Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

デジタル・フォレンジックとOSS

2,356 views

Published on

関西オープンフォーラム2017にて

Published in: Technology
  • Be the first to comment

デジタル・フォレンジックとOSS

  1. 1. デジタル・フォレンジックと OSS 立命館大学情報理工学部 上原哲太郎 (デジタル・フォレンジック研究会副会長)
  2. 2. インシデントレスポンス コンピュータやネットワーク等 の資源及び環境の不正使用、 サービス妨害行為、 データの破 壊、意図しない情報の開示等、 並びにそれらへ至るための行為 (事象)等への対応等を言う。
  3. 3. 平時の対応とインシデント対応 平時の対応 緊急時の対応 情報システム 管理者 システム管理者 又は外部の専門家 分析・ 整理 された 証拠 管理者や 専門家へ: 原因究明と 再発防止 被害拡大抑止 弁護士等へ: 法的交渉や 民事訴訟 捜査機関へ: 刑事訴訟 信頼できる認証基盤の確立 通信や操作記録の収集・保管 記録やログの消去改竄抑止 ログや記録の定常的検査に よるインシデント発見 など… 電磁的証拠の保全と収集・解析 収集過程と解析結果の文書化 証拠改竄・毀損の有無の確認・立証 証拠保全後のシステムの速やかな回復 など… 法的対応 従来のインシデント レスポンス 事件・事故の 発生 インシデントや訴訟係争の 発生/情報漏えい・ 内部不正の発覚など
  4. 4. デジタル・フォレンジックとは インシデントレスポンスや法的 紛争・訴訟に際し、電磁的記録 の証拠保全及び調査・分析を行 うとともに、電磁的記録の改ざ ん・毀損等についての分析・情 報収集等を行う一連の科学的調 査手法・技術を言う
  5. 5. そもそもForensicsって… • The application of scientific knowledge to legal problems; especially : scientific analysis of physical evidence (as from a crime scene) (by Webster) •Forensic Medicine 「法医学」 •Forensic Chemistry 「法化学」
  6. 6. 01011101 10101101 111101・・・ 被害現場 鑑識 警察 検察 裁判官 被疑者 ?? Forensically sounds? 犯罪・不正 情報解析 警察 検察
  7. 7. 誰がどうやっているのか? 対象特定 Identify 証拠保全 Preserve Collect 調査分析 Analyze 報告 Report
  8. 8. 証拠保全に求められるもの • 証拠の改ざんや滅失の防止 • そこで対象特定から報告までの手続 きが追跡・検証可能な形で記録され ることが求められる •Chain of Custody (CoC)と言われる •ハッシュや電子署名が活用される • 保全の段階で完全な複製が理想 •Imagingなどとも
  9. 9. よくある証拠保全 • メモリダンプの作成 •Live Forensics • Tag & Bag • HDDなどストレージの完全複製 • 証拠のハッシュ値計算 電子署名・タイムスタンプ • これらの過程の記録
  10. 10. 調査分析 •ログ分析 •そのPC内ではいつ誰によって何が 行われていたのか? • タイムライン分析 •データの分析 •ファイル変更・削除の痕跡調査 •削除されたファイルの復活
  11. 11. 商用Forensic toolsあれこれ Guidance Software EnCase Forensic AccessData Forensic Toolkit (FTK) X-Ways Forensics Oxygen Forensics
  12. 12. その他ツール検索は ForensicsWikiが便利 http://forensicswiki.org/
  13. 13. 課題はファーストレスポンダ • 対象の特定と証拠保全までは ファーストレスポンダが行う場合が多い • ファーストレスポンダは… •高い技量は望めない •多くは事前準備が出来ていない • よってFree/OpenSourceな ツールが望まれている • しかも「信頼」が必要…
  14. 14. 「証拠保全ガイドライン」 https://digitalforensic.jp/home/act/products/df-guideline-6th/
  15. 15. 証拠保全段階のツール • メモリダンプはOSの機能を 使う場合が多い •いわゆるクラッシュダンプ • ストレージの証拠保全は 商用ツールのものが無料公開 •FTK Imager •EnCase Forensic Imager •OSSでは dd が広く使われる • dd形式がデファクト標準
  16. 16. dd形式で良いのか?という 議論はある • HDD等の型番、シリアル番号、 ファームウェアの状態も欲しい • HDDの代替セクタ部分は?? •PARADISE問題 (by 大阪データ復旧 下垣内太氏) • DFRWSで議論 https://www.dfrws.org/ •Common Digital Evidence Storage Format (CDESF)を提唱 •The Sleuth Kitなどが対応
  17. 17. Autopsy & The Sleuth Kit
  18. 18. 高まるLive Forensicsへの要求 •Volatility Framework
  19. 19. 次はFast Forensics? • Imagingの時間の増大が深刻 • SSD普及のおかげでどうせ スラック領域から出てくる 証拠は望めない • それなら一部保全で十分では? • ただしコンセンサスなし ツールも十分ではない •長井・上原「Windows PC向け最小証 拠保全システムの試作」@CSS2017
  20. 20. もっとOSSの力を •Fast Forensic Toolは 今後需要が高まる •メモリもストレージも •日本語化問題 •特に分析では言語が重要

×