デジタル・フォレンジックの研究動向
立命館大学
情報理工学部
情報システム学科
サイバーセキュリティ研究
室
上原哲太郎
http://www.cysec.cs.ritsumei.ac.jp/
デジタル・フォレンジック形容詞が Forensic
発音は
用語上の定義
fə-ˈren-sik(s) の方が
 フォレンジック(ス) Forensics

一般的

 Webster によると
“ the application of s...
01011101
10101101
111101 ・・・
NPO デジタル・フォレンジック研
究会
( IDF )による定義
 インシデント・レスポンス※や法的紛争・訴
訟に対し、電磁的記録の証拠保全及び調
査・分析を行うとともに、電磁的記録の改
ざん・毀損等についての分析・情報収集等
を行う一連の...
デジタル・フォレンジックは
「電磁的証跡」の取扱いに関する技
術
 電磁的記録(電磁的証跡,電子証拠)
(digital evidence / e-evidence) は:

 削除がとても簡単
 捏造が比較的簡単
 データが大量→部分...
システム管理者にとっての
デジタルフォレンジック
平時の対応

従来のインシデント
レスポンス

緊急時の対応
事件・事故の
発生
インシデントや訴訟係
争の発生/情報漏え
い・
内部不正の発覚など

情報システム
管理者

信頼できる認証基盤...
用語の広がり
 「システム管理手法」という文脈での用法
 証跡になる可能性のあるログ保全技術
 インシデント発生時の証拠保全と収集技術

 「電磁的証跡の解析技法」という文脈での用
法
 消去ファイルの復活・パスワードリカバリ
 改...
海外のデジタルフォレンジック
研究の歴史
 1995 ~ 7 年あたりにかけて“ Computer
Forensics”  “ Network Forensics” という
言葉が使われ始める

 “Computer Forensics: ...
研究コミュニティの形成
 2001 年 Digital Forensics Research Workshop
(DFRWS) 開始  http://www.dfrws.org/

 最古で今も一番活発
 「実学的」 “ Forensic...
その他の学会
 2006 年  Association on Digital Forensics,
Security and Law (ADFSL)
 米国で Conference on ~( CDFSL )を開催
50 人規模
 論文誌...
現在の状況
 ForensicsWiki (www.forensicswiki.org)
によると 2014 年に開かれるイベントは
22 !
 アジア地区でも毎年開かれる学会が
 Int’l Symposium on Digital F...
日本の論文を探してみる
 Web of Science で
“ Digital forensics”
or “Computer ~”
を検索すると…

 CiNii で
“フォレンジック”を検
索
 文献は 138 件!

 総数 36...
他の Forensics 的な分野は?
 CiNii で検索

 J-Global で検索

 「法医学」 6423
 「法科学」 2620
 「鑑識」
1077
 「科学捜査」801
 「法化学」 299

 「法医学」 20...
情報科学の研究者にとっての
デジタルフォレンジック
 「犯罪や不正抑止のための
 電磁的記録の取り扱い」という視点で
既存の技術を見直したもの
 要素技術の新規開発テーマは少ないが
応用技術の方向性で勝負できる

 なので論文になりにくい...
研究分野を分類してみる
システム研究と
証拠保全技術
メディア研究の
 事前処理(ログ記録・保管技術・・・)
2 つの軸
 事後処理(正しい「証拠保全」のあり方)
今メディア優勢

 技術分野


 証拠収集技術
 データ収集技術そ...
システム寄りの
主な研究(1)
 データ収集・保全技術関連

 伝統的外部記憶デバイスからの
データ取りだし
 主記憶からのデータ取り出し
 高度化・大容量化する RAID への対応
 SSD などフラッシュメモリへの対応
 スマー...
米国で大流行の
Predictive Coding
 E-Discovery のコストを劇的に削減
 機械学習技術を使って、事件に関連する文
書を効率よく高精度で絞り込む
 企業内の大量の文書から、当該事案に関係す
る文書をいくつかピック...
システム寄りの主な研究(2)
 ネットワークフォレンジック関連

 Web ・メール・ VoIP ・ P2P の検出・監視・分
析・・・
 IDS / IPS 関連技術
 インターネットトレースバック
 Bot の検出・ C&C サー...
メディア処理関係技術
 画像の分析,音声の分析
 大量データからの人の顔・音声の同定と抽出
 さらに個人の同定

