スポンサーリンク

【バレる前に】パソコンを不正利用されていないか調べる方法|ログ確認で証拠も残せる!

Windows
2025.07.13
  1. 1. 「誰かがPCを勝手に使ってるかも…」と不安なあなたへ
  2. 2. 不正利用の証拠になる「イベントログ」とは?
    1. どうしてログが重要なの?
  3. 3. 電源ON・OFFの履歴を見る方法(イベントID: 6005・6006)
    1. ▼ ステップ①:イベントビューアーを開く
    2. ▼ ステップ②:「システムログ」を開く
    3. ▼ ステップ③:「フィルター」で特定のログだけ表示する
    4. ▼ イベントIDの意味
    5. ▼ ここで何が分かるの?
  4. 4. ログイン・ログアウト履歴を確認する(イベントID: 7001・7002)
    1. ▼ ステップ①:イベントビューアーを開いた状態で
    2. ▼ ステップ②:「ログイン関連イベント」を絞り込む
    3. ▼ ステップ③:「Winlogon」がソースのログだけを見る
    4. ▼ ここで何がわかる?
    5. ▼ ログイン履歴は「証拠」にもなる
    6. ▼ 注意点
  5. 5. リモートアクセスの履歴を調べる(イベントID: 4624 / ログオンタイプ10)
    1. ▼ リモートログインの記録も、イベントログに残っている!
    2. ▼ ステップ①:「セキュリティ」ログを開く
    3. ▼ ステップ②:「イベントID 4624」でログオン履歴を絞る
    4. ▼ ステップ③:「ログオンの種類」を確認する
    5. ▼ Logon Type 10があったら注意!
    6. ▼ ここで分かること
    7. ▼ 注意点
  6. 6. アプリケーション起動・終了の履歴確認(イベントID: 4688・4689)
    1. ▼ ただし注意:この機能は標準では無効!
    2. ▼ まずは準備:ローカルセキュリティポリシーの有効化
    3. ▼ ローカルセキュリティポリシーでの設定手順
    4. ▼ 起動・終了ログの確認方法(イベントID: 4688 / 4689)
    5. ▼ 各イベントIDの意味
    6. ▼ ログからわかる情報(一部)
    7. ▼ ここで分かること
    8. ▼ 注意点
  7. 7. 一般的なセキュリティ対策|身近なリスクへの備えを忘れずに
    1. ▼ 見落とされがちな「ショルダーハック」に注意!
    2. ▼ 4桁PINコードの使い回しは危険!
    3. ▼ 「PC画面ロック」の習慣化を!
    4. ▼ セキュリティソフトの導入もおすすめ
    5. ▼ 不要なPCは処分前にログ削除と初期化を!
  8. よくある質問(FAQ)
    1. 関連投稿:

1. 「誰かがPCを勝手に使ってるかも…」と不安なあなたへ

「最近、パソコンの挙動がなんだかおかしい気がする…」
「誰かに勝手にログインされたかもしれない…」
そんなふうに感じたことはありませんか?

たとえば、自分が触っていないはずの時間に電源が入っていたり、開いた覚えのないアプリが起動していたり…。こうした小さな違和感、じつは不正利用のサインかもしれません。

実際、会社の共有パソコンや家庭のPCなど、複数人が使う環境では、意図しないアクセスや操作が行われることがあります。さらに悪質な場合、情報の抜き取りや、ログイン履歴を隠すような操作をされている可能性もゼロではありません。

でもご安心を。
Windowsには「イベントログ」という機能があり、誰が・いつ・どんな操作をしたかを記録してくれています。
これを使えば、自分が知らない時間帯に電源が入っていたとか、誰かがログインしていたといった証拠を見つけることができます。

実はこの機能、セキュリティ目的だけでなく、「サービス残業の証明」や「休日出勤の履歴」として活用する人もいるんです。
会社でのPC利用がタイムカードだけではカバーしきれない場合、自分の働いた証拠として使えるのはかなり心強いですよね。

この記事では、パソコンが勝手に使われたかどうかをチェックする具体的な方法を、初心者にもわかりやすく解説していきます。

「まさか自分は関係ない」と思っていても、予防の意味でも一度確認しておくのがおすすめです。
ではさっそく、イベントログの確認方法から見ていきましょう!



