トピック 1 改訂にあたっての状況認識 3 昨年まで よく見られた 標的型攻撃 直接的に扱う 不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイル マルウェア感染させる外部記憶媒体 ターゲット組織 4

証拠保全ガイドライン 第3版の解説

2013年11月

デジタル・フォレンジック研究会 理事

「技術」分科会WG 座長

（所属元： サイバーディフェンス研究所 理事）

アジェンダ

1. 改訂にあたっての状況認識

2. 改訂ポイント： ネットワーク・フォレンジック

3. 改訂ポイント： 相関的な分析

4. 今後の改訂の方向性について

3

改訂にあたっての状況認識

トピック 1

昨年まで、よく見られた「標的型攻撃」

不審なメール

（なりすましメール）

不審なサイト

（フィッシング詐欺サイト）

マルウェア感染させる

文書ファイル

マルウェア感染させる

外部記憶媒体

直接的に扱う

ターゲット組織

5 Copyright © 2013 The Institute of Digital Forensics All rights reserved.

今年（2013年）、よく見られる「標的型攻撃」

正規アカウントからの

マルウェア添付メール

信頼されているサイトが

一時的にマルウェア配布

マルウェア感染させる

文書ファイル

マルウェア感染させる

外部記憶媒体

一般的に信頼されている サイトの運営（保有）組織 「ターゲット組織」が 信頼している組織・人物 ターゲット組織 ターゲット組織 感染したPCにおいて稼働している アプリケーションとその設定、 及びネットワーク設定とその通信 （接続）状況を詳細に把握する。

SMB通信

（ファイル共有/プリンタ共有）

SMB通信が実装されている場合、 各端末のホスト名を収集する。

今年（2013年）、緊急対処支援で最も多かった「標的型攻撃」

7 Copyright © 2013 The Institute of Digital Forensics All rights reserved.

SMB通信

（ファイル共有/プリンタ共有）

ターゲット組織 レジストリやアクティブなログイン セッションからパスワードハッシュ を取得する（Pwdump, Cashedump,  Lslsass, Gsecdump 等） 取得したパスワードハッシュを用いて Pass-the-Hash 攻撃でネットワーク ログオンを成功させる。 PsExec（リモートのシステムをコマンドラインで 遠隔操作するツール）等を利用して、タスク スケジューラーやWindows サービスにマル ウェアが自動実行する環境を設定する。 •PC内設定情報及び ネットワーク接続情報 を取得して、ファイル に保存 •PC内設定情報及び ネットワーク接続情報 を取得して、ファイル に保存 • 特定のファイル群 或いはそのリスト 情報を検索及び集約 • 特定のファイル群 或いはそのリスト 情報を検索及び集約 • 集約したファイル群 の分割と圧縮 • 集約したファイル群 の分割と圧縮 • 圧縮したファイル の外部送信 • 圧縮したファイル の外部送信 • 外部通信する プロセスの隠蔽化 （ルートキット） • 外部通信する プロセスの隠蔽化 （ルートキット）

今年（2013年）、緊急対処支援で最も多かった「標的型攻撃」

SMB通信

（ファイル共有/プリンタ共有）

ターゲット組織

今年（2013年）、緊急対処支援で最も多かった「標的型攻撃」

9

改訂ポイント： ネットワーク・フォレンジック

トピック 2

ネットワーク・フォレンジックの位置付け

デジタル・

フォレンジック

コンピュータ・フォレンジック

• コンピュータシステム、記憶デバ イス、電子文書を対象とした調査

コンピュータ・フォレンジック

• コンピュータシステム、記憶デバ イス、電子文書を対象とした調査

モバイルデバイス・フォレンジック

• モバイルデバイス内の電子的証拠や データの復旧を主とした調査 • 特に、コミュニケーションシステム （3G/4G）や特有のデータ記憶の仕組 みに対する調査手法が、コンピュータ・ フォレンジックと異なる

モバイルデバイス・フォレンジック

• モバイルデバイス内の電子的証拠や データの復旧を主とした調査 • 特に、コミュニケーションシステム （3G/4G）や特有のデータ記憶の仕組 みに対する調査手法が、コンピュータ・ フォレンジックと異なる

