証拠保全ガイドライン第 4 版の説明 2015 年 3 月 20 日デジタルフォレンジック研究会第 11 期第 4 回技術分科会名和利男 / サイバーディフェンス研究所

Size: px

Start display at page:

Download "証拠保全ガイドライン第 4 版の説明 2015 年 3 月 20 日デジタルフォレンジック研究会第 11 期第 4 回技術分科会名和利男 / サイバーディフェンス研究所"

みちしげあみおか
4 years ago
Views:

1 証拠保全ガイドライン第 4 版の説明 2015 年 3 月 20 日デジタルフォレンジック研究会第 11 期第 4 回技術分科会名和利男 / サイバーディフェンス研究所

2 デジタルフォレンジック研究会とは特定非営利活動法人デジタルフォレンジック研究会定款第 3 条この法人は広く一般市民を対象として情報セキュリティの新しい分野であるデジタルフォレンジックの啓発普及調査研究事業講習会講演会出版技術認定等の事業を通じて健全な情報通信技術 (IT) 社会の実現に寄与貢献することを目的とする ( 健全 = 物事が正常に機能してしっかりした状態にあること ) 2

3 第 4 版への改訂の背景社会情勢の変化社会生活におけるサイバー脅威の高まり読者からの要望具体的なツール等の提示法制度の解釈営業秘密に関連する条文解説第 4 版への改訂 3

4 改訂ポイント - 状況認識ガイドラインの趣旨に対する状況認識の追加最近のサイバー犯罪やサイバー攻撃で利用される不正プログラムは痕跡を残さない回避技術が高度化しているためコンピュータシステム内に残存する痕跡やログが極端に少なくなってきている一方メモリ空間で動作する不正プログラムはメモリの中にその挙動を示す痕跡が残っているが電源供給を断つと記憶内容が消失してしまう ( 揮発性が高い ) そのためメモリ上の情報の保全の重要性が高まってきている 4

5 改訂ポイント - 状況認識 Windows 内の正規プログラムを動作させる不正スクリプトの事例を紹介メモリ上で第三者が作成した悪意のあるプログラムは動作せず Windows 自身が信頼している正規プログラムが動作するため残存する痕跡は PC ユーザによる動作と見分けがつかない ( 別資料を投影のみで説明 ) 5

6 改訂ポイント - 対象物の収集取得保全対象物の収集取得保全に電源に関する措置を追加電源の供給停止の可否について対象物に電源を供給し続けることで明白な被害 ( 破壊等 ) の拡大或いはそのおそれが見られる場合速やかに電源の供給を停止する必要があるまた不要な通信のみを避けたい場合電源の供給を継続したままネットワークから切り離す速やかに電源の供給を停止をする必要が見られない場合揮発性情報の取得 ( 後述 ) を行うまで電源の供給を停止しないことが望ましい 6

7 改訂ポイント - 対象物の収集取得保全感染したマルウェアの一部は C2 ホストと通信ができなくなると消失や形態を変えて潜在化するものがあるインターネット 7

8 改訂ポイント - 証拠保全機器の準備代表的な収集及び分析ツールの利用時の留意事項にツールに関する事項を追加代表的な収集及び分析ツールの利用時の留意事項一部のツール利用にあたってはコンピュータの動作原理の理解が必要最近のマルウェアの挙動に関する情報を把握しておくほど効果が増大揮発性情報を収集するツールを利用する暇がない場合 OS のハイバネーション機能を使って HDD に残す方法もあるただし HDD 上の一部のデータ ( ログや証跡を含む ) を上書きするため HDD の証拠保全の完全性が損なわれる 8

9 改訂ポイント - 証拠保全機器の準備ハイバネーションファイルが保存されたハードディスクは盗難されないよう細心の注意を払うことが必要メモリ復号化ファイルファイル復号化機構ハイバネーションファイル復号化ファイル暗号化ファイルハードディスク 9

10 改訂ポイント - デジタルフォレンジックに関連する我が国の主な刑事法不正競争防止法に関する事項を追加 ( 定義 ) 第条第六項この法律において営業秘密とは秘密として管理されている産法販売法その他の事業活動に有な技術上は営業上の情報であって公然と知られていないものをいう ( 罰則 ) 第条次の各号のいずれかに該当する者は年以下の懲役若しくは千万円以下の罰に処しはこれを併科する不正の利益を得る的ではその保有者に損害を加える的で詐欺等為 ( を欺きに暴を加えはを脅迫する為をいう以下この条において同じ ) は管理侵害為 ( 財物の窃取施設への侵不正アクセス為 ( 不正アクセス為の禁等に関する法律 ( 平成年法律第百号 ) 第条第四項に規定する不正アクセス為をいう ) その他の保有者の管理を害する為をいう以下この条において同じ ) により営業秘密を取得した者 10