 デジカメ画像からのカメラ機種推定・個体同
定
( Toolmarking)
 改竄の検知

 電子メールや文書の分析...
今の流行は?
 主な学会の最近の論文を調べてみると…
 DFRWS

 「モバイル対応」「メモリフォレンジック」「多言語対
応」

 IFIP WG11.9

 「モバイル対応」「プロファイリング・著者推定」
「データマイニング」

...
今後求められそうな研究
 より高度なアノマリ解析

 フォレンジック対応のための証跡の活用
インシデントに関わる機器を早期検出

 電子文書関連の研究

 機械学習を利用した関連文書絞り込み
 筆者推定、改ざん検出など

 マルチメ...
画像の改ざんハードルが下がる
 Photoshop などの
「コンテンツに応じた塗り」により
被写体の「自然な」改ざんが楽に
 どうやって見つけるか?
 周波数成分の解析で不連続性を検出など

 音声に関しても同様
社会的ニーズは
インシデントレスポンス
 2011 年あたりが転機
 ゲーム会社への侵入事件
 防衛産業へのサイバー攻撃
 衆参両院・各省庁…

 インシデントレスポンス人材の不足
 運用負荷軽減技術
 人材育成
終わりに
 デジタルフォレンジック研究のありかた
 なぜか情報科学の研究者は実学が苦手
この壁をいかに乗り越えるか
 学際的研究に対する障壁をどうするか
 司法機関との関係をどうするか

 大学関係者は人材育成のありかたも
問われそう
Upcoming SlideShare
Loading in …5
×

20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会

1,580 views

Published on

デジタルフォレンジックの研究同区尾

0 Comments
7 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,580
On SlideShare
0
From Embeds
0
Number of Embeds
70
Actions
Shares
0
Downloads
27
Comments
0
Likes
7
Embeds 0
No embeds

