正アクセス禁止法などに触れる犯罪です。本記事は、守る側(青チーム)がインシデント対応・調査・学習のために使うことを前提とした教育目的の解説です。まずは安全な自宅ラボから始めましょう。
🦖 Velociraptorとは? なぜDFIRを変えるのか
「1台ずつ」から「全台に一斉」へ。調査の規模とスピードを根本から変える発想を理解しましょう。
Velociraptor=“群れ”を一望できる、オープンソースのDFIR基盤
Velociraptorは、Rapid7社が支援する無料・オープンソースのエンドポイント監視/デジタルフォレンジック/インシデント対応プラットフォームです(開発者はMike Cohen氏、元はVelocidexプロジェクト)。各端末に軽量なエージェント(クライアント)を入れ、サーバから一つのクエリを送るだけで、何百・何千台もの証拠を同時に収集・検索・監視できます。1台のサーバで1万〜1.5万台規模を扱えるとされ、世界中のIR現場で定番になっています。
従来のフォレンジックは、対象の端末を1台ずつ手元に集め、ディスクを取得して解析する——という「点」の作業でした。これは精密ですが、「攻撃が組織全体のどこまで広がっているか(横展開)」を素早く知るのは苦手です。Velociraptorは、この発想を逆転させます。「証拠を中央に集める」のではなく、「クエリ(質問)を各端末に配り、端末の上で解析させて、答えだけを返してもらう」。だから、巨大なディスクを転送する必要がなく、ネットワーク全体を“面”で、しかも高速に調べられるのです。
🌐 「クエリを配る」アーキテクチャ(1つの質問 → 全台の答え)
もう一つの強みは「閉じていない」こと。市販のEDR(エンドポイント検知・対応)製品は便利ですが、中身はブラックボックスで、検知ロジックを自由に書き換えられないことが多いものです。Velociraptorはすべてが開かれていて、調べたいこと・集めたいものを自分で定義できます。新しい攻撃手口が出れば、その日のうちに「探すクエリ」を書いて全台に展開する——そんな機動力が、無料で手に入ります。
具体的に考えてみましょう。ある朝、社内の1台で不審な挙動が見つかったとします。「同じものが他の端末にもないか」を従来の方法で確かめるには、500台に1台ずつリモート接続し、手作業でプロセスやファイルを確認して回る——現実には何日もかかり、その間に攻撃者は逃げ、痕跡は上書きされて消えていきます。Velociraptorなら、「この特徴を持つものを探せ」というクエリを一度書いて全台へ展開するだけ。数分後には「7台が該当」という“答え”が表になって返ってきます。この差が、封じ込めの速さと、最終的な被害規模を決めるのです。
ひとことで言うと
Velociraptorは「ネットワーク全体に対する、巨大な検索エンジン兼・証拠収集ロボット」です。インシデント対応プレイブックで学んだ「②保全」「⑤範囲特定」を、1台ではなく組織全体に対して一気に実行するための道具——そう捉えると、役割がはっきりします。
とはいえ、Velociraptorは万能薬ではありません。これは“調べる力”を最大化する道具であって、ウイルスを自動で止め続けるアンチウイルスでも、ログをひたすら溜め込むSIEMでもありません。日々の自動防御や常時のログ集約は専用製品に任せ、「何かあったとき、深く・広く・速く調べる」局面でこそ真価を発揮します。道具の役割を正しく見極めることが、使いこなしの第一歩です。
🧩 アーキテクチャと6つの中核概念
専門用語が多く見えますが、6つの言葉さえ押さえれば、ドキュメントがぐっと読みやすくなります。
Velociraptorを理解する鍵は、次の6つの概念です。これらは互いに関係し合っていて、「VQLという言語で書いたArtifactを、Hunt(全台)またはCollection(個別)として実行し、結果をNotebookで分析する」という一連の流れになっています。
クライアント/サーバ
各端末で動く軽量エージェント(クライアント)が、中央のサーバと常時つながる構成。サーバが指示を出し、クライアントが実行して結果を返します。
VQL(クエリ言語)
Velociraptorの心臓部。SQLによく似た言語で、「何を・どこから・どんな条件で集めるか」を記述します。収集も監視も操作も、すべてVQLで動きます。
アーティファクト(Artifact)
「この証拠をこう集める」を定義した再利用可能な“レシピ”。数百の既製レシピが付属し(例:Windows.Triage.Targets)、自分で書くこともできます。