11 改訂ポイント - デジタルフォレンジックに関連する我が国の主な刑事法不正競争防止法に関する事項を追加営業秘密に関する事項は不正競争防止法に定められている曖昧な概念で使われる企業秘密という言葉とは異なり営業秘密は同法の 2 条 6 項によってきちんとした定義がなされているこの条文から秘密管理性有用性非公知性が営業秘密成立の三要件となる条文自体の記載は省略しているが不正競争防止法ではその第 2 条第 1 項の各号においてどのような行為が不正競争となるかが定められているそして同 4 号 ~9 号までが営業秘密に関しての記載でありここに不正と見なされる営業秘密の取得や使用開示等における様々な場合が列挙されているそしてそれらを侵害した場合の罰則規定が第 21 条に記載されているこちらもすべての条文の記載を省略しているが第 21 条第 1 項の第 1 号 ~ 第 7 号の各号において刑罰が科される様々な場合を記載している 2009 年 ( 平成 21 年 ) の改正によって競合関係にある場合だけでなく自己の利益の為に営業秘密を不正に取得したり使用したりした場合でも可罰化されたことが特徴である 2015 年 ( 平成 27 年 )3 月時点での刑罰の量刑は最大で 10 年以下の懲役もしくは 1000 万円以下の罰金またはこの併科であるが 2014 年に起きたベネッセでの営業秘密持ち出し事件を経てこれがさらに重罰化される予定なので注意しておく必要があるなお営業秘密の管理に関する公的な指針としては営業秘密管理指針が経済産業省より公表されているこの指針は 2015 年 ( 平成 27 年 )1 月に全面的な改定がなされ従来の事例を詳細に記載する形式のものから不正競争防止法によって差止め等の法的保護を受けるために必要となる最低限の水準の対策を示すものに変更された 11

12 改訂ポイント - デジタルフォレンジックに関連する我が国の主な刑事法 12

13 改訂ポイント - デジタルフォレンジックに関連する我が国の主な刑事法 13

14 改訂ポイント - 代表的な収集分析ツール代表的な収集分析ツールを追加システム関連の情報取得ツールの例 analyzemf NTFS ファイルシステムから MFT のファイルを解析するツール nalyzemft Event Log Explorer ローカルコンピュータのイベントログの詳細分析やネットワーク上の複数のコンピュータのイベントログを集中管理できるツール Event Log Explorer for Windows event log management Log Parser さまざまなログの中から必要な情報を検索し特定の情報を抜き出するツール並べ直しや Excel 用のデータで出力するなど多様なログ分析を支援する Log Parser Log Parser Lizard 上述の Log Parse を GUI で使えるようにするツール Lizard Labs labs.net 14

15 改訂ポイント - 代表的な収集分析ツール代表的な収集分析ツールを追加システム関連の情報取得ツールの例 ( 続き ) Magnet RAM Capture 物理メモリのキャプチャやデータの復旧及び解析ができるフリーツール Acquiring Memory with Magnet RAM Capture memory with magnet ram capture/ MoonSols Windows Memory Toolkit メモリの取得や変換を実行するために必要なすべてのユーティリティを含むツール MoonSols Windows Memory Toolkit memory toolkit/ FTK Imager Lite ハードディスクの情報を参照したりメモリダンプの出力 VM などのイメージファイルの読み込みなどを行うツール FTK Imager Lite download/digital forensics/ triage ir Windows システムでマルウェアの攻撃痕跡等の調査に必要となる情報を自動収集するツール triage ir ir/ RTIR Request Tracker for Incident Response の略インシデントハンドリングに係るワークフローを最適化するためのツール RTIR: RT for Incident Response 15

16 改訂ポイント - 代表的な収集分析ツール代表的な収集分析ツールを追加揮発性メモリの情報取得及び解析ツールの例 EnScript Volatility Framework をベースにして 64 ビット対応やキーワードサーチ機能など EnCase の特長を生かして改良されたもの enscript HGBary Responder HBGary 社によって開発販売されている商用のメモリフォレンジックツールそのオプション機能として提供されている Digital DNA はプロセスアドレス空間に含まれるコードを分析して悪性のコードかどうかをスコアリングする Digital DNA dna Redline Mandiant 社によって開発提供されているフリーツール同社で開発されている Memoryze という解析ツールの GUI フロントエンドとして使われている Redline Volatility Framework オープンソースのメモリフォレンジックツールプロセス情報の列挙など基本的な機能のほか有志によって様々なプラグインが提供されている volatility An advanced memory forensics framework 16

17 改訂ポイント - 代表的な収集分析ツール 17

18 本資料に関する連絡先名和利男 (Toshio NAWA) サイバーディフェンス研究所理事 / 上級分析官 nawa@cyberdefense.jp SNS: about.me/nawa Tel: Office: Response Team: 18

トピック 1 改訂にあたっての状況認識 3 昨年までよく見られた標的型攻撃直接的に扱う不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイルマルウェア感染させる外部記憶媒体ターゲット組織 4

トピック 1 改訂にあたっての状況認識 3 昨年までよく見られた標的型攻撃直接的に扱う不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイルマルウェア感染させる外部記憶媒体ターゲット組織 4 証拠保全ガイドライン第 3 版の解説 2013 年 11 月デジタルフォレンジック研究会理事技術分科会 WG 座長 ( 所属元 : サイバーディフェンス研究所理事 ) アジェンダ 1. 改訂にあたっての状況認識 2. 改訂ポイント : ネットワークフォレンジック 3. 改訂ポイント : 相関的な分析 4. 今後の改訂の方向性について 2 トピック 1 改訂にあたっての状況認識 3 昨年まで

証拠保全ガイドライン第 4 版の説明 2015 年 3 月 20 日 デジタル フォレンジック研究会第 11 期第 4 回 技術 分科会 名和利男 / サイバーディフェンス研究所

証拠保全ガイドライン第 4 版の説明 2015 年 3 月 20 日デジタルフォレンジック研究会第 11 期第 4 回技術分科会名和利男 / サイバーディフェンス研究所