2. 不正利用の証拠になる「イベントログ」とは?

パソコンで起こった出来事は、実はすべて「イベントログ」という記録ファイルに残っています。
これはWindowsの中に組み込まれている公式の機能で、電源のオン・オフからログイン、アプリの起動やクラッシュまで、細かな履歴がすべて時系列で保存されています。

つまりこのイベントログを調べれば、

  • 誰がパソコンを操作したのか
  • いつ電源が入ったのか
  • どのアプリが起動されたのか
    といった情報を、あとから証拠として確認できるというわけです。

どうしてログが重要なの?

たとえば、以下のような状況が起こったとき——

  • 自分が外出しているはずの時間にPCの電源が入っていた
  • 夜中に誰かがこっそりパソコンを使っていた形跡がある
  • アプリケーションが起動されていたが自分には心当たりがない

こうした場合、言い訳や想像ではなく「証拠(=ログ)」があれば、はっきりと原因を突き止めることができます。しかもこのログは自動で記録されるため、自分が意識していなくても勝手に残っているのがポイントです。

次は、このイベントログを実際にどうやって確認するか、初心者でもわかる手順で一つずつ解説していきます。ちょっと探しづらい場所にあるので、普段はあまり気にしないかもしれませんが、いざというときには心強い味方。



3. 電源ON・OFFの履歴を見る方法(イベントID: 6005・6006)

まずは、パソコンの電源がいつ入って、いつ切られたかを確認する方法から紹介します。
これを調べることで、たとえば「自分が使っていない時間に電源が入っていた」といった不審なタイミングを見つけることができます。

▼ ステップ①:イベントビューアーを開く

イベントログを確認するには「イベントビューアー」というツールを使います。

起動方法は2つあります:

  1. タスクバーの検索ボックスに「イベント」と入力
     →「イベントビューアー」と表示されたらクリック
  2. Windowsキーを右クリック →[イベントビューアー]を選択

▼ ステップ②:「システムログ」を開く

イベントビューアーが起動したら、画面左側のメニューから次の順にクリックします:

  1. Windowsログ」をクリック
  2. その中の「システム」を選びます

これで、Windowsが記録しているシステム関連のログ一覧が右側に表示されます。

▼ ステップ③:「フィルター」で特定のログだけ表示する

電源のON/OFFの記録だけを絞り込むために、フィルターを使います。

  1. 右側の「現在のログをフィルター」をクリック
  2. イベントID」の欄に 6005,6006 と入力(カンマで区切ります)
  3. 「OK」を押してログを絞り込みます

▼ イベントIDの意味

  • 6005:Windowsの起動(イベントログサービスの開始)
     → これはパソコンの電源が入ったという記録です。
  • 6006:Windowsのシャットダウン(イベントログサービスの終了)
     → これはパソコンの電源が切られた記録になります。

▼ ここで何が分かるの?

これらのログをチェックすると、たとえば以下のような使い方ができます:

🕵️‍♂️ 例1:外出中に6005のログがある
→ 自分以外の誰かがパソコンを起動した可能性あり!

🕓 例2:夜中に6005→6006のログが短時間で繰り返されている
→ 不審なアクセスがあったり、自動更新などの可能性も考えられる!

この方法はあくまで電源のオン・オフのみを記録します。
つまり、「誰が操作したのか」まではわかりませんし、ログインせずに電源を切った場合でも記録は残ります



4. ログイン・ログアウト履歴を確認する(イベントID: 7001・7002)

前のステップでは、パソコンの電源が「いつ入って」「いつ切られたか」を確認する方法をご紹介しました。
ここではさらに一歩進んで、「誰かがWindowsにログインしたのか?」を調べる方法を解説します。

ログイン履歴は、明らかに自分が使っていない時間に誰かがアクセスしていたかどうかを判断する、非常に重要な手がかりになります。

▼ ステップ①:イベントビューアーを開いた状態で

すでにイベントビューアーを開いている場合は、画面左の「Windowsログ → システム」のままでOKです。
開いていない方は、前のセクション「電源ON・OFF履歴を見る方法」を参考に起動してください。