ハント(Hunt)
一つのアーティファクトを多数の端末へ一斉に展開する仕組み。「全台から、この永続化の痕跡を探せ」といった脅威ハンティングの主役です。
コレクション(Collection)
特定の1台から証拠を集める単位。オフラインコレクター(単体EXE)で集めた証拠パッケージも、暗号化・持ち出し・中央解析ができます。
ノートブック(Notebook)
集めた結果を、VQLやMarkdownで対話的に分析・記録する場所。調査の思考過程とレポートを、そのまま一つにまとめられます。
とりわけ強力なのがアーティファクトの“エコシステム”です。Velociraptorには、世界中のDFIR実務者が磨き上げてきた数百の既製アーティファクトが標準で同梱され、コミュニティ(Artifact Exchange)でも共有されています。「ブラウザ履歴を集める」「自動起動を洗い出す」「特定の永続化手口を探す」といった“やりたいこと”の多くは、すでに誰かがレシピ化済み。だから初心者でも、プロが設計した収集・検知を、選んで実行するだけで使えるのです。これが「無料なのに高機能」を支える土台です。
関係を一文で
VQLで書いたアーティファクトを、全台ならハント・個別ならコレクションとして実行し、返ってきた結果をノートブックで読み解く。これがクライアント/サーバの上で回ります。まずはこの地図だけ覚えておけば十分です。
🔍 VQL入門:SQLが分かれば読める
VQLは“怖い”言語ではありません。データベースのSELECT文が読めれば、もう半分わかったようなものです。
VQL(Velociraptor Query Language)は、データベースで使うSQLにそっくりな構文を持っています。基本は「SELECT(何を)→ FROM(どこから)→ WHERE(どんな条件で)」の3点セット。「どこから」にあたるのがプラグイン(例:pslist()=実行中プロセス一覧、glob()=ファイル探索)で、ここがVQLならではの部分です。
🔬 VQLの解剖図(SELECT → FROM → WHERE の3点セット)
▲ =~ は「正規表現にマッチする」という意味。SQLの LIKE の強力版です。正規表現の基礎を押さえると、VQLの表現力が一気に上がります。
結果は表形式で返ります。条件を足していけば、「親プロセスが Office なのに PowerShell を起動している」(=マクロからの不審な実行の疑い)といった、“違和感”をピンポイントで探すクエリに育てられます。VQLは関数を組み合わせて、ハッシュ計算・YARAスキャン・レジストリ探索・イベントログ解析なども一続きに書けます。
▲ 取得したSHA256を脅威インテリジェンス(IOC)と突き合わせれば、既知のマルウェアかどうかをすばやく判定できます。
▲ 攻撃者が再起動後も居座るための「自動起動」は、永続化の定番。これを全台へハントすれば、感染端末を芋づる式に洗い出せます。レジストリも glob() で“ファイルのように”探索できるのがVQLの面白さです。
VQLが扱えるのは、プロセスやファイル、レジストリだけではありません。イベントログ、WMI、スケジュールタスク、ネットワーク接続、サービス、ユーザーアカウント、ブラウザ履歴、さらにはメモリ上の情報やYARAによるスキャンまで——OSのありとあらゆる“痕跡”を、同じ SELECT 文の作法で問い合わせられます。覚えることは増えますが、「文法は一つ、対象は無数」。一度コツをつかめば、調べられる範囲が一気に広がっていきます。だからこそ、新しい攻撃手口が登場しても、その特徴を表すVQLを書けば、すぐに“探す力”へ変えられるのです。
VQLの真価は奥深いですが、最初から自作する必要はありません。Velociraptorには数百の既製アーティファクトが同梱されていて、GUIから選んで実行するだけで、プロが設計した収集・検知がすぐ使えます。「まず既製品を使う → ログを見て中のVQLを読む → 少しずつ自分で書き換える」——この順番が、挫折しない学び方です。
🚀 3つの始め方(自分の環境で安全に)
「サーバ構築」と聞くと身構えますが、実は“EXEを1個動かすだけ”から始められます。
Velociraptorは単一の実行ファイルで動き、用途に応じて3つの使い方があります。学習なら、まず(1) オフラインコレクターが圧倒的におすすめ。サーバもエージェントも要らず、1台で完結します。
