More Related Content
Similar to デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
Similar to デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド) (20)
More from UEHARA, Tetsutaro
More from UEHARA, Tetsutaro (20)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
- 1. © Ritsumeikan Trust All Rights Reserved
立命館大学情報理工学部 上原哲太郎
(デジタル・フォレンジック研究会 会長)
デジタル・フォレンジックの
最新動向
- 2. © Ritsumeikan Trust All Rights Reserved 2
デジタル・フォレンジック?
•Digital Forensics / Computer Forensics
•forensics (noun):
1: the art or study of argumentative discourse
2: the application of scientific knowledge to legal
problems; especially : scientific analysis of
physical evidence (as from a crime scene)
(Merriam-Websterによる)
- 5. © Ritsumeikan Trust All Rights Reserved 5
デジタル・フォレンジックとは何か
•Forensic Medicine=法医学
Forensic Chemistry=法化学
Digital Forensics=情報法科学?
•司法機関にとっては犯罪が疑われる際にそれに使われた機器や
データを『鑑識』して『電磁的証拠(e-Evidence)』を探し出し
分析する技術の総称
•民間では以下に関する「デジタル技術」の総称
• 組織内不正調査
• システム事故やサイバー攻撃時の原因調査
• その予防策としての『記録保持』を含むことも
- 6. © Ritsumeikan Trust All Rights Reserved 6
デジタル・フォレンジック研究会の定義
•インシデントレスポンス
• コンピュータやネットワーク等の資源及び環境の不正使用、サービス
妨害行為、 データの破壊、意図しない情報の開示等、並びにそれらへ
至るための行為(事象)等への対応等を言う。
•デジタル・フォレンジック
• インシデントレスポンスや法的紛争・訴訟に際し、電磁的記録の証拠
保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等に
ついての分析・情報収集等を行う一連の科学的調査手法・技術を言う。
• 但し最近はかなり広い意味で使われているように思う
- 7. © Ritsumeikan Trust All Rights Reserved 7
何のために使われているか
•刑事事件のため
•犯人を捜し犯罪を立証するため
•刑事事件以外のため
•民事訴訟対応のため(特に欧米で)
•企業コンプライアンスのため
• IT内部統制の健全性を確保する道具として
• 内部不正調査の道具として
•システム管理のため
• インシデンスレスポンスの武器として
• 事故なのか?悪意ある攻撃なのか?原因は?
企業の関心
- 8. © Ritsumeikan Trust All Rights Reserved 8
01011101
10101101
111101・・・
被害現場
鑑識 警察
検察
裁判官
被疑者
??
Forensically
sounds?
犯罪・不正
情報解析 警察
検察
- 9. © Ritsumeikan Trust All Rights Reserved 9
インシデントレスポンスへの備えとして・・・
平時の対応
緊急時の対応
情報システム
管理者
システム管理者
又は外部の専門家
分析・
整理
された
証拠
管理者や
専門家へ:
原因究明と
再発防止
被害拡大抑止
弁護士等へ:
法的交渉や
民事訴訟
捜査機関へ:
刑事訴訟
信頼できる認証基盤の確立
通信や操作記録の収集・保管
記録やログの消去改竄抑止
ログや記録の定常的検査に
よるインシデント発見 など…
電磁的証拠の保全と収集・解析
収集過程と解析結果の文書化
証拠改竄・毀損の有無の確認・立証
証拠保全後のシステムの速やかな回復
など…
法的対応
従来のインシデント
レスポンス
事件・事故の
発生
インシデントや訴訟係争の
発生/情報漏えい・
内部不正の発覚など
何か起きたと
きに備えて
証拠が消える前に!
消される前に!
