原本同一性の確認とEnCaseを利 用したフォレンジック調査 ネットエージェント株式会社 フォレンジック調査部 松本 隆 平戸 伸幸 本資料はアマノタイムビジネス株式会社のタイムスタンプサービスにより完全性証明を行っています。 http://www.e-timing.ne.jp/ 2008/05/28 12:41 JST CoC(Chain of Custody)証拠の鎖 ハッシュ計算 原本 ハッシュ計算 複製 調査複製 ハッシュ計算 『証拠をつなぐ鎖が切れてはいけない』 Copyright(c) NetAgent Co.,Ltd 2 同一性の確認 既知ファイル 不明ファイル ハッシュ計算 ハッシュ計算 ハッシュ値 比較 ハッシュ値 『同じハッシュ値であればデータの内容は同じ』 『1bitでも異なればハッシュ値が異なる』 Copyright(c) NetAgent Co.,Ltd 3 コンピュータ証拠 z z z z z 採用可能:法廷に提出される前に、特定の法的ルールに 適合しなければならない。 真正:積極的に材料をインシデントと証拠論的に結びつけ ることが可能でなければならない。 完全:特定の観点のみならず、全体像を伝えるものでなく てはならない。 依拠可能:どのように証拠が収集され、扱われたかについ て、その真正性と真実性についての疑いを招くことがあっ てはならない。 信用可能:法廷によってただちに信用可能であり、理解可 能でなければならない。 RFC3227 証拠収集とアーカイビングのためのガイドライン(日本語訳)「2.4法的な考慮事項」より引用 Copyright(c) NetAgent Co.,Ltd 4 1・原本の確保 z 原本の状態 社内調査 z 破損 z セキュリティ z z 原本の確保、受け取り 聞き取り z 確保手順の確認 z 記録の作成(デモ) z Copyright(c) NetAgent Co.,Ltd 5 原本の状態(社内調査) 原本確保 保全(複製) インシデント 発覚 連鎖 連鎖? ? 鎖 連 連 連 鎖 鎖 連 連 鎖 鎖 連鎖 連鎖 原本を起動して 調査した! 社内調査 報告(文書) Copyright(c) NetAgent Co.,Ltd 調査(解析) 6 原本の状態(破損) 原本確保 保全(複製) インシデント 発覚 連鎖 連鎖? 最初から 壊れていた! 連 連 鎖 鎖 連 連 鎖 鎖 ? 鎖 連 連鎖 連鎖 作業中に 落としてしまった! 取り外し 報告(文書) Copyright(c) NetAgent Co.,Ltd 調査(解析) 7 原本の状態(セキュリティ) 原本確保 保全(複製) インシデント 発覚 連 連 鎖 鎖 連 ? 鎖 連 連 鎖 鎖 連 鎖 連鎖? 連鎖 HDD暗号化、TPM、 BIOSのロック EFS・・・ 連鎖 連鎖 セキュリティの解除 取り外し 報告(文書) Copyright(c) NetAgent Co.,Ltd 調査(解析) 8 原本の確保・受け取り z ケース管理番号発行 z ケースを識別・管理するためのユニークな番号 を発行 z ケースファイル作成 z ケースで取得した情報を全て保管 z メモやフィルムの引換証のレベルまで 『案件の取り違え、証拠の混在を防ぐ』 Copyright(c) NetAgent Co.,Ltd 9 原本の確保・受け取り z 聞き取り 原本の形状(形状、型番、インターフェイス、容 量、サイズ、台数、パスワードの有無、特殊な セキュリティの有無など) z 原本の状態(確保日時、最終シャットダウン日 時、社内調査の有無と内容、フォーマット/再イ ンストールの有無と使用したツール、ユーザの 意図的な作業の有無など) z Copyright(c) NetAgent Co.,Ltd 10 原本の確保・受け取り z原本の確保手順の確認 z 現地で作業/持込み z 作業場所の確保は可能か(施錠、空調管理の 確認) z作業場所の利用制限 z作業場所への機材の持ち込み/搬出の制限 zどのような手段で保全するか Copyright(c) NetAgent Co.,Ltd 11 原本の確保・受け取り z 証拠の受け取りは適切に z z z z 原本受け取り デモ 正確な記録(文書)の作成 z z z z 確保手順書に従った操作を行う 専門機器の取り扱いは正規サポートに 改ざん、破損、流出などからの保護 時刻、操作した人物、操作した内容 カメラ・ビデオで撮影 記録ノートの作成 収集した証拠の取り扱い z z z 改ざん、破損などからの保護(フィルム、デジカメ等) 変更・移動・複製等の記録 識別票、案件BOX、案件管理シール Copyright(c) NetAgent Co.,Ltd 12 2・複製の作成(保全) z z z z z z z z 