しかも、一度つくったオフラインコレクターは使い回せます。「初動トリアージ用」「マルウェア調査用」といった目的別のEXEをあらかじめ用意しておけば、いざというとき現場の担当者に渡して“実行するだけ”で均質な証拠が集まります。これは、人によってバラつきがちな初動対応を、誰でも同じ品質で再現できる手順に変える大きな武器です。IRプレイブックに「収集用コレクターを事前準備」と一行加えておくだけで、対応のスピードと確実性がぐっと上がります。
オフラインコレクター(まずはこれ)
「何を集めるか」を選んで単体のEXEを生成し、調査対象(自分の端末や検証VM)で実行するだけ。証拠が1つのアーカイブにまとまります。サーバ不要で、KAPEのKapeFilesターゲットも利用でき、トリアージ収集の感覚をすぐ体験できます。
ディスクイメージ解析(デッドディスク)
取得済みのディスクイメージに対してVQLを走らせ、オフラインで解析。すでに保全した証拠を、Velociraptorのアーティファクトで深掘りできます。Autopsyなどと併用すると視点が増えます。
どの方式でも、Velociraptorは単一のバイナリで動くため、導入のハードルは驚くほど低いのが特長です。まずはオフラインコレクターで「集める感覚」をつかみ、慣れてきたらサーバを立てて「全台を一望する感覚」へ。ステップを分ければ、専門チームでなくても着実に扱えるようになります。
□ 自分専用の検証環境(VM・自宅ラボ)を用意した(本番や他人の端末では試さない)/□ 公式サイト(velociraptor.app)から正規のバイナリを入手した/□ まずはオフラインコレクターで自分のVMから証拠を集めてみる/□ 集めた結果の中身(どんなアーティファクトが何を取ったか)をノートブックで眺める。INetSimなどと組み合わせれば、マルウェアを安全に走らせて“Velociraptorで観察する”練習もできます。
🎯 実務シナリオ:IR・ハンティング・監視
Velociraptorが本当に輝くのは“現場”。インシデント対応の各局面で、どう使うのかを見ていきます。
ここまでの道具立てが、実際のインシデントでどう効くのか。IRプレイブックの流れに沿って、代表的な使い方を整理します。
| 場面 | Velociraptorの使い方 | 使う機能 |
|---|---|---|
| 初動トリアージ | 感染が疑われる端末から、メモリ情報・実行履歴・自動起動・最近のファイルを一括収集 | コレクション/Triage系アーティファクト |
| 範囲特定(横展開) | 「この不審なファイル名/ハッシュ/レジストリ値が、ほかに何台にあるか」を全台へ一斉照会 | ハント |
| 脅威ハンティング | 侵害の前提を置かず、永続化・不審なサービス・既知IOCを能動的に探索 | ハント+カスタムVQL |
| 常時監視 | WindowsのETW・LinuxのeBPF・Sigmaルールで、イベントをリアルタイム検知 | クライアントモニタリング |
| 封じ込め・復旧 | (2025年の機能強化)承認のもとで不審プロセスの停止やファイル隔離など能動的対処 | レスポンス系アーティファクト |
見落とされがちですが、Velociraptorは“過去を掘り起こす”だけでなく“今を見張る”こともできます。WindowsのETW(Event Tracing for Windows)やLinuxのeBPFを使えば、プロセス起動や不審な通信をリアルタイムに監視でき、SIEM横断で使える汎用の検知ルール記法Sigmaもそのまま活用できます。つまり、インシデント後の“調査基盤”が、そのまま日々の常時監視・早期検知の基盤にもなる——一粒で二度おいしい設計です。
速い
数千台への照会が数分。手作業とは桁違いのスピード
広い
1台の“点”ではなく、組織全体の“面”を一望できる
自由
VQLで検知ロジックを自作・即展開。ブラックボックスでない
無料
オープンソース。学習・自宅ラボ・中小組織でも導入しやすい
他のツール・知識とつながる
Velociraptorが集めたWindowsアーティファクトは、そのまま深掘り解析の入口になります。C2通信の痕跡やマルウェア感染の確認と組み合わせ、検知結果をSplunkなどのSIEMへ流せば、点と点が線になります。Linux環境の調査はLinuxフォレンジックも参照を。
⚖️ KAPE・EDRとの使い分け/学習ロードマップ
「結局どれを使えばいいの?」に答えます。道具は競合ではなく、役割分担です。
Velociraptorは万能に見えますが、すべてを置き換えるものではありません。KAPEや市販EDRとは、得意分野が違います。違いを押さえると、現場での選択が楽になります。
