はじめに
デジタルフォレンジックについて書いていこうと思います。
Who am i ?
しがないエンジニアです。
この記事の想定読者
- デジタルフォレンジックについて知りたい人
- デジタルフォレンジックの入門的な本について知りたい人
- その他
そもそもデジタルフォレンジックとは?
デジタルフォレンジックは英語でDigital Forensicsと記載されDFと省略されることが一般的です。ここでもその表記に倣うこととします。
デジタル・フォレンジック研究会のページには以下のようにDFの定義が記載されています。
インシデントレスポンス*や法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います。
*インシデントレスポンス=コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う。
また技術と法律の両方に詳しくないといけなく、その法律は日本・海外で異なることも考えておかないといけません。俗にいうファストフォレンジックはDFの一つです。
デジタル・フォレンジック研究会から「証拠保全ガイドライン」が公開されています。2023年の2月あたりの公開のようですね。
書籍も出版されています。『基礎から学ぶデジタル・フォレンジック ―入門から実務での対応まで―』が個人的にオススメです。
以降ではファストフォレンジックについて単にDFと表記することにし、解説していきたいと思います。
なお、クラウドフォレンジックについてはここでは触れないこととします。フォレンジックする対象は物理環境にOSが入っている普通の端末等を想定しています。
DFでよく使うツール
私がDFでよく使うツールです。なお、マルウェア解析についてはここではDFに含めないこととします。
カービングツール
CDIR-C
Bulk Extractor
最初になんらかの手段を使って、マルウェアに感染した端末(以降、感染端末)をVMなどのイメージに変換するわけですが、VMに変換した後で以下のツールを使うことでカービングが可能になります。CDIR-CでカービングできないアーティファクトについてはBulk Extractorが大変強力です。
当たり前かもしれませんが、感染端末の情報は極力いじらないようにします。Chain of Custodyを意識することが重要です。
簡易フォレンジックツール
FTK Imager
※FTK Imagerはファイルの抽出や簡易的な復元が可能なため、まずはこれで十分だが、必ずしもデータが復元できるとは限らない点に注意。
Windows専用ツール
レジストリのパース
KaniReg(コンパイルが必要)
プレフェッチのパース
PECmd
※PECmdはこちらのブログでも紹介されています。
メモリダンプのパース
KaniVola
NTFS関連のファイルをパース
ファイル復元ツール
Recuva
※ファイルを復元するだけならRucuvaもそれなりに有用です。
Windowsのイベントログを解析するツール
Windowsのイベントログはバイナリファイルなので、扱うのが難しいです。一般的にはSplunkなどの有償のログ解析ツールを導入するのが基本なのですが、フリーのソフトもあります。以下はその一例です。
Chainsaw
Hayabusa
認定資格
デジタル・フォレンジック研究会から、「デジタル・フォレンジック・プロフェッショナル認定(CDFP)」
(CDFP:Certified Digital Forensic Professional)という資格試験に申し込むことができます。
《資格区分》
①基礎資格(Basics) 略称:CDFP-B
②実務者資格(Practitioner) 略称:CDFP-P
③管理者資格(Management) 略称:CDFP-M
※「実務者資格」取得には、「基礎資格」(CDFP Basics)の取得が必須条件となります。
「管理者資格」認定試験の実施は2023年度を予定しています。
こちらの資格については更新が必要とのことで
②実務者資格(Practitioner) 略称:CDFP-P
以下に記載がされています。
特に気になる記載は以下です。
継続要件については結構厳しいような気がします、、基本的にはIDF主催の勉強会に参加が必要とのことです。
最後に
DFはたくさんの端末があると感染端末を特定しづらいように思います。個人でDFをやる機会はCTFくらいしかないので、組織でどうやって効率よくできるか考えていきたいところです。
マルウェア解析については入門的ではありますが、こちらに記載しているので興味がある方は見てみてください。