複製先デバイスの確認 複製形式の選択 複製形式の違いについて EnCase証拠ファイル形式とは ddイメージ(原本ハッシュ比較) 物理複製 EnCase証拠ファイル形式(E01) 破損したディスクの複製 z z z z KingDemiのログ(正常終了) KingDemiのログ(Bad Sector) 保護されたディスクの複製 複製時の同一性確認 Copyright(c) NetAgent Co.,Ltd 13 複製先デバイスの確認 z 複製先デバイスの状態 外観(破損、ラベルの読み取り) z ディスク構成情報(CHSなど) z インターフェース z 容量、サイズ z ワイプの確認(記録) z Copyright(c) NetAgent Co.,Ltd 14 複製形式の選択 ddイメージ *当社では更にE01形式に変換 ddイメージで複製 物理複製 物理複製 HDD 複製元(原本) E01イメージ ENBCD、LINEN EnCase証拠ファイル形式 Copyright(c) NetAgent Co.,Ltd 15 複製形式の違いについて z ddイメージ z z z z 物理複製 z z z z 情報が変化しにくく扱いやすい 対応している解析ツールが多く、専用ソフトを必要としない ddイメージはケース情報を含まないため、複数の原本ハードディス クが混在すると危険 原本の物理的な複製により近い データが変化しやすい 複製先HDDにハード上の制限(ディスク構成情報、容量等) E01(EnCase証拠ファイル形式) z z z 情報が変化しにくく扱いやすい ケース情報やハッシュを含むため管理しやすい 取り扱いには専用ソフトが必要 Copyright(c) NetAgent Co.,Ltd 16 EnCase証拠ファイル形式とは ヘッダ(ケース情報) CRC 64セクタ(32KB)のデータ MD5 EnCase証拠ファイルは、調査対象デバイス(原本)の物理ビット単位 (ビットストリーム)の完全な複製であり、原本から読み取りったデータ ブロック(デフォルトでは64セクタ単位:32KB)単位でCRC値を計算し、 ブロック毎にCRCデータを付与します。 最後に全てのデジタルデータに対するMD5ハッシュ値が計算され、 証拠ファイルの最後に付与されます。MD5値は、原本から読み込ま れたデータ部分のみが対象となり、ヘッダやCRCなどの部分はハッ シュ計算の対象に含まれません。 Copyright(c) NetAgent Co.,Ltd 17 ddイメージ(原本ハッシュ比較) 原本取り外し 調査対象 複製装置 複製先 HDD 複製 dd image H ①複製時 HASH CAL ②原本ハッシュ 計算 ハッシュ計算 YEC KingDEMI EnCase 起動 調査端末 ④EnCaseによりddイ メージをE01形式に変 換し、ハッシュ再計算 Copyright(c) NetAgent Co.,Ltd 複製先 HDD ③ログによりddイメージの ハッシュ値及びエラーセク タの確認 18 ddイメージ(コンペア) 原本取り外し 調査対象 複製装置 複製先 HDD 複製 dd image MAKE H ①書き込み時 ハッシュ計算+ コンペア ②コンペアによ りビット単位で 原本と複製の 比較 YEC KingDEMI EnCase 起動 調査端末 ④EnCaseによりddイ メージをE01形式に変 換し、ハッシュ再計算 Copyright(c) NetAgent Co.,Ltd 複製先 HDD ③ログによりddイメージの ハッシュ値及びエラーセク タの確認 19 物理複製 原本取り外し 複製先 HDD 複製装置 ①クリップ 調査対象 ②物理複製 ③コンペアによ りビット単位で 原本と複製の 比較 YEC KingDEMI 複製先 HDD EnCase 起動 ⑤Write Block 調査端末 ④ハッシュ値及びエラーセ クタの確認 ⑥EnCaseによりE01形 式に変換し、ハッシュ再計 算、もしくは直接確認 Copyright(c) NetAgent Co.,Ltd 20 EnCase証拠ファイル形式(E01) 調査対象(原本) 調査システム ENBCD ENBFD LINEN ④ ② EnCase起動 ⑤ 平文 ③ TCP/IP ⑥ E01変換時ハッシュ計算 直接EnCase証拠ファイル形式に保全するため、 通常の保全に比べ、より原本との連続性の 確認が必要となる(FastBloc経由も基本は同様) Case追加時再計算 Copyright(c) NetAgent Co.,Ltd クロス接続 ⑦ 表示 サーバモード 追加 起動順序設定 起動 ① 保存 21 破損したディスクの複製 原本取り外し 調査対象 複製装置 複製先 HDD 複製 dd image H ①複製時 原本ハッシュ が一致しない エラー確認 ディスク 障害の確認 YEC KingDEMI EnCase 起動 調査端末 ③EnCaseによりddイ メージをE01形式に変 換し、ハッシュ再計算 複製先 HDD ②ログによりddイメージの ハッシュ値及びエラーセク タの確認・記録 原本ハッシュ値が確認できないため、通常の保全に比べ、より原本との連続性の記録が必要となる Copyright(c) NetAgent Co.,Ltd 22 KingDemiのログ(正常終了) MD5 VALUE: 57B7C41430D7477E6A77775616D7436E ORIGINAL HDD HASH SECTOR: 0-488397167 HASH Completed: 6/27/2008 5:14:50pm Elapsed time: 2:15:30 ================================================================================ #00,MODEL ,SAMSUNG HA250JC #00,S/N ,S084J1RYA02151 #00,FIRMWARE_VERSION ,WE900-33 #00,LBA_MODE_SECTORS ,00001D1C5970h, 488397168 #00,DEFAULT_HEAD , 10h, 16 #00,DEFAULT_CYLINDER ,3FFFh,16383 #00,DEFAULT_SECTOR , 3Fh, 63 #00,DEFAULT(C*H*S)SECTORS , FBFC10h, 16514064 #00,CURRENT_HEAD , 10h, 16 #00,CURRENT_CYLINDER ,3FFFh,16383 #00,CURRENT_SECTOR , 3Fh, 63 #00,CURRENT(C*H*S)SECTORS , FBFC10h, 16514064 #00,PIO_Modes_Supported , 3h, 3 #00,PIO_TimeWith(ns) , F0h, 240 #00,PIO_TimeWithout(ns) , 78h, 120 #00,MULTWORD_DMA_Supported , 407h, 1031 #00,ULTRA_DMA_Supported , 7Fh, 127 #00,Volume , 250059,MBytes #00,SECURITY STATUS , 21h, 33 #00,SMART(0:NOT 1:SUPPORT) , 1h, 1 #00,TRANS_MODE_RATE ,UDMAMODE2 #00,NATIVE_MAX_ADDRESS , 1D1C596Fh, 488397167 ================================================================================ Bad sector: None *日付、ハッシュ値、シリアル番号は変更しています Copyright(c) NetAgent Co.,Ltd 23 KingDemiのログ(Bad sector) MD5 VALUE: 11CC47A56DBF2C7E722A49DC19B77D22 ORIGINAL HDD HASH SECTOR: 0-78140159 HASH Completed: 6/27/2008 6:10:41pm Elapsed time: 0:33:26 ================================================================================ #00,MODEL ,TOSHIBA MK4021GAS #00,S/N ,41N62120S #00,FIRMWARE_VERSION ,GA224A #00,LBA_MODE_SECTORS ,04A85300h, 78140160 #00,DEFAULT_HEAD , 10h, 16 #00,DEFAULT_CYLINDER ,3FFFh,16383 #00,DEFAULT_SECTOR , 3Fh, 63 #00,DEFAULT(C*H*S)SECTORS , FBFC10h, 16514064 #00,CURRENT_HEAD , 10h, 16 #00,CURRENT_CYLINDER ,3FFFh,16383 #00,CURRENT_SECTOR , 3Fh, 63 #00,CURRENT(C*H*S)SECTORS , FBFC10h, 16514064 #00,PIO_Modes_Supported , 3h, 3 #00,PIO_TimeWith(ns) , 