証拠保全ガイドライン第 3 版の解説 2013 年 11 月 デジタル フォレンジック研究会理事 技術 分科会 WG 座長 ( 所属元 : サイバーディフェンス研究所理事 ) アジェンダ 1. 改訂にあたっての状況認識 2. 改訂ポイント : ネットワーク フォレンジック 3. 改訂ポイント : 相関的な分析 4. 今後の改訂の方向性について 2
トピック 1 改訂にあたっての状況認識 3 昨年まで よく見られた 標的型攻撃 直接的に扱う 不審なメール ( なりすましメール ) 不審なサイト ( フィッシング詐欺サイト ) マルウェア感染させる文書ファイル マルウェア感染させる外部記憶媒体 ターゲット組織 4
今年 (2013 年 ) よく見られる 標的型攻撃 ターゲット組織 が信頼している組織 人物 一般的に信頼されているサイトの運営 ( 保有 ) 組織 正規アカウントからのマルウェア添付メール 信頼されているサイトが一時的にマルウェア配布 マルウェア感染させる文書ファイル ターゲット組織 マルウェア感染させる外部記憶媒体 5 今年 (2013 年 ) 緊急対処支援で最も多かった 標的型攻撃 感染した PC において稼働しているアプリケーションとその設定 及びネットワーク設定とその通信 ( 接続 ) 状況を詳細に把握する SMB 通信が実装されている場合 各端末のホスト名を収集する SMB 通信 ( ファイル共有 / プリンタ共有 ) ターゲット組織 6
今年 (2013 年 ) 緊急対処支援で最も多かった 標的型攻撃 レジストリやアクティブなログインセッションからパスワードハッシュを取得する (Pwdump, Cashedump, Lslsass, Gsecdump 等 ) 取得したパスワードハッシュを用いて Pass-the-Hash 攻撃でネットワークログオンを成功させる PsExec( リモートのシステムをコマンドラインで遠隔操作するツール ) 等を利用して タスクスケジューラーや Windows サービスにマルウェアが自動実行する環境を設定する SMB 通信 ( ファイル共有 / プリンタ共有 ) PC 内設定情報及びネットワーク接続情報を取得して ファイルに保存 特定のファイル群或いはそのリスト情報を検索及び集約 集約したファイル群の分割と圧縮 外部通信するプロセスの隠蔽化 ( ルートキット ) 圧縮したファイルの外部送信 ターゲット組織 7 今年 (2013 年 ) 緊急対処支援で最も多かった 標的型攻撃 SMB 通信 ( ファイル共有 / プリンタ共有 ) ターゲット組織 8
トピック 2 改訂ポイント : ネットワーク フォレンジック 9 ネットワーク フォレンジックの位置付け コンピュータ フォレンジック コンピュータシステム 記憶デバイス 電子文書を対象とした調査 ネットワーク フォレンジック 外部及び内部通信のネットワークトラフィックの監視と分析を主とした調査 デジタル フォレンジック データベース フォレンジック データベースとそのメタデータを対象とした調査 特に ログファイル メモリに駐在している一時データベースをタイムライン分析することが多い モバイルデバイス フォレンジック モバイルデバイス内の電子的証拠やデータの復旧を主とした調査 特に コミュニケーションシステム (3G/4G) や特有のデータ記憶の仕組みに対する調査手法が コンピュータ フォレンジックと異なる フォレンジック データ アナリスティクス 不正 詐欺的行為の発見を目的としたデータを対象とした調査 構造化データ ( 会計 販売 購買等のデータ ) や非構造化データ (E メール SNS 等のフリーテキスト ) の組み合わせた分析 10
