原本同一性の確認とEnCaseを利用したフォレンジック調査

原本同一性の確認とEnCaseを利
用したフォレンジック調査
ネットエージェント株式会社
フォレンジック調査部
松本 隆
平戸 伸幸
本資料はアマノタイムビジネス株式会社のタイムスタンプサービスにより完全性証明を行っています。
http://www.e-timing.ne.jp/
2008/05/28
12:41
JST
CoC(Chain of Custody)証拠の鎖
ハッシュ計算
原本
ハッシュ計算
複製
調査複製
ハッシュ計算
『証拠をつなぐ鎖が切れてはいけない』
Copyright(c) NetAgent Co.,Ltd
2
同一性の確認
既知ファイル
不明ファイル
ハッシュ計算
ハッシュ計算
ハッシュ値
比較
ハッシュ値
『同じハッシュ値であればデータの内容は同じ』
『1bitでも異なればハッシュ値が異なる』
Copyright(c) NetAgent Co.,Ltd
3
コンピュータ証拠
z
z
z
z
z
採用可能:法廷に提出される前に、特定の法的ルールに
適合しなければならない。
真正:積極的に材料をインシデントと証拠論的に結びつけ
ることが可能でなければならない。
完全:特定の観点のみならず、全体像を伝えるものでなく
てはならない。
依拠可能:どのように証拠が収集され、扱われたかについ
て、その真正性と真実性についての疑いを招くことがあっ
てはならない。
信用可能:法廷によってただちに信用可能であり、理解可
能でなければならない。
RFC3227 証拠収集とアーカイビングのためのガイドライン(日本語訳)「2.4法的な考慮事項」より引用
Copyright(c) NetAgent Co.,Ltd
4
1・原本の確保
z 原本の状態
社内調査
z 破損
z セキュリティ
z
z 原本の確保、受け取り
聞き取り
z 確保手順の確認
z 記録の作成(デモ)
z
Copyright(c) NetAgent Co.,Ltd
5
原本の状態(社内調査)
原本確保
保全(複製)
インシデント
発覚
連鎖
連鎖?
?
鎖
連
連
連
鎖
鎖
連
連
鎖
鎖
連鎖
連鎖
原本を起動して
調査した!
社内調査
報告(文書)
Copyright(c) NetAgent Co.,Ltd
調査(解析)
6
原本の状態(破損)
原本確保
保全(複製)
インシデント
発覚
連鎖
連鎖?
最初から
壊れていた!
連
連
鎖
鎖
連
連
鎖
鎖
?
鎖
連
連鎖
連鎖
作業中に
落としてしまった!
取り外し
報告(文書)
Copyright(c) NetAgent Co.,Ltd
調査(解析)
7
原本の状態(セキュリティ)
原本確保
保全(複製)
インシデント
発覚
連
連
鎖
鎖
連 ?
鎖
連
連
鎖
鎖
連
鎖
連鎖?
連鎖
HDD暗号化、TPM、
BIOSのロック
EFS・・・
連鎖
連鎖
セキュリティの解除
取り外し
報告(文書)
Copyright(c) NetAgent Co.,Ltd
調査(解析)
8
原本の確保・受け取り
z ケース管理番号発行
z
ケースを識別・管理するためのユニークな番号
を発行
z ケースファイル作成
z
ケースで取得した情報を全て保管
z
メモやフィルムの引換証のレベルまで
『案件の取り違え、証拠の混在を防ぐ』
Copyright(c) NetAgent Co.,Ltd
9
原本の確保・受け取り
z 聞き取り
原本の形状(形状、型番、インターフェイス、容
量、サイズ、台数、パスワードの有無、特殊な
セキュリティの有無など)
z 原本の状態(確保日時、最終シャットダウン日
時、社内調査の有無と内容、フォーマット/再イ
ンストールの有無と使用したツール、ユーザの
意図的な作業の有無など)
z
Copyright(c) NetAgent Co.,Ltd
10
原本の確保・受け取り
z原本の確保手順の確認
z 現地で作業/持込み
z 作業場所の確保は可能か(施錠、空調管理の
確認)
z作業場所の利用制限
z作業場所への機材の持ち込み/搬出の制限
zどのような手段で保全するか
Copyright(c) NetAgent Co.,Ltd
11
原本の確保・受け取り
z
証拠の受け取りは適切に
z
z
z
z
原本受け取り
デモ
正確な記録(文書)の作成
z
z
z
z
確保手順書に従った操作を行う
専門機器の取り扱いは正規サポートに
改ざん、破損、流出などからの保護
時刻、操作した人物、操作した内容
カメラ・ビデオで撮影
記録ノートの作成
収集した証拠の取り扱い
z
z
z
改ざん、破損などからの保護(フィルム、デジカメ等)
変更・移動・複製等の記録
識別票、案件BOX、案件管理シール
Copyright(c) NetAgent Co.,Ltd
12
2・複製の作成(保全)
z
z
z
z
z
z
z
z
複製先デバイスの確認
複製形式の選択
複製形式の違いについて
EnCase証拠ファイル形式とは
ddイメージ(原本ハッシュ比較)
