デジタル証拠の脆弱性

フォレンジック(コンピューター・フォレンジック)では、デジタル証拠を取り扱います。このデジタル証拠を収集、分析して最終的には報告書にまとめ、法廷で通用する証拠としなくてはなりません。

ところが、このデジタル証拠というものは非常にやっかいです。何故かというと、デジタル証拠は非常に脆弱(もろくて弱いこと)です。つまり、いとも簡単に消滅してしまったり、改ざんされたりしてしまうのです。そのため、取り扱うフォレンジックの担当者はその点をしっかりと理解しておくことが必要不可欠となります。

担当者が少しでも手順を間違えると、デジタル証拠を法廷で証拠として機能させることが難しくなります。これではフォレンジックを実施している意味が無くなってしまいます。慎重な取り扱いが求められるのは言うまでもありません。

揮発性情報と不揮発性情報

さて、このデジタル証拠は揮発性情報と不揮発性情報に分類されます。この考え方は非常に重要なものですので、必ず頭の中に入れておいてください。この基本的なデータの形を認識することは、フォレンジック調査の成否を左右するポイントになります。

また、インシデント発生時の対応方針にも大きく関わってくるところですので、対応をしていく上での根幹を為す部分でもあります。

揮発性情報

揮発性情報とは、コンピューターの電源を停止すると完全に消滅してしまう、一時的に保存しているデータのことです。これはコンピューターを再起動した場合においても同様です。とにかく脆いデータになります。

具体的にはコンピューターを構成する装置のひとつである、メインメモリに保存されています。また、CPU内部で高速計算するためのレジスタと呼ばれるデータ保持装置であったり、処理速度を高める工夫として用いられているキャッシュメモリにも揮発性情報が存在します。 揮発性情報は、システムが動作している状況ではOSや各種アプリケーションの動作によって、刻一刻と書き換わっていきます。そのため、フォレンジック調査を行う上では真っ先に保全しなくてはならない情報だということは感覚的に理解できることでしょう。

この中には、現在実行しているプロセスや、動いているアプリケーションなどが情報として存在しています。

また、最近のサイバー攻撃ではメモリの中にしか殆ど痕跡を残さない「ファイルレスマルウェア」が幅を効かせていますが、そのようなマルウェアのコードもメモリ上には展開されています。そのため、揮発性情報の収集は現代では非常に重要性が増しているといえるでしょう。

ネットワーク的な情報も揮発性情報です。どの相手と通信を今行っているか?どのポート番号が現在利用されているか、ARPキャッシュと呼ばれるIPアドレスとMACアドレスの対応表なども電源が切れれば消滅してしまいます。

揮発性データは、コンピューターが「今何をしているのか」を示す貴重な情報源となります。

不揮発性情報

一方の不揮発性情報とは、揮発性情報とは異なり電源が途絶えても保持し続ける永続的なデータとなります(とはいえ、呼称や操作誤り、手順ミスなどで消えてしまう脆弱な情報であることは意識しておきましょう)。

具体的な保存場所としては、ハードディスクドライブ(HDD)やSSD、USBメモリ、DVDやBrue-rayなどの光ディスクのような記憶媒体に残ります。

揮発性情報と比べればの話になりますが、安定しているといえます。ここにはシステムの使用履歴であったり、保存されたファイルなどのデータが主に保管される形になります。

また、Windowsの場合は重要な情報源となるレジストリ情報が保管されるのもここになります。レジストリには、システムの構成設定や、ユーザーごとの環境設定、USB機器などの外部機器の接続履歴などが記録されています。これもフォレンジックを行う上では、貴重な情報源となるものです。

さらに欠かせてはならないのがログ情報です。システムやネットワークで発生したイベントはログという形でHDDなどに保管されます。電子メールや各種チャットツールのログも保存されます。特に内部不正の場合は、証拠となるやりとりをこういったツールを用いて行うことが多くなっていますので、重要といえるでしょう。

不揮発性情報は、これまでのシステムやネットワークの記録を保存した情報になります。

まとめ

揮発性情報と不揮発性情報の性質の違いについて理解いただけましたでしょうか?

どちらもフォレンジックにより、インシデントの事象を解明するためには欠かすことのできない貴重な情報源です。その性質を理解することで、取り扱い方を考慮していきます。

双方のデータを集めることで、過去から未来までの出来事をタイムラインとしてまとめることができます。これはフォレンジックの最終的な目的である報告を行う上で、重要な要素です。これにより、いつ、対象システムに何が起こったかという疑問に答えることができるようになるのです。

フォレンジック