一方的に書き連ねるブログ

航海してすぐ後悔

技術的な内容は書きません

一応IT企業に勤めてるはしだいです。

 

 

今日はインシデント発生時の証拠保全について書きます。

(ディスクフォレンジックを対象に考えています。)

 

 

アンチウイルスや内部監査、情報流出等、インシデント発生には様々な理由があります。

その後の原因調査のためには、証拠保全が必要です。

証拠保全というのは、インシデント発生時の状態でできる限り変更を与えずに完全なコピーを作成することを指します。

 

基本的にはddコマンドやFTK Imager、Boot Mediaのようなツールを用いて、全領域でデータの完全コピーを作成します。

全領域というのは文字通り「ディスクの未使用領域を含めた全領域」です。

HPAやDCOも解除して保全を行います。

 

ざっくりした説明になりますが、通常データ削除というのは「ファイルシステムの枠組みから外れる」ことを指します。

Windowsの場合だと、右クリックから削除やShift + Delete等でファイル削除ができます。

見た目上は削除されたように見えますが、処理的にはファイルの削除は行われていません。

ファイルシステムの枠組みから外れて、「上書き可能」な状態になります。

削除されていないファイルは上書き不可能な状態になっています。

データが上書き可能な状態になり、その領域が上書きされることで初めて「完全な削除」が行われます。

 

削除データの復元についてはNHKでも紹介されていましたね。

www.nhk.or.jp

>「今、復元処理が完了しました。」

>「簡単に復元できるんですね?」

>「朝飯前ですね。」

 

このやりとりは笑いそうになりますが。。。

 

 

通常のファイル復元(データカービングとも)は、ディスクの1セクタ目から最終セクタまでを舐めていって、シグネチャやヘッダの情報に合致するものがあれば復元を試みる。というものです。(ツールによって変わるかもしれません。)

 

 

で、このデータ復元を行うためには全領域が保全されていることが前提になります。

※前述の通り、削除されたデータは上書き可能な状態になります。

 

 

 

大きく分けて保全には、物理コピーとイメージコピーの2者があります。

 

物理コピーは1:1でバイト配列、構成が全く同じ複製を作成するものです。

物理コピーは全く同じディスクをもう一つ作成するイメージです。

保存先にはファイルシステムは必要ありません。

 

イメージコピーは、ディスク全領域をイメージファイルの形式でコピーを作成します。

ddイメージやE01イメージが有名です。isoやUDF形式のようなイメージです。

拡張子を持ったファイルの形式でコピーを作成するので、保存先にはファイルシステムが存在する必要があります。

ddイメージは無加工のRAWで取得します。

E01はデータブロックごとにCRCチェックサムを付与し、最終ブロックにハッシュを付与します。

www.forensicsware.com

 

で、保全したあとはハッシュ値を算出して証拠性を確認します。

ハッシュ値の比較検証を行う際には、ハッシュ衝突について留意してください。

MD5SHA-1の衝突はggってください。

近年では衝突を考慮してSHA-256のような強固なハッシュを用いるのが好ましくなっています。

ただビット長が長くなるので処理時間も長くなります。

そこを懸念するのであればMD5SHA-1の両方を算出し、2つで比較検証してください。

原本とコピーのハッシュが一致しないと、証拠能力を著しく損ないます。

逆に一致していれば、証拠能力は担保されます。

 

 

証拠保全については以上になりますが、保全作業にあたっては考慮すべき事項があります。

それは暗号化ディスクについてです。

 

 

MacであればFileVault2やAPFSの暗号化、T2チップによるハードウェア暗号があります。

WindowsであればBitLocker、TPM、FIPSがあります。

その他暗号化ソリューションもありますね。秘文、VeraCrypt等あります。

 

基本的に証拠保全については、

暗号化を解除した状態で保全する

ことが求められます。

暗号化を解除しない状態で保全すると、当然ですが暗号化された状態でコピーが作成されます。

 

暗号化解除するためには電源投入する必要がありますので、原本を改変せずに保全を行うことが難しくなります。

なので運用に合わせて、取るべき手法を変えましょう。

 

 

 

RAID構成されたディスクについては、容量の問題やRAID再構築の問題があります。

そういった場合は論理取得を行いましょう。

論理取得とは、システムから認識されている領域を保全することを指します。

(いわゆるCドライブやDドライブ等。未割り当て領域やHPA/DCOの領域は含みません。)

論理であれば複数のディスクを用いてRAID構成していても、単一のディスクとして認識されるので保全が可能になります。

 

 

この記事が証拠保全作業を行う方の手助けになればと思いつつ。。

 

 

それでは良い保全ライフを。