No notes for slide

20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会

  1. 1. デジタル・フォレンジックの研究動向 立命館大学 情報理工学部 情報システム学科 サイバーセキュリティ研究 室 上原哲太郎 http://www.cysec.cs.ritsumei.ac.jp/
  2. 2. デジタル・フォレンジック形容詞が Forensic 発音は 用語上の定義 fə-ˈren-sik(s) の方が  フォレンジック(ス) Forensics 一般的  Webster によると “ the application of scientific knowledge to legal problems; especially : scientific analysis of physical evidence (as from a crime scene)”  Forensic Science は「法科学」と訳される Forensic Medicine: 法医学 Forensic Chemistry: 法化学・・・  日本では日本法医学会 日本法科学技術学会などが活 動  デジタルフォレンジックスはこれのデジタル版  Computer Forensics の拡大版
  3. 3. 01011101 10101101 111101 ・・・
  4. 4. NPO デジタル・フォレンジック研 究会 ( IDF )による定義  インシデント・レスポンス※や法的紛争・訴 訟に対し、電磁的記録の証拠保全及び調 査・分析を行うとともに、電磁的記録の改 ざん・毀損等についての分析・情報収集等 を行う一連の科学的調査手法・技術を言う 。  コンピュータやネットワーク等の資源及び環 境の不正使用、サービス妨害行為、データの 破壊、意図しない情報の開示等、並びにそれ らへ至るための行為(事象)等への対応等を 言う。 ※
  5. 5. デジタル・フォレンジックは 「電磁的証跡」の取扱いに関する技 術  電磁的記録(電磁的証跡,電子証拠) (digital evidence / e-evidence) は:  削除がとても簡単  捏造が比較的簡単  データが大量→部分的に切り取れば恣意的解釈が可 能  技術的に高度なので法曹関係者には評価しにくい 民事だと原告被告間のコンセンサスも必要  必要なのは「信頼できる収集・分析技術」と 「標準的運用プロセス+客観的確認手段」の確 立  単なる技術だけでなく「法曹から受け入れ可能」で
  6. 6. システム管理者にとっての デジタルフォレンジック 平時の対応 従来のインシデント レスポンス 緊急時の対応 事件・事故の 発生 インシデントや訴訟係 争の発生/情報漏え い・ 内部不正の発覚など 情報システム 管理者 信頼できる認証基盤の確立 通信や操作記録の収集・保 管 記録やログの消去改竄抑止 ログや記録の定常的検査に よるインシデント発見 な ど… 分析・ 整理 された 証拠 システム管理者 又は外部の専門家 電磁的証拠の保全と収集・解析 収集過程と解析結果の文書化 証拠改竄・毀損の有無の確認・立証 証拠保全後のシステムの速やかな回 復 など… 管理者や 専門家へ: 原因究明と 再発防止 被害拡大抑止 弁護士等へ: 法的交渉や 民事訴訟 捜査機関へ: 刑事訴訟 法的対応
  7. 7. 用語の広がり  「システム管理手法」という文脈での用法  証跡になる可能性のあるログ保全技術  インシデント発生時の証拠保全と収集技術  「電磁的証跡の解析技法」という文脈での用 法  消去ファイルの復活・パスワードリカバリ  改ざん画像、映像、音声や文書の検出…  「従来の証拠分析技法のデジタル化」での用 法  大量の文書からの事件関連文書の高速検出  大量画像からの事件関連画像の高速検出
  8. 8. 海外のデジタルフォレンジック 研究の歴史  1995 ~ 7 年あたりにかけて“ Computer Forensics”  “ Network Forensics” という 言葉が使われ始める  “Computer Forensics: An Approach to Evidence in Cyberspace,” Mark Pollitt, 1995  “Network forensics and traffic monitoring,” Ranum, M J, 1997  今でも Wikipedia は Computer   Forensics  こちらはシステム屋に好まれる用語  2000 年前後には Digital Forensics という 概念が生まれる  Information Forensics とも言う  メディア処理研究者が多く参入
  9. 9. 研究コミュニティの形成  2001 年 Digital Forensics Research Workshop (DFRWS) 開始  http://www.dfrws.org/  最古で今も一番活発  「実学的」 “ Forensic Challenge” などのコンテストも主 催  HDD イメージの規格 CDESF の提案 WG なども  論文誌 Digital Investigation とタイアップ  来年から米欧で各年 1 回に  2004 年 IFIP (情報処理連合)の TC11 (技術委員 会)に WG11.9 として Digital Forensics が発足  毎年 1 月頃学会を主催(米国、米国外交互)  60 ~ 100 名 規模  DFRWS に比べると学術的  Springer から Advances in Digital Forensics を毎年発行
  10. 10. その他の学会  2006 年  Association on Digital Forensics, Security and Law (ADFSL)  米国で Conference on ~( CDFSL )を開催 50 人規模  論文誌を年 4 回発行 Journal on ~( JDFSL )  2006 年  IEEE Int’l Workshop on Information Forensics and Security ( WIFS )  IEEE Trans. on ~と連携  2002 年  International Workshop on Digital-forensics and Watermarking   ( IWDW)  LNCS に毎回収録  2006 年  IEEE Systematic Approaches to Digital Forensic Engineering (IEEE/SADFE)
