UEHARA, Tetsutaro, profile picture
Uploaded byUEHARA, Tetsutaro
PPTX, PDF2,481 views

証拠保全とは?

20180426 日本シーサート協議会 シーサートワークショップ in 関西にて

Technology
Related topics:
Digital Forensics

Embed presentation

Downloaded 27 times
日本シーサート協議会 シーサートワークショップ in 関西 証拠保全とは? 立命館大学情報理工学部 上原哲太郎 (デジタル・フォレンジック研究会副会長)
インシデントレスポンス コンピュータやネットワーク等 の資源及び環境の不正使用、 サービス妨害行為、 データの破 壊、意図しない情報の開示等、 並びにそれらへ至るための行為 (事象)等への対応等を言う。
平時の対応とインシデント対応 平時の対応 緊急時の対応 情報システム 管理者 システム管理者 又は外部の専門家 分析・ 整理 された 証拠 管理者や 専門家へ: 原因究明と 再発防止 被害拡大抑止 弁護士等へ: 法的交渉や 民事訴訟 捜査機関へ: 刑事訴訟 信頼できる認証基盤の確立 通信や操作記録の収集・保管 記録やログの消去改竄抑止 ログや記録の定常的検査に よるインシデント発見 など… 電磁的証拠の保全と収集・解析 収集過程と解析結果の文書化 証拠改竄・毀損の有無の確認・立証 証拠保全後のシステムの速やかな回復 など… 法的対応 従来のインシデント レスポンス 事件・事故の 発生 インシデントや訴訟係争の 発生/情報漏えい・ 内部不正の発覚など
デジタル・フォレンジックとは インシデントレスポンスや法的 紛争・訴訟に際し、電磁的記録 の証拠保全及び調査・分析を行 うとともに、電磁的記録の改ざ ん・毀損等についての分析・情 報収集等を行う一連の科学的調 査手法・技術を言う
そもそもForensicsって… • The application of scientific knowledge to legal problems; especially : scientific analysis of physical evidence (as from a crime scene) (by Webster) •Forensic Medicine 「法医学」 •Forensic Chemistry 「法化学」
01011101 10101101 111101・・・ 被害現場 鑑識 警察 検察 裁判官 被疑者 ?? Forensically sound? 犯罪・不正 情報解析 警察 検察
これが大切 •Forensically-Sound 「法科学的に見て健全な」 •法的紛争・訴訟に利用可能か? •法廷に提出された証拠が適切な 手続きに基づいたものである ことが確認できるか??
誰がどうやっているのか? 対象特定 Identify 証拠保全 Preserve Collect 調査分析 Analyze 報告 Report
PC等の押収 PCのBIOS設定確認・変更 証拠保全・解析用HDDの準備 関連するファイル等の確認、印字 PCのCD起動等/HDDをDF用 PCに外付け HDDの物理コピー(保全用・解析用) 削除・隠蔽データの復元、内容 確認、印字 報告書(鑑定書)作成 証拠取得 解析 DoD等の規格に基づく消去 パスワードリカバリーを含む Tag & Bag押収 報告書作成 複製元HDDへの書込み防止 ハッシュ値による検証 タイムスタンプ等の書換え防止 内蔵HDD起動→CD起動等 基本的なプロセスは「現状保存」 ストレージの複製、内容解析 舟橋信氏資料より
証拠保全に求められるもの • 証拠の改ざんや滅失の防止 • そこで対象特定から報告までの手続 きが追跡・検証可能な形で記録され ることが求められる •Chain of Custody (CoC)と言われる •ハッシュや電子署名が活用される • 保全の段階で完全な複製が理想 •Imagingなどとも
必要なのはコンセンサス •「自由心証主義」by Wikipedia •訴訟法上の概念で、事実認定・証 拠評価について裁判官の自由な判 断に委ねることをいう。裁判官の 専門的技術・能力を信頼して、そ の自由な判断に委ねた方が真実発 見に資するという考えに基づく。
証拠保全の流れ • 動作状況の記録 • 揮発性の証拠収集 •Live Forensics(メモリダンプなど) • Tag & Bag • HDDなどストレージの完全複製 • 証拠のハッシュ値計算 電子署名・タイムスタンプ • これらの過程の記録
課題はファーストレスポンダ • 対象の特定と証拠保全までは ファーストレスポンダが行う場合が多い • ファーストレスポンダは… •高い技量は望めない •多くは事前準備が出来ていない • よってFree/OpenSourceな ツールが望まれている • しかも「信頼」が必要…
「証拠保全ガイドライン」 https://digitalforensic.jp/home/act/products/df-guideline-6th/ デジタル・フォレンジック 研究会技術分科会により 策定・更新が進んでいる このところ1年ごとに更新 現在第6版で 夏までには第7版になる予定 約80ページ