物理複製
EnCase証拠ファイル形式(E01)
破損したディスクの複製
z
z
z
z
KingDemiのログ(正常終了)
KingDemiのログ(Bad Sector)
保護されたディスクの複製
複製時の同一性確認
Copyright(c) NetAgent Co.,Ltd
13
複製先デバイスの確認
z 複製先デバイスの状態
外観(破損、ラベルの読み取り)
z ディスク構成情報(CHSなど)
z インターフェース
z 容量、サイズ
z ワイプの確認(記録)
z
Copyright(c) NetAgent Co.,Ltd
14
複製形式の選択
ddイメージ
*当社では更にE01形式に変換
ddイメージで複製
物理複製
物理複製
HDD
複製元(原本)
E01イメージ
ENBCD、LINEN
EnCase証拠ファイル形式
Copyright(c) NetAgent Co.,Ltd
15
複製形式の違いについて
z
ddイメージ
z
z
z
z
物理複製
z
z
z
z
情報が変化しにくく扱いやすい
対応している解析ツールが多く、専用ソフトを必要としない
ddイメージはケース情報を含まないため、複数の原本ハードディス
クが混在すると危険
原本の物理的な複製により近い
データが変化しやすい
複製先HDDにハード上の制限(ディスク構成情報、容量等)
E01(EnCase証拠ファイル形式)
z
z
z
情報が変化しにくく扱いやすい
ケース情報やハッシュを含むため管理しやすい
取り扱いには専用ソフトが必要
Copyright(c) NetAgent Co.,Ltd
16
EnCase証拠ファイル形式とは
ヘッダ(ケース情報)
CRC
64セクタ(32KB)のデータ
MD5
EnCase証拠ファイルは、調査対象デバイス(原本)の物理ビット単位
(ビットストリーム)の完全な複製であり、原本から読み取りったデータ
ブロック(デフォルトでは64セクタ単位:32KB)単位でCRC値を計算し、
ブロック毎にCRCデータを付与します。
最後に全てのデジタルデータに対するMD5ハッシュ値が計算され、
証拠ファイルの最後に付与されます。MD5値は、原本から読み込ま
れたデータ部分のみが対象となり、ヘッダやCRCなどの部分はハッ
シュ計算の対象に含まれません。
Copyright(c) NetAgent Co.,Ltd
17
ddイメージ(原本ハッシュ比較)
原本取り外し
調査対象
複製装置
複製先
HDD
複製
dd image H
①複製時
HASH CAL
②原本ハッシュ
計算
ハッシュ計算
YEC KingDEMI
EnCase
起動
調査端末
④EnCaseによりddイ
メージをE01形式に変
換し、ハッシュ再計算
Copyright(c) NetAgent Co.,Ltd
複製先
HDD
③ログによりddイメージの
ハッシュ値及びエラーセク
タの確認
18
ddイメージ(コンペア)
原本取り外し
調査対象
複製装置
複製先
HDD
複製
dd image MAKE H
①書き込み時
ハッシュ計算+
コンペア
②コンペアによ
りビット単位で
原本と複製の
比較
YEC KingDEMI
EnCase
起動
調査端末
④EnCaseによりddイ
メージをE01形式に変
換し、ハッシュ再計算
Copyright(c) NetAgent Co.,Ltd
複製先
HDD
③ログによりddイメージの
ハッシュ値及びエラーセク
タの確認
19
物理複製
原本取り外し
複製先
HDD
複製装置
①クリップ
調査対象
②物理複製
③コンペアによ
りビット単位で
原本と複製の
比較
YEC KingDEMI
複製先
HDD
EnCase
起動
⑤Write Block
調査端末
④ハッシュ値及びエラーセ
クタの確認
⑥EnCaseによりE01形
式に変換し、ハッシュ再計
算、もしくは直接確認
Copyright(c) NetAgent Co.,Ltd
20
EnCase証拠ファイル形式(E01)
調査対象(原本)
調査システム
ENBCD
ENBFD
LINEN
④
②
EnCase起動
⑤
平文
③
TCP/IP
⑥
E01変換時ハッシュ計算
直接EnCase証拠ファイル形式に保全するため、
通常の保全に比べ、より原本との連続性の
確認が必要となる(FastBloc経由も基本は同様)
Case追加時再計算
Copyright(c) NetAgent Co.,Ltd
クロス接続
⑦
表示
サーバモード
追加
起動順序設定
起動
①
保存
21
破損したディスクの複製
原本取り外し
調査対象
複製装置
複製先
HDD
複製
dd image H
①複製時
原本ハッシュ
が一致しない
エラー確認
ディスク
障害の確認
YEC KingDEMI
EnCase
起動
調査端末
③EnCaseによりddイ
メージをE01形式に変
換し、ハッシュ再計算
複製先
HDD
②ログによりddイメージの
ハッシュ値及びエラーセク
タの確認・記録