- 10. © Ritsumeikan Trust All Rights Reserved 10
NIST SP800-86に定める
デジタル・フォレンジックのフロー
この「どこか」に関わる技術は全てDFである
収集
Collect
検査
Examine
分析
Analyze
報告
Report
データの
特定(Identify)
保全
(Preserve)
取得(Acquire)
暗号化データの復号
圧縮データの展開
収集データの選別
- 11. © Ritsumeikan Trust All Rights Reserved 11
学術的にはこれが最初
FBIの学術誌
Forensic Science Communications
2000年10月号に
Recovering and Examining Computer
Forensic Evidenceという論文が載る
- 12. © Ritsumeikan Trust All Rights Reserved 12
DFの祖 Mark Polliitt氏
https://www.ucf.edu/pegasus/training-cybersleuths/
https://inria.hal.science/hal-01060606/document
- 13. © Ritsumeikan Trust All Rights Reserved 13
Digital Forensicsの歴史
•IFIP WG11.9 on Digital Forensicsが2004に設立
•同年デジタル・フォレンジック研究会(IDF)設立
• 初代会長:辻井重男先生
• その後、佐々木良一先生、安冨潔先生と継がれ、私が4代目
•2018年 経産省「情報セキュリティサービス基準」公開
• 「情報セキュリティ監査」「脆弱性診断」「デジタル・フォレンジック」「セキュリ
ティ監視・運用」の4分野
•2020年「デジタル・フォレンジック資格認定(CDFP)」
試験開始
• 現在「基礎資格」「実務者資格」の認定が行われている
- 15. © Ritsumeikan Trust All Rights Reserved 15
典型的なデジタル・フォレンジック
削除ファイル復元
残ったファイルの分析
ログなどの記録の分析
改ざん有無の評価
調査報告書の作成
- 16. © Ritsumeikan Trust All Rights Reserved 16
デジタルフォレンジック研究会
「証拠保全ガイドライン」
•第9版が公表
•研究会Webページから
ダウンロード可能
•ファーストレスポンダ
=第一発見者が
「初動」で利用する前提
•あくまで
民間ガイドラインだが…
- 17. © Ritsumeikan Trust All Rights Reserved 17
何が書いてあるか?
• 2. 用語の定義
• 3. インシデント発生前の準備
3-1. 活動プロセス及び体制の確立
3-2. 情報収集、情報共有及び分析
3-3. 資器材等の選定及び準備
3-4. 資器材等の使いこなし
• 4. インシデント発生直後の対応
4-1. 初動対応及び証拠保全が未実施の場合
4-2. 初動対応及び証拠保全が着手済みである場合
4-3. 初動対応及び証拠保全を円滑に進めるための活動
• 5. 対象物の収集・取得・保全
5-1. 対象物の状態の把握
5-2. 収集・取得・保全するための対象物の処置
5-3. その他、収集・取得・保全する必要性がある対象物
6. 証拠保全の機器
6-1. 複製先に用いる媒体(記憶装置)
6-2. 証拠保全機器に求められる機能
6-3. 証拠保全ツールに関する要件
6-4. その他、証拠保全に必要な機器・機材・施策の準備
• 7. 証拠保全の実施
7-1. 代替機・代替ツール・代替手段の準備
7-2. 立会人等
7-3. 同一性の検証
7-4. 証拠保全の正確性を担保する作業内容の
記録
7-5. 複製先の取扱い
7-6. ネットワークログからの証拠データ抽出
7-7. ファスト・フォレンジックによる証拠
データ抽出
• 8. アウトソーシングサービスの証拠保全
8-1. 事前に行う準備
8-2. インシデント発生直後の対応
8-3. 保全方法及び作業手順の検討
8-4. 証拠作業にあたっての留意点
8-5. アカウント所有者の同意
8-6. 収集・取得・保全
• 9. コミュニケーションツール
9-1. 事前に行う準備
• 9-2. インシデント発生直後の対応
9-3. 保全方法および作業手順の検討
9-4. その他
- 18. © Ritsumeikan Trust All Rights Reserved 18
機械学習技術を用いた文書トリアージ
100万文書
サンプリング
1000文書
関
連
あ
り
関
連
な
し
専門家による分類
自動分類器
学習した
分類器の適用
分類結果を
学習へ
- 19. © Ritsumeikan Trust All Rights Reserved 19
広がるデジタル・フォレンジック
スマホや
関係サービスの
分析
対象PCや
サーバ等の
内部の分析
クラウド内の解析
SNSの相関分析
動画など
デジタルコンテンツの
分析(投稿元・改ざん…)
- 20. © Ritsumeikan Trust All Rights Reserved 20
Google Scholarの“Digital Forensics”検索数
•関連論文等
出版物は
着実に増加
- 21. © Ritsumeikan Trust All Rights Reserved 21
世界的な研究動向はこの辺で知れる
• IEEE Transactions on Information Forensics and Security
• IEEE International Workshop on Information Forensics and Security
• IEEE Signal Processing Societyによる国際会議と論文誌(Transaction)。
極めて被引用数も多くレベルが高い。ただし分野には画像処理にやや偏りがある。
• Digital Investigation
• Digital Forensics Research Workshopと連携しており実務的内容が多い。質も高い。
• International Symposium on Digital Forensics and Security
• IEEE Education Societyによる国際会議。ネットワークやIoTに関する実践的な研究が多い。
• International Journal of Electronic Security and Digital Forensics
• International Journal of Digital Crime & Forensics
• いずれもオープンアクセス論文誌。扱う分野は広いが質はややばらついている。
- 22. © Ritsumeikan Trust All Rights Reserved 22
ちょっとした心配事
•Digital Forensicsで古くから
アカデミックに活動していたグループが
相次いで活動低調に
•IFIP 11.9 WG on Digital Forensics
• 例年の国際会議は続いているが投稿が集まりにくい状態
•Journal of Digital Forensics, Security and Law
• 2022年を最後に実質休止状態に
•特に後者は実践的論文も多かったので残念
- 24. © Ritsumeikan Trust All Rights Reserved 24
日本でなぜこんなに低調?