証拠保全ガイドラインの内容 本編 1 事前に行う準備 1.1 インシデントレスポンスを想定した初動対応、証拠保全プロセスの検討及び 体制の確立 1.2 インシデントレスポンスに関連する情報収集、情報共有及び分析 1.3 インシデントレスポンス(初動対応、証拠保全)時に必要と考えられる資機 材等の選定及び準備 1.4 インシデントレスポンス時に使用する資機材等の熟達 1.5 Webで提供されているサービスの保全 1.6 クラウド環境の保全 2 インシデント発生(又は発覚、以下同じ)直後の対応 2.1 インシデントレスポンスが未実施の場合の活動 2.2 インシデントレスポンスが着手済みである場合の活動 2.3 インシデントレスポンスを円滑に進めるための活動
証拠保全ガイドラインの内容 3 対象物の収集・取得・保全 3.1 対象物の状態の把握 3.2 収集・取得・保全するための 対象物の処置 3.3 その他、収集・取得・保全する 必要性がある対象物 4 証拠保全機器の準備 4.1 複製先(コピー先、以下同じ)に 用いる媒体(記憶装置) 4.2 証拠保全機器に求められる機能 4.3 証拠保全ツールに関する要件 4.4 その他、証拠保全に必要な機器・ 機材・施策の準備 5 証拠保全作業中・証拠保全作業後 5.1 代替機・代替ツール・代替手段の準備 5.2 立会人等 5.3 同一性の検証 5.4 証拠保全の正確性を担保する作業内容の記録 5.5 複製先の取扱い 5.6 Webで提供されているサービスに係る収集 ・取得・保全 5.7 ネットワークログからの証拠データ抽出 付録 1 チェックシート(デスクトップPCの場合) 2 証拠保全ガイドライン用語集(Glossary) 3 デジタル・フォレンジックに関連する我が国の 主な刑事法 4 関連資料紹介 5 Chain of Custody(CoC)シート例 6 刑事・民事におけるデータ収集と 解析フローイメージ図 7 参考資料
2.インシデント発生直後の対応 2.1 インシデントレスポンスが未実施の場合の活動 2.1.1 発⽣したインシデントの内容の把握 2.1.1.1 発⽣したインシデントの内容 ① 情報流出・データ破壊 ② 不正プログラム(マルウェア、悪意のあるスクリプト等) の実⾏ ③ 不正アクセス・不許可の持ち出し、コンプライアンス違反 ④ 設定ミス、操作ミス、物理的故障 ⑤ システム悪⽤、破壊⾏為、内部犯⾏
•図2が重要 •対象特定後 対象の種類と 状態により 読むべき 章が変わる
3.2.1 対象物がコンピュータで、 電源がOFF の状態の場合 ① 原則として電源をON にしてはならない。 • HDD/SSD 全体暗号化等、やむを得ず電源を ON にしなければ証拠保全ができない場合を除く。 但 し、その場合も証拠保全作業の責任者の指揮 の下、電源をON にした時のリスク(ファイルの タイムスタンプや内容の変更などの影響)を受容 して、証拠保全作業を実施する。 • ファームウェアのマルウェア感染や意図的な改ざ んが行われる可能性がある場合は、電源をON … … … … …
チェックリスト(抜粋)
CoCシートの例
証拠保全ガイドラインの目的と限界 •この手順に則って行うと Forensically-Soundであると 保証するものではない •コンセンサス形成に資するもの •具体的には裁判例 •明らかに不足している部分あり •メモリフォレンジックなど
証拠保全段階のツール • メモリダンプはOSの機能を 使う場合が多い •いわゆるクラッシュダンプ • ストレージの証拠保全は 商用ツールのものが無料公開 •FTK Imager •EnCase Forensic Imager •OSSでは dd が広く使われる • dd形式がデファクト標準
dd形式で良いのか?という 議論はある • HDD等の型番、シリアル番号、 ファームウェアの状態も欲しい • HDDの代替セクタ部分は?? •PARADISE問題 (by 大阪データ復旧 下垣内太氏) • DFRWSで議論 https://www.dfrws.org/ •Common Digital Evidence Storage Format (CDESF)を提唱 •The Sleuth Kitなどが対応
Autopsy & The Sleuth Kit
高まるLive Forensicsへの要求 •Volatility Framework
次はFast Forensics? • Imagingの時間の増大が深刻 • SSD普及のおかげでどうせ スラック領域から出てくる 証拠は望めない • それなら一部保全で十分では? • ただしコンセンサスなし ツールも十分ではない •長井・上原「Windows PC向け最小証 拠保全システムの試作」@CSS2017
証拠保全の後は調査分析 • ログ分析 •そのPC内ではいつ誰によって何が行われてい たのか? • タイムライン分析 • データの分析 •ファイル変更・削除の痕跡調査 •削除されたファイルの復活 • 原則は証拠保全後プロが行うが 状況によっては「ハズレ」を弾くため ファーストレスポンダにも必要かも
商用Forensic toolsあれこれ Guidance Software EnCase Forensic AccessData Forensic Toolkit (FTK) X-Ways Forensics Oxygen Forensics
その他ツール検索は ForensicsWikiが便利 http://forensicswiki.org/