| 観点 | Velociraptor | KAPE | 市販EDR |
|---|---|---|---|
| 得意 | 多数端末の一斉収集・ハント・監視 | 単体端末の高速トリアージ収集 | 常時の自動検知・防御・運用 |
| 規模 | 数千台まで“面”で | 基本は1台ずつ“点”で | 組織全体(製品が管理) |
| 柔軟性 | VQLで何でも自作できる | ターゲット定義で収集を調整 | ベンダー依存(中身は不透明) |
| 費用 | 無料・OSS | 無料(GUI版gKAPEも) | 有償(サブスク) |
| 主な担い手 | IR・ハンター・自宅学習 | フォレンジック調査員 | SOC・情シス運用 |
実際の現場では、これらを組み合わせて使います。たとえば——市販EDRが日々のアラートを上げ、怪しい兆候が出たらVelociraptorのハントで全台への波及を一気に確認。確定した端末はKAPEで精密にトリアージ収集し、深掘り解析へ回す。それぞれの“得意”をつなぐことで、検知から究明・封じ込めまでが一本の線になります。「どれか一つ」ではなく「適材適所」——これが実務の発想です。
挫折しない学習ロードマップ
① 自宅ラボ(検証VM)を用意 → ② オフラインコレクターで自分のVMから証拠収集を体験 → ③ 既製アーティファクトを実行し、中のVQLを“読む” → ④ 例1・例2のような短いVQLを“書き換える” → ⑤ サーバを立てて複数VMをハント → ⑥ ETW/eBPF/Sigmaで監視に挑戦。全体像はいつでもDFIRロードマップに戻って確認しましょう。
「無料のツールを、本番の調査で信頼していいのか」と不安に思うかもしれません。Velociraptorはオープンソースとして世界中で検証され、Rapid7の支援のもとで活発に開発が続く成熟したプロジェクトです。世界中のインシデント対応企業やCSIRTが実戦で採用し、2025年にはサーバから承認付きで端末に対処する能動的レスポンス(active remediation)の機能強化も発表されました。コミュニティの厚みが、品質と進化を支えている——それが、無料でありながら一線級であり続けられる理由です。
Velociraptorは、端末の奥深くを覗き、操作する力を持ちます。だからこそ、導入には正式な承認を、アクセスには認証・監査ログを、収集する情報の範囲にはプライバシー配慮を。組織で使う際は「誰が・いつ・何を集め・誰が見られるか」を文書化し、濫用を防ぐルールとセットで運用してください。力を正しく使うことが、防御者の信頼の土台です。
📚 用語集・FAQ・次に読む
つまずきやすい用語と、よくある疑問をまとめました。
ここまでに出てきた言葉の“答え合わせ”として、用語集とFAQを用意しました。Velociraptorは奥が深いツールですが、入口はこの記事の範囲で十分です。あとは自分の検証ラボで手を動かしながら、少しずつ世界を広げていきましょう。最初の一歩を踏み出せば、「ネットワーク全体を一望する」という感覚が、きっと癖になります。
📖 用語集
| 用語 | 意味 |
|---|---|
| VQL | Velociraptor Query Language。SQLに似た、証拠収集・監視のためのクエリ言語。 |
| アーティファクト | 「何をどう集めるか」を定義した再利用可能なVQLのレシピ。既製・自作が可能。 |
| ハント(Hunt) | 一つのアーティファクトを多数の端末へ一斉展開する仕組み。脅威ハンティングの中核。 |
| コレクション | 特定端末から証拠を集める単位。オフラインコレクター=単体EXE版もある。 |
| ノートブック | 収集結果をVQL/Markdownで対話的に分析・記録する場所。 |
| クライアント/サーバ | 端末側エージェントと中央の司令塔。クエリ配布と結果集約を担う。 |
| トリアージ | 全部ではなく“重要な痕跡だけ”を素早く選別収集すること。 |
| ETW | Event Tracing for Windows。Windowsの詳細イベントを取得する仕組み。 |
| eBPF | Linuxカーネルで安全にイベントを観測する技術。Linux監視に使われる。 |
| Sigma | SIEM横断で使える汎用の検知ルール記法。Velociraptorでも利用できる。 |
❓ よくある質問(FAQ)
プログラミングは苦手です。VQLは書けるようになりますか?