▼ ステップ②:「ログイン関連イベント」を絞り込む

今度は、「ログイン」と「ログアウト」に対応するログだけを表示します。

  1. 画面右側の「現在のログをフィルター」をクリック
  2. 「イベントID」の欄に 7001,7002 を入力
  3. 「OK」を押してフィルターを適用

▼ ステップ③:「Winlogon」がソースのログだけを見る

表示されたログのうち、**「ソース(出力元)」が「Winlogon」**と記載されたものだけが対象です。

  • イベントID 7001(Winlogon) → Windowsへのログイン
  • イベントID 7002(Winlogon) → Windowsからのログアウト

この2つが1セットになっていれば、誰かが実際にPCにログインして操作した形跡があるということです。

▼ ここで何がわかる?

たとえば、次のような確認ができます:

🔐 例1:平日の夜10時に7001(ログイン)がある
→ 仕事が終わって家にいるはずなのに会社のPCが使われていた?

👤 例2:7001と7002の間が5分未満で終了している
→ 何か不審な確認だけされてログアウトされたかも?

こうしたパターンは、誰かがこっそりログインして内容を見ていたといった可能性も考えられるため、特に注意が必要です。

▼ ログイン履歴は「証拠」にもなる

このログは、「勤務していた証明」や「操作した事実の裏付け」にも活用できます。
たとえば、上司から「その時間、本当にPCを使ってたの?」と聞かれたときに、ログインログを証拠として提示することが可能です。

▼ 注意点

  • ログインイベントは、「自動ログイン」設定でも記録されます
  • ログオン失敗などの履歴は別のイベントID(4625など)に記録されます



5. リモートアクセスの履歴を調べる(イベントID: 4624 / ログオンタイプ10)

自分が使っていない時間にパソコンが勝手に動いていた――
そんなときにもう一つチェックしておきたいのが、「リモートアクセス」の履歴です。

誰かが遠隔操作であなたのPCにログインしていた可能性もあります。
ここでは、その痕跡を調べる方法を紹介します。

▼ リモートログインの記録も、イベントログに残っている!

Windowsでは、リモートデスクトップやリモートアシスタンスなどでログインがあった場合も、ちゃんとログが残ります。
確認に使うのは、「セキュリティ」ログと呼ばれるものです。

▼ ステップ①:「セキュリティ」ログを開く

  1. イベントビューアーの左メニューから
     **「Windows ログ」→「セキュリティ」**をクリックします。
  2. ログが大量に表示されるので、次にフィルター機能を使って絞り込みます。

▼ ステップ②:「イベントID 4624」でログオン履歴を絞る

  1. 右側の「現在のログをフィルター」をクリック
  2. 「イベントID」に 4624 を入力して「OK」

これで、Windowsにログインが成功したすべての記録が表示されます。

▼ ステップ③:「ログオンの種類」を確認する

ログを一つずつ開いて、中にある**「ログオンの種類(Logon Type)」**の数字をチェックします。

  • Logon Type: 2 → コンソールログオン(物理的に直接ログイン)
  • Logon Type: 10 → リモートデスクトップ(遠隔操作でログイン)

▼ Logon Type 10があったら注意!

この「Logon Type: 10」のログがある場合、それはリモートからのアクセスがあったという証拠です。

さらにログの中には次のような情報も表示されます:

  • アカウント名(User Name)
  • ドメイン(Domain)
  • ログオン元のIPアドレス(Source Network Address)

これにより、「誰が」「どこから」アクセスしてきたかが、ある程度特定できます。

▼ ここで分かること

🖥️ 例1:深夜にLogon Type 10の履歴がある
→ 自分のいない時間に誰かが遠隔操作した可能性あり!

🌐 例2:知らないIPアドレスからのログインが複数回
→ 外部からの不正アクセスの危険も!