原本ハッシュ値が確認できないため、通常の保全に比べ、より原本との連続性の記録が必要となる
Copyright(c) NetAgent Co.,Ltd
22
KingDemiのログ(正常終了)
MD5 VALUE: 57B7C41430D7477E6A77775616D7436E
ORIGINAL HDD HASH SECTOR: 0-488397167
HASH Completed: 6/27/2008 5:14:50pm
Elapsed time: 2:15:30
================================================================================
#00,MODEL
,SAMSUNG HA250JC
#00,S/N
,S084J1RYA02151
#00,FIRMWARE_VERSION
,WE900-33
#00,LBA_MODE_SECTORS
,00001D1C5970h,
488397168
#00,DEFAULT_HEAD
, 10h, 16
#00,DEFAULT_CYLINDER
,3FFFh,16383
#00,DEFAULT_SECTOR
, 3Fh, 63
#00,DEFAULT(C*H*S)SECTORS , FBFC10h, 16514064
#00,CURRENT_HEAD
, 10h, 16
#00,CURRENT_CYLINDER
,3FFFh,16383
#00,CURRENT_SECTOR
, 3Fh, 63
#00,CURRENT(C*H*S)SECTORS , FBFC10h, 16514064
#00,PIO_Modes_Supported , 3h, 3
#00,PIO_TimeWith(ns)
, F0h, 240
#00,PIO_TimeWithout(ns) , 78h, 120
#00,MULTWORD_DMA_Supported , 407h, 1031
#00,ULTRA_DMA_Supported , 7Fh, 127
#00,Volume
,
250059,MBytes
#00,SECURITY STATUS
, 21h, 33
#00,SMART(0:NOT 1:SUPPORT) , 1h, 1
#00,TRANS_MODE_RATE
,UDMAMODE2
#00,NATIVE_MAX_ADDRESS , 1D1C596Fh,
488397167
================================================================================
Bad sector: None
*日付、ハッシュ値、シリアル番号は変更しています
Copyright(c) NetAgent Co.,Ltd
23
KingDemiのログ(Bad sector)
MD5 VALUE: 11CC47A56DBF2C7E722A49DC19B77D22
ORIGINAL HDD HASH SECTOR: 0-78140159
HASH Completed: 6/27/2008 6:10:41pm
Elapsed time: 0:33:26
================================================================================
#00,MODEL
,TOSHIBA MK4021GAS
#00,S/N
,41N62120S
#00,FIRMWARE_VERSION
,GA224A
#00,LBA_MODE_SECTORS
,04A85300h,
78140160
#00,DEFAULT_HEAD
, 10h, 16
#00,DEFAULT_CYLINDER
,3FFFh,16383
#00,DEFAULT_SECTOR
, 3Fh, 63
#00,DEFAULT(C*H*S)SECTORS , FBFC10h, 16514064
#00,CURRENT_HEAD
, 10h, 16
#00,CURRENT_CYLINDER
,3FFFh,16383
#00,CURRENT_SECTOR
, 3Fh, 63
#00,CURRENT(C*H*S)SECTORS , FBFC10h, 16514064
#00,PIO_Modes_Supported , 3h, 3
#00,PIO_TimeWith(ns)
, 78h, 120
#00,PIO_TimeWithout(ns) , 78h, 120
#00,MULTWORD_DMA_Supported , 407h, 1031
#00,ULTRA_DMA_Supported , 3Fh, 63
#00,Volume
,
40007,MBytes
#00,SECURITY STATUS
, 1h, 1
#00,SMART(0:NOT 1:SUPPORT) , 1h, 1
#00,TRANS_MODE_RATE
,UDMAMODE2