ネットワーク・フォレンジック

• 外部及び内部通信のネットワー クトラフィックの監視と分析を 主とした調査

ネットワーク・フォレンジック

• 外部及び内部通信のネットワー クトラフィックの監視と分析を 主とした調査

フォレンジック・データ・アナリスティクス

• 不正・詐欺的行為の発見を目的としたデータを 対象とした調査 • 構造化データ（会計、販売、購買等のデータ） や非構造化データ（Eメール、SNS等のフリー テキスト）の組み合わせた分析

フォレンジック・データ・アナリスティクス

• 不正・詐欺的行為の発見を目的としたデータを 対象とした調査 • 構造化データ（会計、販売、購買等のデータ） や非構造化データ（Eメール、SNS等のフリー テキスト）の組み合わせた分析

データベース・フォレンジック

• データベースとそのメタデータを 対象とした調査 • 特に、ログファイル、メモリに駐在 している一時データベースをタイ ムライン分析することが多い

データベース・フォレンジック

• データベースとそのメタデータを 対象とした調査 • 特に、ログファイル、メモリに駐在 している一時データベースをタイ ムライン分析することが多い

11 Copyright © 2013 The Institute of Digital Forensics All rights reserved.

ネットワーク・フォレンジックとは

http://en.wikipedia.org/wiki/Marcus_J._Ranum セキュリティ・システムの設計や開発の専門家として世界的に有名。 プロキシー型ファイアウォールの発明者として、1980年代に最初 の商用ファイアウォールを提供。多くのセキュリティ製品を設計し、 その中にはDECのSeal（Digital Equipment Corp, Secure External Access Link）やTIS（Trusted Information Systems）の Firewall toolkit、Gauntletファイアウォールがある。

ネットワーク・フォレンジックとは、「セキュリティ上の攻撃や問題を発生させる

インシデントの発生源を発見するために、ネットワーク上のイベントをキャプチャ、記録、

分析すること」である。

ネットワーク・フォレンジックとは、「セキュリティ上の攻撃や問題を発生させる

インシデントの発生源を発見するために、ネットワーク上のイベントをキャプチャ、記録、

分析すること」である。

ネットワーク・フォレンジックの分析アプローチ

•

“Catch-it-as-you-can”（可能な限りの捕捉）

– 全てのパケットを特定のポイントでキャプチャして記憶媒体に書き込んでいき、事後、

ひとまとめになったデータを分析すること。

– このアプローチは、巨大な記憶媒体が必要になる。

•

“Stop, look and listen” （止まって、見て、聞いて。）

– 通過するすべてのパケットを逐次分析し、事後に分析が必要となる特定の情報のみを

保存すること。

– このアプローチは、高速プロセッサが必要になる。

交差点で車に

気を付けることを

教える歌の題名

交差点で車に

気を付けることを

教える歌の題名

13 Copyright © 2013 The Institute of Digital Forensics All rights reserved.

コンピュータ・フォレンジックのイメージ

：フォレンジック調査する対象

最近のデジタル・フォレンジックの調査対象

PC PC 外部記憶デバイス スマートフォン等 スマートフォン等 インターネット PC 内部サーバ DBサーバ CMS Webサーバ インターネット 外部サーバ 外部サーバ プロキシ サーバ インターネット Firewall Firewall IDF / IPS 自組織 他組織 他組織 Firewall Firewall ：フォレンジック調査する対象

15 Copyright © 2013 The Institute of Digital Forensics All rights reserved. プロキシ サーバ Firewall IDF / IPS 外部記憶デバイス PC 内部サーバ PC _{内部サーバ} DBサーバ Webサーバ • ハードディスク等から証拠となる ファイルを抽出 • サーバー等のログファイルから 不正アクセスの記録を特定 • 破壊や消去されたディスクを復元 して証拠となるデータを確保 • ハードディスク等から証拠となる ファイルを抽出 • サーバー等のログファイルから 不正アクセスの記録を特定 • 破壊や消去されたディスクを復元 して証拠となるデータを確保 • アクセス（エラー）、認証（可否）、イベ ント等のログ等の情報を確保 • アクセス（エラー）、認証（可否）、イベ ント等のログ等の情報を確保 • 各機器からのログ等の情報同士の 相関関係や因果関係を見出しつつ、 段階的に攻撃プロセスを特定 • 各機器からのログ等の情報同士の 相関関係や因果関係を見出しつつ、 段階的に攻撃プロセスを特定