•そもそも主戦場となる学会がない
•情報処理学会の一部の研究会(CSEC,IOT,SPT等)
•情報ネットワーク法学会?
•「ノウハウの提供」
「製品やソフトの評価」を
論文にしない傾向
- 25. © Ritsumeikan Trust All Rights Reserved 25
最近はどのような研究が多いか
•画像認識の高度化
•顔画像など生体データの匿名化
•歩様から人の分析・不審者の検出など
•個人識別とプライバシー問題
•AI学習データとプライバシー
•暗号化状態処理、匿名化、差分プライバシーなど
•生成AIなど偽画像・音声の識別
•IoTフォレンジックなど新しい課題
- 26. © Ritsumeikan Trust All Rights Reserved 26
最近の研究論文を俯瞰して
•国際的な研究コミュニティが多く形成
されるにつれ純粋アカデミックな研究が
増えてきた印象
•一方、実用まで距離がある
研究の割合が増えてきた
•実用化のためのブリッジ人材が必要な印象
- 27. © Ritsumeikan Trust All Rights Reserved 27
本日取り上げる話題
•HDD/SSDのForensicの動向
•Fake画像検出技術の動向
•Tor Onion Service分析技術の動向
- 28. © Ritsumeikan Trust All Rights Reserved 28
HDDが30TB超えの時代に
•Seagate 東芝がそれぞれ30TB発売へ
•熱アシスト記録の実用化
•WDも追随?
•一方SATAは相変わらず6Gbpsが限界
•そもそもメディア速度は回転数一定なら
記録面密度の平方根にほぼ比例…
•容量倍でも1.4倍が限界
•しかもプラッタあたり容量はさほど上がっておらず
枚数はジワジワ増え続けてる(そろそろ11枚)
30TBを300MB/sで
複製できたとしても
100000秒=27時間
- 29. © Ritsumeikan Trust All Rights Reserved 29
ストレージ増大に特効薬なし!
•証拠の評価を変えるしかない
MFT MFT複製
データ領域 データ領域
NTFSパーティション構造
各MFTエントリの構造
基
本
情
報
フ
ァ
イ
ル
名
データ 空き
小さなファイルの場合
基
本
情
報
フ
ァ
イ
ル
名
データ
空き
ラ
ン
1
ラ
ン
2
ラ
ン
3
大きなファイルの場合
ラン1 ラン3 ラン2
データ領域
MFTエントリが削除ファイルの
有無を示してくれる
一方スラック領域から重要な証拠が
出てくる確率はどんどん下がってゆく
証拠保全は
「ファイル名・ファイルサイズ・
タイムスタンプ・所有者」等の
メタ情報のみ全保存して
ファイル実体は重要なファイルのみ
スラック領域は必須としない
という方向にしないと
実務がまわらなくなるのでは
- 30. © Ritsumeikan Trust All Rights Reserved 30
SSD Trimの仕組み
1 2 3
4 5 6
7 8 9
4 5
1 2 3
4 5 6
7 8 9
1
0
1 2 3
4 5 6
7 8 9
1 5 6
1 2 3
4 5 6
7 8 9
1 5 6
A B C
4 5 6
7 8 9
1 5 6
空き
削除 消去
Trimなしでは
ファイルを削除した
段階ではここまで
Trimありでは
ファイルを削除した
段階でここまで!