はい。VQLはSQLにそっくりで、SELECT〜FROM〜WHEREの形が読めれば入門できます。さらに、最初は数百の既製アーティファクトをGUIから選ぶだけで実用的な収集ができます。「既製品を使う→中のVQLを読む→少し書き換える」と進めば、無理なく身につきます。正規表現を知っておくと、より楽になります。
EDRを入れていれば、Velociraptorは不要では?
役割が違います。EDRは常時の自動検知・防御の運用が得意。Velociraptorは調べたいことを自由に定義して深く掘るのが得意です。EDRがアラートを上げた後、「本当に何が起きたのか、ほかに何台波及したのか」を究明する調査・ハンティングの相棒として、両者は補完関係にあります。
無料なのに、なぜそんなに高機能なのですか?
Velociraptorはオープンソースで開発され、現在はRapid7が支援しています。世界中のDFIR実務者がアーティファクトを出し合い、改良を重ねてきました。商用のマネージドサービスも存在しますが、ツール本体は無料で使えるため、学習・自宅ラボ・中小組織でも導入しやすいのが魅力です。
会社のPCで勝手に試してもいいですか?
いいえ。エージェント配布や端末調査は、必ず正式な承認と適切な権限のもとで行ってください。無断での導入・監視は、社内規程違反や法令違反になり得ます。学習は自分専用の検証VM・自宅ラボで。組織導入時は、収集範囲・閲覧権限・監査ログのルールを文書化してから始めましょう。
まず何から触ればいいですか?
オフラインコレクターです。サーバもエージェントも不要で、設定したEXEを自分の検証VMで実行するだけ。証拠が1つのアーカイブにまとまる体験から始めると、「Velociraptorが何を集めてくれるのか」が一気に腑に落ちます。慣れたらサーバを立てて、複数VMへのハントに進みましょう。
Windows以外でも使えますか?
はい。VelociraptorはWindows・Linux・macOSに対応するクロスプラットフォームです。WindowsではETW、LinuxではeBPFを使ったリアルタイム監視ができ、Linuxサーバの調査にも力を発揮します。混在環境でも、同じVQLの考え方で横断的に調べられるのが強みです。
エージェントを入れると端末が重くなりませんか?
クライアントは軽量に設計され、普段は静かに待機します。収集や監視はサーバからの指示があったときに走り、しかも解析は端末側で完結するため、巨大データをネットワークに流し続けることもありません。サーバ側にはリソース制御の仕組みもあり、一斉ハント時の負荷もコントロールできます。とはいえ本番展開の前に、必ず検証環境で挙動と負荷を確認しましょう。
🧭 次に読む
🗺️ 全体像と実践
🔧 収集・解析のツール
🎯 ハンティングの材料
📚 参考・出典(一次情報)
- Velociraptor 公式ドキュメント(docs.velociraptor.app)— Overview / VQL Fundamentals / Artifacts
- Rapid7「Velociraptor」製品ページ、および Active Remediation 関連の公式ブログ(2025年4月)
- Velocidex / Dr. Michael Cohen による Velociraptor プロジェクト資料・DFRWS発表
- RFC 3227「Guidelines for Evidence Collection and Archiving」(証拠保全の原則)
- MITRE ATT&CK(ハンティングで探す攻撃手口の共通言語)
コメント