More Related Content

PDF
Privilege escalation from 1 to 0 Workshop
byHossam .M Hamed
 
PPT
SQLインジェクション再考
byHiroshi Tokumaru
 
PPTX
Introduction to Penetration Testing
byAndrew McNicol
 
PDF
Pen-Testing with Metasploit
byMohammed Danish Amber
 
PDF
Building a Successful Internal Adversarial Simulation Team - Chris Gates & Ch...
byChris Gates
 
PDF
イエラエセキュリティMeet up 20210820
byGMOサイバーセキュリティ byイエラエ株式会社
 
PPT
Ethical Hacking and Penetration Testing
byRishabh Upadhyay
 
PPTX
Using Splunk for Information Security
bySplunk
 
Privilege escalation from 1 to 0 Workshop
byHossam .M Hamed
 
SQLインジェクション再考
byHiroshi Tokumaru
 
Introduction to Penetration Testing
byAndrew McNicol
 
Pen-Testing with Metasploit
byMohammed Danish Amber
 
Building a Successful Internal Adversarial Simulation Team - Chris Gates & Ch...
byChris Gates
 
イエラエセキュリティMeet up 20210820
byGMOサイバーセキュリティ byイエラエ株式会社
 
Ethical Hacking and Penetration Testing
byRishabh Upadhyay
 
Using Splunk for Information Security
bySplunk
 

What's hot

PDF
Threat Modeling Everything
byAnne Oikarinen
 
PDF
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
PPTX
Penetration Testing
byRomSoft SRL
 
PPT
Stuxnet - Case Study
byAmr Thabet
 
PPTX
Enumeration et Exploitation
byAbdul Baacit Coulibaly
 
PPTX
Ethical hacking : Its methodologies and tools
bychrizjohn896
 
PPT
Security Compliance Web Application Risk Management
byMarco Morana
 
PDF
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
PPTX
Selenium×PostgreSQL15×Grafanaで思い出を保存&分析するプロジェクト(第35回PostgreSQLアンカンファレンス@オンライン...
byNTT DATA Technology & Innovation
 
PDF
Defending Against the Dark Arts of LOLBINS
byBrent Muir
 
PDF
Bypassing Port-Security In 2018: Defeating MacSEC and 802.1x-2010
byPriyanka Aash
 