▼ 注意点

  • 一部の社内ネットワークやITサポートが正規のリモート接続をしている場合もあるため、不審なアクセスかどうかの判断は慎重に行いましょう。
  • 不明なIPアドレスについて調べるには「IPアドレス 検索」などで調べると、地域の特定ができることもあります。

リモートアクセスが疑われるようなログが見つかった場合は、すぐにパスワード変更やネットワーク設定の見直しを行うことをおすすめします。



6. アプリケーション起動・終了の履歴確認(イベントID: 4688・4689)

不正利用のチェックで「誰かがログインしていた」ことがわかっても、「何を操作していたのか」までは分かりませんよね。
そんなときに役立つのが、アプリケーションの起動と終了の履歴を追跡する方法です。

これを見れば、
「WordやExcelを開いて何かを見ていた」
「USBツールを使ってデータを抜き出していた」
といった操作内容のヒントがつかめるかもしれません。

▼ ただし注意:この機能は標準では無効!

アプリケーション起動の記録は、ローカルセキュリティポリシーで“監査”を有効化しないと記録されません。
Windows Proでは簡単に設定できますが、Windows Homeでは少し工夫が必要です。

このセクションでは、

  • Windows Home/Proの設定方法
  • 起動ログの確認手順
    をわかりやすく解説していきます。

▼ まずは準備:ローカルセキュリティポリシーの有効化

【Windows Proの場合】

  1. Windowsキー + R を押して「ファイル名を指定して実行」ウィンドウを開く
  2. secpol.msc」と入力し、Enterを押す
  3. ローカルセキュリティポリシーが起動する

【Windows Homeの場合】

Windows Homeにはこの機能が標準で含まれていないため、バッチファイル(.BAT)を使って手動で有効化します。

⚠ この作業はシステム設定を変更するため、自己責任で行ってください
必ず事前に「復元ポイント」を作成しておくことを強くおすすめします。

▼ ローカルセキュリティポリシーでの設定手順

  1. 「監査ポリシー」→「プロセス追跡の監査」をダブルクリック
  2. 「成功」「失敗」両方にチェックを入れて「OK」

この設定が完了すれば、以後、アプリの起動や終了がセキュリティログに記録されるようになります

▼ 起動・終了ログの確認方法(イベントID: 4688 / 4689)

ステップ:

  1. イベントビューアー →「Windowsログ → セキュリティ」を開く
  2. 右側の「現在のログをフィルター」で
     「イベントID:4688,4689」を入力し、「OK」

▼ 各イベントIDの意味

  • 4688:アプリケーションの起動(新しいプロセスが作成された)
  • 4689:アプリケーションの終了(プロセスが終了した)

▼ ログからわかる情報(一部)

  • 実行されたアプリのファイル名(例:C:\Program Files\Word\winword.exe
  • 実行したユーザー名
  • 実行時刻
  • 起動元プロセス名(どのアプリから起動されたか)など

▼ ここで分かること

🔍 例1:ログイン直後に「chrome.exe」「explorer.exe」が動作
→ 通常操作かも?

😨 例2:「cmd.exe」「powershell.exe」「usb転送アプリ」などが不自然に起動
→ 情報の抜き取りやシステム操作の疑いあり!

▼ 注意点

  • 監査ログは有効化後しか記録されません。過去の起動履歴は見られません。
  • 重要なログは自動で上書きされることもあるため、こまめに確認・保存するのが安心です。



7. 一般的なセキュリティ対策|身近なリスクへの備えを忘れずに

ここまで、パソコンの不正利用をチェックする具体的な方法を紹介してきました。
でも、ログを確認してから「異常があった!」と気づくよりも、そもそも不正利用されないように防ぐことがもっと大切です。

このセクションでは、日常生活の中でできる基本的なセキュリティ対策をまとめて紹介します。

▼ 見落とされがちな「ショルダーハック」に注意!

セキュリティといえば外部からのハッキングを想像しがちですが、意外と多いのが**「身近な人」からの覗き見や推測によるアクセス**です。

特に注意したいのが、ショルダーハックと呼ばれる手口。

👀 ショルダーハックとは?
→ パスワードやPINコードを入力しているところを背後から見て盗み見る行為です。
職場・学校・カフェなど、近くに人がいる環境では特にリスクが高まります。

▼ 4桁PINコードの使い回しは危険!