ネットワーク フォレンジックとは ネットワーク フォレンジックとは セキュリティ上の攻撃や問題を発生させるインシデントの発生源を発見するために ネットワーク上のイベントをキャプチャ 記録 分析すること である http://en.wikipedia.org/wiki/marcus_j._ranum セキュリティ システムの設計や開発の専門家として世界的に有名 プロキシー型ファイアウォールの発明者として 1980 年代に最初の商用ファイアウォールを提供 多くのセキュリティ製品を設計し その中には DEC の Seal(Digital Equipment Corp, Secure External Access Link) や TIS(Trusted Information Systems) の Firewall toolkit Gauntlet ファイアウォールがある 11 ネットワーク フォレンジックの分析アプローチ Catch-it-as-you-can ( 可能な限りの捕捉 ) 全てのパケットを特定のポイントでキャプチャして記憶媒体に書き込んでいき 事後 ひとまとめになったデータを分析すること このアプローチは 巨大な記憶媒体が必要になる 交差点で車に気を付けることを教える歌の題名 Stop, look and listen ( 止まって 見て 聞いて ) 通過するすべてのパケットを逐次分析し 事後に分析が必要となる特定の情報のみを保存すること このアプローチは 高速プロセッサが必要になる 12
コンピュータ フォレンジックのイメージ : フォレンジック調査する対象 13 最近のデジタル フォレンジックの調査対象 : フォレンジック調査する対象 外部サーバ インターネット インターネット 他組織 Firewall プロキシサーバ 自組織 Web サーバ CMS IDF / IPS Firewall 内部サーバ 他組織 Firewall PC スマートフォン等 DB サーバ インターネット 外部サーバ Firewall PC 外部記憶デバイス PC スマートフォン等 14
コンピュータ フォレンジック と ネットワーク フォレンジック PC 内部サーバ プロキシサーバ IDF / IPS Firewall Web サーバ 外部記憶デバイス PC 内部サーバ DB サーバ ハードディスク等から証拠となるファイルを抽出 サーバー等のログファイルから不正アクセスの記録を特定 破壊や消去されたディスクを復元して証拠となるデータを確保 アクセス ( エラー ) 認証 ( 可否 ) イベント等のログ等の情報を確保 各機器からのログ等の情報同士の相関関係や因果関係を見出しつつ 段階的に攻撃プロセスを特定 電磁的証拠の保全手続き サイバー攻撃の実態解明 15 コンピュータ フォレンジック と ネットワーク フォレンジック フォレンジック対象となる 電磁的証拠 と ログ等の情報 の違い 電磁的証拠 は コンピュータ システムにより必然的に記録されるものである コンピュータ システムの種類が少なければ 電磁的証拠の保全手続きのための統一された技術や手法を確立することができる可能性が高い ログ等の情報 は 設計者や運用者の設定したルールにより記録されるものである プロダクト ( 機器 ) によっては 必要なルールを設定できないものがある 設計者や運用者によって設定するルールが大きく異なる場合がある ネットワーク化されたシステムは マルチベンダー化のために多様化されているため 確保したログ等の情報の構成要素に大きなばらつきがある ログ等の情報は 時刻が全て一致しているという前提がある 一般的に ログ等の情報は膨大な量となる 16
トピック 3 改訂ポイント : 相関的な分析 17 様々な相関的な分析の例 (1) 1 特定端末で事象発生 インターネット 不正挙動の目視確認 推定 2 特定端末のフォレンジック調査 ( コンピュータ フォレンジック ) 不正挙動と外部通信先を特定 3 プロキシログ等の調査 ( ネットワーク フォレンジック ) 1 2 3 プロキシサーバ 他の不正通信端末を特定 4 他の端末のフォレンジック調査 ( コンピュータ フォレンジック ) 不正挙動と外部通信先を確認 5 特定端末とプロキシログ等の調査結果を相関的に分析 4 4 5 相関的に分析 分析結果に基づく実態解明はできるが 完全ではないことが多い ( 残存している可能性 ) 18
