システムセキュリティ入門
デジタルフォレンジック基礎
1.ディジタルフォレンジックの基礎

1.ディジタルフォレンジックの基礎

1.1. ディジタルフォレンジックの手順

1.1.1. フォレンジック手法の分類

ディジタルフォレンジックの手順はNISTでは以下分類法を採用している。

  1. データの収集: データの完全性を保護するフローに従いデータを機別/記録し、取得する
  2. 検査: データの完全性を保護しながら収集したデータを自動的手法および手動的手法の組早生を使いフォレンジック処理を行う
  3. 分析: 法的に正当な手法/技法を使用して検査結果を分析し、役立つ情報を導き出す
  4. 報告: 分析結果の報告を行う

1.1.2. フォレンジック調査の手順の一例

この例では企業内部の不正がPCにより行われた可能性をフォレンジック調査する際の例を提示する。

  1. 第1段階:事前準備
    • 不正を行った可能性の高い職員のPCを確保し、証拠データの汚染を防ぐために専用消去ツールでHDDのデータに上書きを行い、完全消去し証拠取得用のHDDとして扱う
  2. 第2段階:データの収集
    • 職員のPCを手に入れPCからHDDを取り出す
    • 証拠取得用HDDに100%物理コピーを行う
    • 対象HDDと証拠取得用HDDのデータ同一性を比較するためにハッシュ値またはディジタル署名をとり改ざんが行われていないことを示す
    • 物理コピーされたデータを解析ソフトウェアに適したイメージファイルに変換する
  3. 第3段階:データの復元
    • 解析用のファイル形式に変換された証拠データを解析ソフトウェアで認識する。この段階で過去に消去されたファイルの復元を試みたり、暗号化されたファイルの復号を試みる
    • ソフトウェアにはEnCase, Autopsyなどが使用される
  4. 第4段階:データの分析
    • ファイルデータの分別を行う
    • ビューワーを用いて様々なファイルを1つの解析ソフトウェアで閲覧する
    • 必要に応じてパスワードリカバリやレジストリエリアを閲覧する
    • Windowsレジストリを解析することで接続されたUSBや最後に閲覧しURLがわかることがある
  5. 第5段階:報告書の作成
    • 法廷や提出資料として重要視されるレポートの作成を行う。内容は客観的、真正であること、理解可能であることが求められる

1.1.3. ディジタルフォレンジックの解析軸

証拠性の保持に関する情報処理機器

以下がフォレンジックの対象となるハードウェアである。

  • サーバ
  • PC
  • ネットワーク
  • 携帯電話/携帯端末、スマートフォン
  • IoT機器

電磁的記録を保管する記憶媒体

以下の記憶媒体もフォレンジック対象となる。

  • 不揮発性記憶媒体
    • ハードディスク(HDD)
    • SSD
    • USBメモリ
    • 光学ドライブ(DVDなど)
  • 揮発性媒体
    • メインメモリ(RAM)
    • レジスタ

フォレンジックの証拠として扱う磁気記憶の種類

フォレンジックで用いられるログには以下のようなものがある。

  • システムログ
    • Unix系OSのSyslog
    • Windowsのイベントログ
  • アプリケーションのログ
    • Apache/Nginxのアクセスログ
    • IISのアクティログ
  • セキュリティのログ
    • マルウェア対策ソフトウェア
    • IDS/IPSのログ
    • Webプロキシのログ
    • 脆弱性管理ソフトウェアのログ
    • 認証サーバ(Radiusなど)
    • FWやルータなどのログ

1.1.4. ファイル/データ復元技術の概要

コンピュータ(OS)においてデータはファイルの形で通常保存される。 ファイルには管理情報実情報(実データ)の部分があり、管理情報にはファイル名や作成日時などのタイムスタンプがある。

ファイルを削除する際はごみ箱やShift+Deleteの完全削除という動作で削除を行うが、実際は実情報が削除されたわけではなく管理情報が書き換わっただけとなる。 こうしたデータはRecuvaやDatarecoveryなどの復元ソフトウェアやAutopsy等のフォレンジックツールで実情報を表示させることができる場合がある。

NTFSファイルシステムの仕様

NTFSはWindowsにおけるファイルシステムで最も使われているもの。 NTFSはファイルを消去する際にファイルレコードヘッダの配置済みのフラグを未配置にする。

復元ツールやフォレンジックツールでは未配置でも実情報領域を調べデータを取り出し表示できる場合がある。

ドライブごとの復元成功率

システムドライブであるCドライブとデータ保存専用領域専用ドライブのDドライブを用意し、データの作成/削除後に通常作業を行ってデータの復旧の成功率を以下に表す。

  • Cドライブ
    • 削除後6時間で10回中6回復元成功
    • 削除後24時間で10回中0回復元成功(復元失敗)
  • Dドライブ
    • 常に成功

1.1.5. 対象ごとのフォレンジック分類

  • ストレージフォレンジック(狭義のディジタルフォレンジック)
    • PCやサーバ上のHDD/SSDのデータを収集/解析することにより不正の証拠を確保するための手順/技術のこと
  • ネットワークフォレンジック
    • セキュリティのインシデントの発生源を発見するために、ネットワーク上のイベントをキャプチャ/記録/分析する手法や技術のこと
  • モバイルフォレンジック
    • 携帯電話/スマートフォンのような無線を用いて通信する機器に対するフォレンジック
  • メモリフォレンジック
    • メインメモリ(RAM)上にあるような揮発性データ等に対する解析に関する手順や技術のこと

1.1.6. 手法ごとのフォレンジックの分類

  • ライブフォレンジック
    • 起動中のコンピュータに対してリアルタイムに情報収集/解析を行うこと
    • メモリフォレンジックに加えHDD/SSDなどからのデータ収集も含む
  • ファストフォレンジック
    • インシデントレスポンスや早急な捜査のため証拠確保の完全性を多少無視したフォレンジックのこと
2.マルチメディア解析