78h, 120 #00,PIO_TimeWithout(ns) , 78h, 120 #00,MULTWORD_DMA_Supported , 407h, 1031 #00,ULTRA_DMA_Supported , 3Fh, 63 #00,Volume , 40007,MBytes #00,SECURITY STATUS , 1h, 1 #00,SMART(0:NOT 1:SUPPORT) , 1h, 1 #00,TRANS_MODE_RATE ,UDMAMODE2 #00,NATIVE_MAX_ADDRESS , 4A852FFh, 78140159 ================================================================================ Bad sector (Block000): 60452106 to 60452107 2セクタ分破損 *日付、ハッシュ値、シリアル番号は変更しています Copyright(c) NetAgent Co.,Ltd 24 保護されたディスクの複製 原本取り外し 複製装置 調査対象 複製先 HDD 複製 dd image H ①複製時 HASH CAL ②原本ハッシュ 計算 ハッシュ計算 YEC KingDEMI 保護の解除 EnCase 起動 調査端末 ④EnCaseによりddイ メージをE01形式に変 換し、ハッシュ再計算 複製先 HDD ③ログによりddイメージの ハッシュ値及びエラーセク タの確認 保護の解除の作業を行うため、通常の保全に比べ、より原本との連続性の記録が必要となる。 Copyright(c) NetAgent Co.,Ltd 25 同一性確認まとめ ハッシュ値 ハッシュ値 証拠 複製 写真/動画 による作業記録 ・・・ 作業記録ノート 作業手順書 署名入り レシートなど 調査機器の 確認書 第三者の記録 ログ 複製 ハッシュ値 原本・複製に対し「誰が、いつ、何をした(結果どうなったか)」をま とめた資料を作成 *ツールの名前やversion(できればバイナリ)なども記録・保存しておとよい? Copyright(c) NetAgent Co.,Ltd 26 3・EnCaseを利用した フォレンジック調査 z z z ケースの作成 EnCase証拠ファイル形式とケース情報 調査前作業 z z z EnCaseモジュール z z z z z タイムゾーンの設定 リカバーフォルダの実行 FastBlocSE(デモ) VFS・PDE EDS 論理証拠ファイル Windows Mediaエンコーダの利用 Copyright(c) NetAgent Co.,Ltd 27 ケースの作成 z ケース(Case)とは? z z z z 調査案件(ケース)毎に作成する、検索結果など個別 の案件全体を管理するためのファイル(.case) 調査の過程で発見したデータへのポインタ(ケース毎に 設定した検索キーワード、検索結果、ハッシュ計算の 結果、ブックマークなど)や操作ログなどを管理 ケースの形式はEnCaseのバージョンに依存するので、 複数のバージョンのEnCaseを利用して調査を進める 場合は注意 自動バックアップファイル(.cbak) z C:¥Program Files¥EnCase5¥Backup Copyright(c) NetAgent Co.,Ltd 28 EnCase証拠ファイル形式と ケース情報 EnCaseはケースに証拠ファイルが追加(登録)された時点で、ブロック毎 のCRC値とデータ全体のMD5値を計算し、取得時の値と一致するかを ベリファイ処理により確認します。ベリファイ処理はEnCaseにより自動的 に実行されますが、調査員が任意のタイミングでベリファイを実施するこ ともできます。 証拠ファイルのベリファイを実行した結果、異常が発見された場合(例: CRC値が一致しないなど)、EnCaseはコンソールにアラートを出力する と共に、該当ブロックを表示しません。異常が発見されたブロック以外の データについては継続してアクセスが可能ですが、破損していない証拠 ファイルをバックアップメディアからリストアするなどの対応が必要となり ます。 Copyright(c) NetAgent Co.,Ltd 29 タイムゾーンの設定 調査を行う原本デバイスのタイムゾーンを設定します。 タイムゾーンはデバイス単位で設定可能ですが、事前調査、保全、確保 作業のヒアリング内容と同期を取るなどし、設定が正しく反映されている かの確認が必要です。 Copyright(c) NetAgent Co.,Ltd 30 リカバーフォルダの実行 EnCaseはハードディスクの未使用領域から、データのエントリ情報を検索し、エ ントリ情報と、場合によってはデータを復元することが可能です。