PDF
DevSecOps 101
byNarudom Roongsiriwong, CISSP
 
PDF
France cyber security
byKaren Gordon
 
PDF
ISACA -Threat Hunting using Native Windows tools .pdf
byGurvinder Singh, CISSP, CISA, ITIL v3
 
PDF
Penetration testing
byAmmar WK
 
PPTX
Architecture centric support for security orchestration and automation
byChadni Islam
 
PPT
Faq17 我家已經有一臺有線分享器,請問wf2409 e要如何設定才能接在這原有的分享器下正常運作?(lan接wan)
by臺灣塔米歐
 
PPTX
Unrestricted file upload CWE-434 - Adam Nurudini (ISACA)
byAdam Nurudini
 
PPTX
A1-6 ドメイン乗っ取られた!!
byJPAAWG (Japan Anti-Abuse Working Group)
 
PPTX
Prensentation on packet sniffer and injection tool
byIssar Kapadia
 
Threat Modeling Everything
byAnne Oikarinen
 
Internet Week 2019:D2-3 攻撃者をあぶり出せ!! プロアクティブなセキュリティアプローチ
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
Penetration Testing
byRomSoft SRL
 
Stuxnet - Case Study
byAmr Thabet
 
Enumeration et Exploitation
byAbdul Baacit Coulibaly
 
Ethical hacking : Its methodologies and tools
bychrizjohn896
 
Security Compliance Web Application Risk Management
byMarco Morana
 
SR-IOV Networking in OpenStack - OpenStack最新情報セミナー 2016年3月
byVirtualTech Japan Inc.
 
Selenium×PostgreSQL15×Grafanaで思い出を保存&分析するプロジェクト(第35回PostgreSQLアンカンファレンス@オンライン...
byNTT DATA Technology & Innovation
 
Defending Against the Dark Arts of LOLBINS
byBrent Muir
 
Bypassing Port-Security In 2018: Defeating MacSEC and 802.1x-2010
byPriyanka Aash
 
DevSecOps 101
byNarudom Roongsiriwong, CISSP
 
France cyber security
byKaren Gordon
 
ISACA -Threat Hunting using Native Windows tools .pdf
byGurvinder Singh, CISSP, CISA, ITIL v3
 
Penetration testing
byAmmar WK
 
Architecture centric support for security orchestration and automation
byChadni Islam
 
Faq17 我家已經有一臺有線分享器,請問wf2409 e要如何設定才能接在這原有的分享器下正常運作?(lan接wan)
by臺灣塔米歐
 
Unrestricted file upload CWE-434 - Adam Nurudini (ISACA)
byAdam Nurudini
 
A1-6 ドメイン乗っ取られた!!
byJPAAWG (Japan Anti-Abuse Working Group)
 
Prensentation on packet sniffer and injection tool
byIssar Kapadia
 

Similar to 証拠保全とは?

PPTX
デジタル・フォレンジックとOSS
byUEHARA, Tetsutaro
 
PPT
デジタルフォレンジック入門
byUEHARA, Tetsutaro
 
PDF
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
byUEHARA, Tetsutaro
 
PPT
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
byUEHARA, Tetsutaro
 
PPT
Ipsj77フォレンジック研究動向
byUEHARA, Tetsutaro
 
PPTX
インシデントレスポンスとシステム管理
byUEHARA, Tetsutaro
 
PPTX
Fast forensics(公開用)
byf kasasagi
 
デジタル・フォレンジックとOSS
byUEHARA, Tetsutaro
 
デジタルフォレンジック入門
byUEHARA, Tetsutaro
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
byUEHARA, Tetsutaro
 