サイバー攻撃の実態解明

サイバー攻撃の実態解明

電磁的証拠の保全手続き

電磁的証拠の保全手続き

「コンピュータ・フォレンジック」と「ネットワーク・フォレンジック」

「コンピュータ・フォレンジック」と「ネットワーク・フォレンジック」

•

フォレンジック対象となる「電磁的証拠」と「ログ等の情報」の違い

– 「電磁的証拠」は、コンピュータ・システムにより必然的に記録されるものである。

• コンピュータ・システムの種類が少なければ、電磁的証拠の保全手続きのための統一された 技術や手法を確立することができる可能性が高い。

– 「ログ等の情報」は、設計者や運用者の設定したルールにより記録されるものである。

• プロダクト（機器）によっては、必要なルールを設定できないものがある。 • 設計者や運用者によって設定するルールが大きく異なる場合がある。 • ネットワーク化されたシステムは、マルチベンダー化のために多様化されているため、確保 したログ等の情報の構成要素に大きなばらつきがある。 • ログ等の情報は、時刻が全て一致しているという前提がある。 • 一般的に、ログ等の情報は膨大な量となる。

17

改訂ポイント：相関的な分析

トピック 3

様々な相関的な分析の例（1）

② 特定端末のフォレンジック調査 （コンピュータ・フォレンジック） ② 特定端末のフォレンジック調査 （コンピュータ・フォレンジック） ④ 他の端末のフォレンジック調査 （コンピュータ・フォレンジック） ④ 他の端末のフォレンジック調査 （コンピュータ・フォレンジック） ① 特定端末で事象発生 ① 特定端末で事象発生 ③ プロキシログ等の調査 （ネットワーク・フォレンジック） ③ プロキシログ等の調査 （ネットワーク・フォレンジック） ⑤ 特定端末とプロキシログ等の 調査結果を相関的に分析 ⑤ 特定端末とプロキシログ等の 調査結果を相関的に分析 ① プロキシサーバ ② ③ ④ ④ 相関的に分析 インターネット ⑤ 不正挙動と外部通信先を特定 不正挙動の目視確認・推定 他の不正通信端末を特定 不正挙動と外部通信先を確認 分析結果に基づく実態解明は できるが、完全ではないことが 多い。（残存している可能性）

19 Copyright © 2013 The Institute of Digital Forensics All rights reserved.

様々な相関的な分析の例（2）

② 特定端末のフォレンジック調査 （コンピュータ・フォレンジック） ② 特定端末のフォレンジック調査 （コンピュータ・フォレンジック） ① NW不正監視装置で検知 ① NW不正監視装置で検知 ③特定端末の調査とNW不正監 視装置の出力間の相関的な分析 ③特定端末の調査とNW不正監 視装置の出力間の相関的な分析 NW不正監視 ② ① ② ② 相関的な分析 インターネット ③ 不正通信端末の特定 不正挙動と外部通信先を特定 分析結果に基づく実態解明は できるが、完全ではないことが 多い。（残存している可能性）

様々な相関的な分析の例（3）

②特定端末のフォレンジック調査 （コンピュータ・フォレンジック） ②特定端末のフォレンジック調査 （コンピュータ・フォレンジック） ④ 他の端末のフォレンジック調査 （コンピュータ・フォレンジック） ④ 他の端末のフォレンジック調査 （コンピュータ・フォレンジック） ① 適用されたブラックリスト中 のIPアドレスの通信を検知 ① 適用されたブラックリスト中 のIPアドレスの通信を検知 ③ プロキシログ等の調査 （ネットワーク・フォレンジック） ③ プロキシログ等の調査 （ネットワーク・フォレンジック） ⑤ 特定端末とプロキシログ等の 結果間の相関的な分析 ⑤ 特定端末とプロキシログ等の 結果間の相関的な分析 プロキシサーバ ② ③ ④ ④ 相関的な分析 インターネット ⑤ ブラックリスト ① 該当するゲートウェイサーバを特定 不正挙動と外部通信先を特定 他の不正通信端末を特定 不正挙動と外部通信先を特定 分析結果に基づく実態解明は できるが、完全ではないことが 多い。（残存している可能性）