- 31. © Ritsumeikan Trust All Rights Reserved 31
SSD一般化がもたらすフォレンジックの変化
•削除ファイルの復元には期待しない
•ファイルのスラック領域の分析にも期待しない
•一方SSDは大量の代替ページを持っている
ハードウェアレベルでの分析により
代替ページに意味がある情報が
残っている場合がある
- 32. © Ritsumeikan Trust All Rights Reserved 32
ライブフォレンジックの重要性
•最近は二次記憶のデータだけでは不十分
•「ファイルレスマルウェア」
•二次記憶の暗号化
(一度シャットダウンすると二度と回復できない)
•そこで動作中の主記憶の内容を
できるだけ保全しておく必要がある
•ライブフォレンジックと呼ばれる
- 33. © Ritsumeikan Trust All Rights Reserved 33
IoTとクラウドがもたらす影響
•IoT時代になり多くのモノが
ネットワーク接続
•デジタル化がすすみ、今まで
あり得なかったところに電磁的証拠
•しかもクラウドに主要データがある
- 35. © Ritsumeikan Trust All Rights Reserved 35
2022年7月 自家用車へのEDR
(Event Drive Recorder)設置義務化
• 国連規則で決定
• 56ヶ国で加盟
• 3855kg以下の車両
• 記録される内容
• 加速度
• 車速
• エンジンスロットル
• ブレーキ
• シートベルト着用有無
• エアバック警報ランプ
• エアバック展開状態
• 余談:サイバーの世界では
EDRはEndpoint Detection and
Responseの略
- 36. © Ritsumeikan Trust All Rights Reserved 36
画像改ざんがとても簡単な時代
https://www.adobe.com/sensei.html
36
- 38. © Ritsumeikan Trust All Rights Reserved 38
ChatGPTも対策はしているが…
•MS, Adobeらが
設立したC2PAの
規格により
発信源を示す
電子透かしが入る
•でも除去が難しくない
問題
- 39. © Ritsumeikan Trust All Rights Reserved 39
フェイクコンテンツの検出研究
•海外ではかなり盛んだが国内ではまだまだ
•基本戦略
•画像の複製や「継ぎ目」を探す
•生成AI固有の不自然さを探す
•AIにはAIで対抗する
•いずれも実用性は疑問符
•ベンチマーク用データセットで
8~9割の検出率
• 実際の改ざんは巧妙なので… J. Rao, S. Teerakanok and T. Uehara, "ResTran: Long Distance Relationship on Image
Forgery Detection," in IEEE Access, vol. 11, pp. 120492-120501, 2023,
doi: 10.1109/ACCESS.2023.3327761.
- 40. © Ritsumeikan Trust All Rights Reserved 40
証拠としての画像の扱いが困難に
•残念ながら「偽画像」検出技術は
生成AI等の技術発展に全く
追いつけていない
•研究はされているが実用化するまえに対策が進む
•当分は画像・映像を
唯一の証拠としない対策しない
- 41. © Ritsumeikan Trust All Rights Reserved 41
Onion Serviceについて
•代表的Darkweb
•Tor技術の利用で
サーバのIPアドレスを隠蔽できる
•ドメイン名はabcde…xyz.onionの形
•主な用途
•違法コンテンツの流通(ポルノ・海賊版)
•違法な取引の基盤(かつてのSilkroad等)
•ランサムウェアのリークサイトでの利用
Tor網
- 42. © Ritsumeikan Trust All Rights Reserved 42
実は脇が甘い場合が多い
•2018年のカプコン
ランサム攻撃の
実行グループを
2023年逮捕
•実はリークサイトの
場所は早々に判明
- 43. © Ritsumeikan Trust All Rights Reserved 43
Onionサーバ特定の基本的アイデア
•Onionサーバ運営者はHTTPサーバの
設定の細かいところに気を使ってない
•HTTPヘッダにサーバ特定情報があっても
気がついていない問題
•Host: ヘッダがない場合に「デフォルトページ」
を表示してしまう問題
•…これを全探索してしまえばいいのでは?
- 44. © Ritsumeikan Trust All Rights Reserved 44
我々の成果
•Onionサーバ
20万ドメインを調査
•同一の設定のサーバ群
(数十~数千)を
多数発見
•5個所のサーバで
IPアドレス特定に成功
•うち1つは日本
- 46. © Ritsumeikan Trust All Rights Reserved 46
参考となる文献
•デジタル・フォレン
ジックの基礎と実践
•東京電機大学出版局
•法律系では
デジタル証拠の
法律実務Q&A
日本加除出版
- 47. © Ritsumeikan Trust All Rights Reserved 47
終わりに
•デジタルフォレンジック研究のありかた
•なぜか日本の情報科学の研究者は実学が苦手
この壁をいかに乗り越えるか
•学際的研究に対する障壁
•フォレンジック人材育成のありかた
•インシデントレスポンス人材だけでよいのか?
•システム管理やマネジメント人材の育成
•司法機関における「裾野の拡大」
- 48. © Ritsumeikan Trust All Rights Reserved 48
宣伝:いばらき✕立命館DAY
https://ibaritsu.ritsumei.ac.jp/
•5月19日(日)10~17時
•事前申込不要
•情報理工学部20周年記念
記念講演:
石黒浩先生
「アバターと
未来社会」
10:30~