(結果はcase ファイル内に保存) 復元は論理ドライブ単位で行います。エントリ復元の方法や結果の表示方法は、 復元対象のファイルシステムに依存します。 Copyright(c) NetAgent Co.,Ltd 31 FastBlocSE(書き込み防止モジュール) z Guidance Software社がEnCaseで提供す るWriteBlockモジュール。USB、Fire Wire、 SCSI等に対応。以下の2つのモードを有す る。 z WriteBlockモード z z 書き込み完了信号を返信しエラーを回避 Write Protectモード 書き込み失敗のエラーを表示 z 書き込み防止の確認、記録など FastBlocSE デモ z Copyright(c) NetAgent Co.,Ltd 32 VFSとPDEモジュール z Guidance Software社がEnCaseで提供する仮想 ファイルシステム(VFS)と物理ディスクエミュレー タ(PDE)モジュール。EnCaseの証拠ファイル*に 対して、サードパーティツールを実行する場合など に用いる。 z 仮想ファイルシステム( VFS) z z 読み込み専門のオフラインネットワークデバイスとしてマウント 物理ディスクエミュレータ(PDE) z z 調査端末上の物理ディスクとしてエミュレート キャッシュオプション利用により書き込みが必要なツールも利 用可能(キャッシュは差分ファイルとして調査端末に保存) *e01、dd、SafeBack®v2(New Technologies, Inc.)、Vmwareイメージ等 Copyright(c) NetAgent Co.,Ltd 33 EDSモジュール ( EnCase Decription Suite) z Guidance Software社がEnCaseで提供する暗号 化されたファイルの解読サポートモジュール。機 能は以下の通り z z z Microsoft Encrypting File System (EFS)で暗号化さ れたファイルの解読サポート Outlook PSTパスワード(Outlook2003を除く)の解読 サポート Auto Completeの解析、Dictionary Attackにも対応 Copyright(c) NetAgent Co.,Ltd 34 論理証拠ファイル ( Logical Evidence File) z 調査対象ハードディスクの容量が大きくなってくる と、案件によってはディスク全体を確保するので はなく、個別のファイルやフォルダのみを対象とし たほうが調査の効率が良い場合もあります。拡張 子はL01となり、EnCase証拠ファイル形式と同じ ようにハッシュ値やメタデータを持っています。 Copyright(c) NetAgent Co.,Ltd 35 Windowsメディアエンコーダの利用 Windows Media エンコーダ は、無料で利用可能なWindows Media フォーマットのコンテンツ作成ツールです。 ローカル画面の取り込みが可能で、動画ファイルとしてもサイズが小さく、 かつWindows環境であればおよそコンテンツの再生が可能なため、弊 社ではフォレンジック調査では調査員の作業記録や作業確認用の資料 としても利用しています。 難点を言えば割り込み処理が頻繁に発生するためか、調査端末でダブ ルクリックが少し利きにくくなる点でしょうか・・・。 Copyright(c) NetAgent Co.,Ltd 36 参考資料 z z z z z z RFC3227 証拠収集とアーカイビングのためのガイドライン http://www.ipa.go.jp/security/rfc/RFC3227JA.html 参考資料:平成15年度社会安全研究財団委託調査研究報告書 『アメリカにおけるハイテク犯罪に対する捜査手段の法的側面』報告 書(翻訳編) 証拠収集実務マニュアル ISBN4-324-05993-4 証拠保全の実務 ISBN978-4-322-10917-7 立証の実務 ISBN978-4-324-08008-5 完全科学捜査マニュアル ISBN4-309-20394-9 Copyright(c) NetAgent Co.,Ltd 37 お問い合わせ先 解き明かす力、今すぐにでも。 フォレンジック・サービス NetAgent The Forensics Company http://forensic.netagent.co.jp/ MAIL:[email protected] TEL: 03-5619-1243 Copyright(c) NetAgent Co.,Ltd 38
© Copyright 2024 Paperzz