20131209 CSEC ITリスク研究会 デジタルフォレンジック研究会合同研究会
byUEHARA, Tetsutaro
 
Ipsj77フォレンジック研究動向
byUEHARA, Tetsutaro
 
インシデントレスポンスとシステム管理
byUEHARA, Tetsutaro
 
Fast forensics(公開用)
byf kasasagi
 

More from UEHARA, Tetsutaro

PPTX
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
byUEHARA, Tetsutaro
 
PPTX
Dbsj2020 seminar
byUEHARA, Tetsutaro
 
PDF
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
byUEHARA, Tetsutaro
 
PDF
シンクライアントの解説
byUEHARA, Tetsutaro
 
PPTX
PPAPを何とかしたいがPHSも何とかしたい
byUEHARA, Tetsutaro
 
PPTX
データベースセキュリティの重要課題
byUEHARA, Tetsutaro
 
PPTX
米国におけるDfコンテストと日本における展開の可能性
byUEHARA, Tetsutaro
 
PPTX
システム安定運用からサイバーレジリエンスへ
byUEHARA, Tetsutaro
 
PPTX
サイバーセキュリティ人材の育成に向けて
byUEHARA, Tetsutaro
 
PPTX
20181030 DBSCシンポジウム 情報システムと時間の表現
byUEHARA, Tetsutaro
 
PPTX
サマータイムとうるう秒と2038年問題
byUEHARA, Tetsutaro
 
PPTX
サマータイムに関する現状の認識整理
byUEHARA, Tetsutaro
 
PPTX
サマータイム実施は不可能である
byUEHARA, Tetsutaro
 
PDF
だいじょうぶキャンペーン2009スライド
byUEHARA, Tetsutaro
 
PPTX
ブロッキングの技術的課題(公開版)
byUEHARA, Tetsutaro
 
PPTX
CSS2017キャンドルスターセッション
byUEHARA, Tetsutaro
 
PPTX
企業セキュリティ対策の転換点
byUEHARA, Tetsutaro
 
PPTX
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
byUEHARA, Tetsutaro
 
PPTX
Security days 2016「セキュリティ対策の転換点」
byUEHARA, Tetsutaro
 
PDF
20160924自治体セキュリティ
byUEHARA, Tetsutaro
 
クラウド上のデータ消去の課題・物理的破壊に頼らない暗号化消去とは
byUEHARA, Tetsutaro
 
Dbsj2020 seminar
byUEHARA, Tetsutaro
 
ネ申Excelと事務情報化 (関西オープンフォーラム2017)
byUEHARA, Tetsutaro
 
シンクライアントの解説
byUEHARA, Tetsutaro
 
PPAPを何とかしたいがPHSも何とかしたい
byUEHARA, Tetsutaro
 
データベースセキュリティの重要課題
byUEHARA, Tetsutaro
 
米国におけるDfコンテストと日本における展開の可能性
byUEHARA, Tetsutaro
 
システム安定運用からサイバーレジリエンスへ
byUEHARA, Tetsutaro
 
サイバーセキュリティ人材の育成に向けて
byUEHARA, Tetsutaro
 
20181030 DBSCシンポジウム 情報システムと時間の表現
byUEHARA, Tetsutaro
 
サマータイムとうるう秒と2038年問題
byUEHARA, Tetsutaro
 
サマータイムに関する現状の認識整理
byUEHARA, Tetsutaro
 
サマータイム実施は不可能である
byUEHARA, Tetsutaro
 
だいじょうぶキャンペーン2009スライド
byUEHARA, Tetsutaro
 
ブロッキングの技術的課題(公開版)
byUEHARA, Tetsutaro
 
CSS2017キャンドルスターセッション
byUEHARA, Tetsutaro
 
企業セキュリティ対策の転換点
byUEHARA, Tetsutaro
 
自治体・警察・民間を含めた情報セキュリティ共同体の構築と運営~京都の事例~
byUEHARA, Tetsutaro
 
Security days 2016「セキュリティ対策の転換点」
byUEHARA, Tetsutaro
 
20160924自治体セキュリティ
byUEHARA, Tetsutaro
 

Recently uploaded

PDF
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
PDF
さくらインターネットの今 法林リージョン:さくらのAIとか GPUとかイベントとか 〜2026年もバク進します!〜
by法林浩之
 
PPTX
ddevについて .
byiPride Co., Ltd.
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
PDF
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
PDF
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PDF
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
PDF
Drupal Recipes 解説 .
byiPride Co., Ltd.
 
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
さくらインターネットの今 法林リージョン:さくらのAIとか GPUとかイベントとか 〜2026年もバク進します!〜
by法林浩之
 
ddevについて .
byiPride Co., Ltd.
 
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
Drupal Recipes 解説 .
byiPride Co., Ltd.
 

証拠保全とは?