様々な相関的な分析の例 (2) 1 NW 不正監視装置で検知 不正通信端末の特定 2 特定端末のフォレンジック調査 ( コンピュータ フォレンジック ) 不正挙動と外部通信先を特定 3 特定端末の調査と NW 不正監視装置の出力間の相関的な分析 分析結果に基づく実態解明はできるが 完全ではないことが多い ( 残存している可能性 ) 2 1 NW 不正監視 インターネット 2 2 3 相関的な分析 19 様々な相関的な分析の例 (3) 1 適用されたブラックリスト中の IP アドレスの通信を検知 該当するゲートウェイサーバを特定 2 特定端末のフォレンジック調査 ( コンピュータ フォレンジック ) 不正挙動と外部通信先を特定 3 プロキシログ等の調査 ( ネットワーク フォレンジック ) 2 1 ブラックリスト インターネット 3 プロキシサーバ 他の不正通信端末を特定 4 他の端末のフォレンジック調査 ( コンピュータ フォレンジック ) 不正挙動と外部通信先を特定 5 特定端末とプロキシログ等の結果間の相関的な分析 4 4 5 相関的な分析 分析結果に基づく実態解明はできるが 完全ではないことが多い ( 残存している可能性 ) 20
コンピュータ フォレンジック と ネットワーク フォレンジック ログ等の情報同士の相関関係や因果関係を見出し の実態 ログ等の情報の構成要素にばらつきが多いため 信頼出来る 共通キー を見出すことが重要となる IP アドレス タイムスタンプ ホスト名 プロセス ID プロトコル等が共通キーになることが多い 特に アプリケーションの活動履歴の調査から得られたタイムスタンプが 重要な手がかり ( 他のログ等の情報で利用する 共通キー ) になることが多い 期待通りにログ等の情報が記録されていることは稀である 他の類似事象 ( 攻撃 ) の分析情報を参考にする 或いは調査対象のネットワーク化されたシステムの脆弱な部分を見極めながら 仮説と検証を根気よく繰り返すことがある 調査する者は 高いレベルのネットワークスキルと豊富な製品知識に加え 最新の攻撃技術や手法に関する知識 知見が必要となる 特に 最近は 設計者や運用者が想定しなかった手法によるサイバー攻撃が発生しているため 柔軟な発想や気づきができることが求められる 相関関係は因果関係を含意しない (Correlation does not imply causation) 2 つの変数の相関が自動的に一方がもう一方の原因を意味するというわけではないことを強調したものである もちろん そのような関係がある場合を完全に否定するものではない 引用元 : http://morrist.edublogs.org/2012/10/02/19/ 21 トピック 4 今後の改訂の方向性について 22
第 10 期第 3 回 技術 分科会 WG(10/16) の議論結果 1. メモリダンプについて 揮発性情報の重要性 論理ボリュームレベルで取らなければならない状況 マルウェアによる ログの一部消去や破壊 いかに簡単に効率よくメモリダンプするか ( 周囲の情報を傷つけずに ) マルウェア感染時の対応 エージェントを入れ込むフォレンジックツール ( エージェントを入れる場合は 最初から入れていることが多い ) 国内の手続き的に問題はないか? ライブフォレンジックとの整理 2. 電源断について 電源により HD が壊れた事例はあまりない OS が立ち上がらない場合はある 電源断にする目的は ファイルのタイムスタンプを変更させない目的もある 不正が発覚して 内部で対応した後に依頼が来る ( すでに電源断の状態 ) 場合もある SSD に関すること 3. ケース分け ( フォレンジックをする場を明記 ) 懲罰 ( 内部犯行特定?) 目的 / 攻撃対処目的 フォレンジックを行う場 RAID コントローラーの場合の電源断 ケースを想定して例示を示す 既存の辞典 / リファレンスにリンクを張る 4. VM で動いている場合の証拠保全 クラウドサービス事業者の場合 ( パブリック ) 組織内で VM を実装している場合 ( プライベート ) スナップショットで保存 クラウド環境での対応限界 5. 認証や暗号化された状態 保全時に暗号化された状態の対処プロセス 6. 手順の明確化 視覚化 フローチャート 手順以外のものをノートやリンクで説明 7. 製造者の関与 PC 分解時に HD ベンダー ( メーカー ) を関与させるかどうか 8. 具体的な分析手法 特に ネットワーク フォレンジックの分析対象 (NAT DHCP Pxoxy 等 ) 23 本資料に関する連絡先 名和利男 (Toshio NAWA) デジタル フォレンジック研究会理事 / 技術 分科会 WG 座長 Email: nawa@digitalforensic.jp SNS: about.me/nawa 24