  11. 11. 現在の状況  ForensicsWiki (www.forensicswiki.org) によると 2014 年に開かれるイベントは 22 !  アジア地区でも毎年開かれる学会が  Int’l Symposium on Digital Forensics and Information Security (DFIS)  International Conference on Digital Forensics and Investigation  ( ICDFI)  Asian International Conference on Availability, Reliability and Security (AsiaARES)
  12. 12. 日本の論文を探してみる  Web of Science で “ Digital forensics” or “Computer ~” を検索すると…  CiNii で “フォレンジック”を検 索  文献は 138 件!  総数 36.8 万件  J-Global で 2000 年以降は “デジタル・フォレン 毎年 1.5 ~ 1.8 万件 ジック”“コンピュータ フォレンジック”およ び類語を全て検索  日本語の文献は 7 !
  13. 13. 他の Forensics 的な分野は?  CiNii で検索  J-Global で検索  「法医学」 6423  「法科学」 2620  「鑑識」 1077  「科学捜査」801  「法化学」 299  「法医学」 20882  「法科学」 5238  「鑑識」 1426  「科学捜査」2940  「法化学」 57  「インシデント レスポンス」6  「インシデント レスポンス」3
  14. 14. 情報科学の研究者にとっての デジタルフォレンジック  「犯罪や不正抑止のための  電磁的記録の取り扱い」という視点で 既存の技術を見直したもの  要素技術の新規開発テーマは少ないが 応用技術の方向性で勝負できる  なので論文になりにくいというジレンマ  しかし社会的要求は確実に上がった
  15. 15. 研究分野を分類してみる システム研究と 証拠保全技術 メディア研究の  事前処理(ログ記録・保管技術・・・) 2 つの軸  事後処理(正しい「証拠保全」のあり方) 今メディア優勢  技術分野   証拠収集技術  データ収集技術そのもの(含むファイル復活)  データ分析技術、検索技術  (場合によっては)暗号化解除技術  証拠分析技術  文書マイニング・画像映像解析・フォーマット解析  法曹分野  技術の評価と法的位置づけの確立  電子証拠収集プロセスの確立と評価
  16. 16. システム寄りの 主な研究(1)  データ収集・保全技術関連  伝統的外部記憶デバイスからの データ取りだし  主記憶からのデータ取り出し  高度化・大容量化する RAID への対応  SSD などフラッシュメモリへの対応  スマートフォン・タブレットのデータ取り出し  クラウドの取り扱い  データ中の証跡の取り出し・検索関連  ファイルシステム・システムファイルの解析  消去データ復元・破損データ修復・ Carving  パスワード解析・暗号の解読・データハイディング対 抗  証跡の検索・マイニング関連(特に機械学習の応用)
  17. 17. 米国で大流行の Predictive Coding  E-Discovery のコストを劇的に削減  機械学習技術を使って、事件に関連する文 書を効率よく高精度で絞り込む  企業内の大量の文書から、当該事案に関係す る文書をいくつかピックアップして学習  その学習結果を基に、残りの文書中から類似 度の高い文書を検索
  18. 18. システム寄りの主な研究(2)  ネットワークフォレンジック関連  Web ・メール・ VoIP ・ P2P の検出・監視・分 析・・・  IDS / IPS 関連技術  インターネットトレースバック  Bot の検出・ C&C サーバ等の検出  匿名性強化技術への対抗( P2P 、 Tor など)  SNS 、クラウドストレージなど サービスに特化した分析  マルウェアの解析関連技術  解析の効率化
  19. 19. メディア処理関係技術  画像の分析,音声の分析  大量データからの人の顔・音声の同定と抽出  さらに個人の同定  デジカメ画像からのカメラ機種推定・個体同 定 ( Toolmarking)  改竄の検知  電子メールや文書の分析  筆者の推定( Authorship Attribution )  文書作成に使ったソフトウェア・ツールの同 定
  20. 20. 今の流行は?  主な学会の最近の論文を調べてみると…  DFRWS  「モバイル対応」「メモリフォレンジック」「多言語対 応」  IFIP WG11.9  「モバイル対応」「プロファイリング・著者推定」 「データマイニング」  CDFSL  「法的フレームワークとの関係」「事例紹介」「クラウ ド対応・ネットワーク分析」  WIFS  「マルチメディアデータの解析」「バイオメトリクス」 「プライバシー保護」  意外と現場で聞かれる「クラウド対応」「新デバ イス対応」「匿名性技術対抗」が少ない
  21. 21. 今後求められそうな研究  より高度なアノマリ解析  フォレンジック対応のための証跡の活用 インシデントに関わる機器を早期検出  電子文書関連の研究  機械学習を利用した関連文書絞り込み  筆者推定、改ざん検出など  マルチメディアデータの改ざん検出  画像・音声等の改ざん  新しいメディア・システムへの対応  SSD などのリカバリ  RAID 対応  クラウドへの対応  ネットワーク上での追跡の新技法  P2P, Tor 対抗、 LSN/CGN 対応 IPv6 対応
  22. 22. 画像の改ざんハードルが下がる  Photoshop などの 「コンテンツに応じた塗り」により 被写体の「自然な」改ざんが楽に  どうやって見つけるか?  周波数成分の解析で不連続性を検出など  音声に関しても同様
  23. 23. 社会的ニーズは インシデントレスポンス  2011 年あたりが転機  ゲーム会社への侵入事件  防衛産業へのサイバー攻撃  衆参両院・各省庁…  インシデントレスポンス人材の不足  運用負荷軽減技術  人材育成
  24. 24. 終わりに  デジタルフォレンジック研究のありかた  なぜか情報科学の研究者は実学が苦手 この壁をいかに乗り越えるか  学際的研究に対する障壁をどうするか  司法機関との関係をどうするか  大学関係者は人材育成のありかたも 問われそう

×