21 Copyright © 2013 The Institute of Digital Forensics All rights reserved.

「コンピュータ・フォレンジック」と「ネットワーク・フォレンジック」

•

「ログ等の情報同士の相関関係や因果関係を見出し」の実態

– ログ等の情報の構成要素にばらつきが多いため、信頼出来る「共通キー」を見出す

ことが重要となる。

• IPアドレス、タイムスタンプ、ホスト名、プロセスID、プロトコル等が共通キーになることが多い。 • 特に、アプリケーションの活動履歴の調査から得られたタイムスタンプが、重要な手がかり （他のログ等の情報で利用する「共通キー」）になることが多い。

– 期待通りにログ等の情報が記録されていることは稀である。

• 他の類似事象（攻撃）の分析情報を参考にする、或いは調査対象のネットワーク化された システムの脆弱な部分を見極めながら、仮説と検証を根気よく繰り返すことがある。

– 調査する者は、高いレベルのネットワークスキルと豊富な製品知識に加え、最新の

攻撃技術や手法に関する知識・知見が必要となる。

• 特に、最近は、設計者や運用者が想定しなかった手法によるサイバー攻撃が発生しているた め、柔軟な発想や気づきができることが求められる。 引用元：http://morrist.edublogs.org/2012/10/02/19/ 相関関係は因果関係を含意しない (Correlation does not imply  causation) • 2つの変数の相関が自動的に一方がもう一方の原因を 意味するというわけではないことを強調したものである • もちろん、そのような関係がある場合を完全に否定するも のではない 相関関係は因果関係を含意しない (Correlation does not imply  causation) • 2つの変数の相関が自動的に一方がもう一方の原因を 意味するというわけではないことを強調したものである • もちろん、そのような関係がある場合を完全に否定するも のではない

今後の改訂の方向性について

トピック 4

23 Copyright © 2013 The Institute of Digital Forensics All rights reserved.

第１０期第３回「技術」分科会WG（10/16）の議論結果

1. メモリダンプについて

– 揮発性情報の重要性 – 論理ボリュームレベルで取らなければならない 状況 – マルウェアによる、ログの一部消去や破壊 – いかに簡単に効率よくメモリダンプするか （周囲の情報を傷つけずに） – マルウェア感染時の対応 – エージェントを入れ込むフォレンジックツール （エージェントを入れる場合は、最初から入れて いることが多い。） – 国内の手続き的に問題はないか? – ライブフォレンジックとの整理

2. 電源断について

– 電源により、HDが壊れた事例はあまりない – OSが立ち上がらない場合はある – 電源断にする目的は、ファイルのタイムスタンプを 変更させない目的もある – 不正が発覚して、内部で対応した後に依頼が来る （すでに電源断の状態）場合もある – SSD に関すること

3. ケース分け

（フォレンジックをする場を明記） – 懲罰（内部犯行特定?）目的 / 攻撃対処目的 – ◯◯◯ フォレンジックを行う場 – RAIDコントローラーの場合の電源断 – ケースを想定して例示を示す – 既存の辞典/リファレンスにリンクを張る

4. VMで動いている場合の証拠保全

– クラウドサービス事業者の場合（パブリック） – 組織内で VM を実装している場合（プライベート） – スナップショットで保存 – クラウド環境での対応限界

5. 認証や暗号化された状態

– 保全時に暗号化された状態の対処プロセス

6. 手順の明確化・視覚化

– フローチャート – 手順以外のものをノートやリンクで説明

7. 製造者の関与

– PC分解時にHDベンダー（メーカー）を関与させる かどうか

8. 具体的な分析手法

– 特に、ネットワーク・フォレンジックの分析対象 （NAT、DHCP、Pxoxy等 ）

本資料に関する連絡先

名和 利男（Toshio NAWA）

デジタル・フォレンジック研究会

理事／ 「技術」分科会WG 座長

Email: nawa@digitalforensic.jp

SNS: about.me/nawa