PINコードは入力が簡単で便利ですが、4桁は見られただけで覚えられやすいのが難点。
同じ数字を長期間使っていると、身近な人に推測されてアクセスされるリスクがあります。

対策:

  • PINコードは定期的に変更する
  • 生年月日や電話番号など、推測されやすい数字は避ける
  • サインインオプションで英数字を組み合わせたパスワードに変更するのもアリ

▼ 「PC画面ロック」の習慣化を!

たとえ席を離れるのが一瞬でも、PCをロックせずに放置するのは危険です。
ちょっとしたスキに、誰かに中身を見られたり、USBでデータを持ち出されたりする可能性もあります。

ショートカットで簡単ロック:

  • Windowsキー + L で即ロック!

▼ セキュリティソフトの導入もおすすめ

不正アクセスの中には、外部からのウイルス感染やリモート操作ツールの侵入といったケースも存在します。
そうしたリスクを防ぐには、信頼できるセキュリティソフトを導入するのが効果的です。

🛡 おすすめ:ウイルスバスター クラウド【トレンドマイクロ公式】

  • 脅威の侵入をリアルタイムでブロック
  • フィッシング詐欺や危険なWebサイトへのアクセスも事前に警告
  • 3台までインストールOKなので、PCだけでなくスマホにも使えます!

【ウイルスバスタークラウド】

Amazonでチェックする

▼ 不要なPCは処分前にログ削除と初期化を!

もし古いPCを手放す場合は、イベントログなど個人の痕跡を含めた完全初期化が必要です。

🧾 「送るだけでOK!無料PC処分サービス」『送壊ゼロ』(株式会社HAKU)

  • データ消去証明書付きで安心
  • 箱に詰めて送るだけ、送料のみで利用可能!

パソコン無料処分サービス『送壊ゼロ』

よくある質問(FAQ)

Q
イベントログを削除されたら証拠は消えますか?
A

はい、基本的には削除されます。
管理者権限を持つユーザーであれば、イベントログを手動でクリアすることができます。
もし「誰かが証拠隠しのためにログを消した可能性」がある場合、それ自体も不自然な操作として警戒が必要です。

また、「セキュリティログの消去」もイベントとして記録されるので、ログ消去の履歴が残っていないかも合わせて確認しましょう(イベントID:1102)。

Q
Windows Homeではイベントログが一部見られないって本当?
A

基本的なログは見られますが、監査ログ(4688や4689など)の記録は手動で有効化しないと残りません。
Windows Homeではローカルセキュリティポリシー(secpol.msc)が標準搭載されていないため、追加設定が必要です。

本文で紹介した手順に従って .BATファイル を作成・実行すれば、Home版でも有効化は可能です

Q
リモートアクセスされたログは必ず残りますか?
A

通常のリモートデスクトップ接続(RDP)であれば、イベントID 4624(Logon Type: 10)に記録されます。
ただし、特殊なツールや改ざんされたソフトを使われた場合、ログが残らないケースや改ざんされるケースもゼロではありません。
そのため、日頃から「不審な動きがないか」をチェックする習慣をつけることが一番の予防策です。

関連投稿:

Windows 11で絶対にやるべき初期設定|Microsoftが勝手にONにしている“危険設定”を全解除! 【Gmailの乗っ取り防止】「履歴にアクセスできなくなる可能性があります」の意味と対処法 Googleアカウントのびっくりマークの意味とは?警告の正体と安全対策を徹底解説 【初心者向け】Windows11で今すぐやるべきセキュリティ設定5選|ウイルス・ハッキング対策の基本

※当サイトはアフィリエイト広告を利用しています。リンクを経由して商品を購入された場合、当サイトに報酬が発生することがあります。

※本記事に記載しているAmazon商品情報(価格、在庫状況、割引、配送条件など)は、執筆時点のAmazon.co.jp上の情報に基づいています。
最新の価格・在庫・配送条件などの詳細は、Amazonの商品ページをご確認ください。

スポンサーリンク