#00,NATIVE_MAX_ADDRESS , 4A852FFh,
78140159
================================================================================
Bad sector (Block000): 60452106 to 60452107
2セクタ分破損
*日付、ハッシュ値、シリアル番号は変更しています
Copyright(c) NetAgent Co.,Ltd
24
保護されたディスクの複製
原本取り外し 複製装置
調査対象
複製先
HDD
複製
dd image H
①複製時
HASH CAL
②原本ハッシュ
計算
ハッシュ計算
YEC KingDEMI
保護の解除
EnCase
起動
調査端末
④EnCaseによりddイ
メージをE01形式に変
換し、ハッシュ再計算
複製先
HDD
③ログによりddイメージの
ハッシュ値及びエラーセク
タの確認
保護の解除の作業を行うため、通常の保全に比べ、より原本との連続性の記録が必要となる。
Copyright(c) NetAgent Co.,Ltd
25
同一性確認まとめ
ハッシュ値
ハッシュ値
証拠
複製
写真/動画
による作業記録
・・・
作業記録ノート 作業手順書
署名入り レシートなど
調査機器の
確認書
第三者の記録 ログ
複製
ハッシュ値
原本・複製に対し「誰が、いつ、何をした(結果どうなったか)」をま
とめた資料を作成
*ツールの名前やversion(できればバイナリ)なども記録・保存しておとよい?
Copyright(c) NetAgent Co.,Ltd
26
3・EnCaseを利用した
フォレンジック調査
z
z
z
ケースの作成
EnCase証拠ファイル形式とケース情報
調査前作業
z
z
z
EnCaseモジュール
z
z
z
z
z
タイムゾーンの設定
リカバーフォルダの実行
FastBlocSE(デモ)
VFS・PDE
EDS
論理証拠ファイル
Windows Mediaエンコーダの利用
Copyright(c) NetAgent Co.,Ltd
27
ケースの作成
z
ケース(Case)とは?
z
z
z
z
調査案件(ケース)毎に作成する、検索結果など個別
の案件全体を管理するためのファイル(.case)
調査の過程で発見したデータへのポインタ(ケース毎に
設定した検索キーワード、検索結果、ハッシュ計算の
結果、ブックマークなど)や操作ログなどを管理
ケースの形式はEnCaseのバージョンに依存するので、
複数のバージョンのEnCaseを利用して調査を進める
場合は注意
自動バックアップファイル(.cbak)
z
C:¥Program Files¥EnCase5¥Backup
Copyright(c) NetAgent Co.,Ltd
28
EnCase証拠ファイル形式と
ケース情報
EnCaseはケースに証拠ファイルが追加(登録)された時点で、ブロック毎
のCRC値とデータ全体のMD5値を計算し、取得時の値と一致するかを
ベリファイ処理により確認します。ベリファイ処理はEnCaseにより自動的
に実行されますが、調査員が任意のタイミングでベリファイを実施するこ
ともできます。
証拠ファイルのベリファイを実行した結果、異常が発見された場合(例:
CRC値が一致しないなど)、EnCaseはコンソールにアラートを出力する
と共に、該当ブロックを表示しません。異常が発見されたブロック以外の
データについては継続してアクセスが可能ですが、破損していない証拠
ファイルをバックアップメディアからリストアするなどの対応が必要となり
ます。
Copyright(c) NetAgent Co.,Ltd
29
タイムゾーンの設定
調査を行う原本デバイスのタイムゾーンを設定します。
タイムゾーンはデバイス単位で設定可能ですが、事前調査、保全、確保
作業のヒアリング内容と同期を取るなどし、設定が正しく反映されている
かの確認が必要です。
Copyright(c) NetAgent Co.,Ltd
30
リカバーフォルダの実行
EnCaseはハードディスクの未使用領域から、データのエントリ情報を検索し、エ
ントリ情報と、場合によってはデータを復元することが可能です。(結果はcase
ファイル内に保存)
復元は論理ドライブ単位で行います。エントリ復元の方法や結果の表示方法は、
復元対象のファイルシステムに依存します。
Copyright(c) NetAgent Co.,Ltd
31
FastBlocSE(書き込み防止モジュール)
z Guidance
Software社がEnCaseで提供す
るWriteBlockモジュール。USB、Fire Wire、
SCSI等に対応。以下の2つのモードを有す
る。
z
WriteBlockモード
z
z
書き込み完了信号を返信しエラーを回避
Write Protectモード
書き込み失敗のエラーを表示
z 書き込み防止の確認、記録など
FastBlocSE
デモ
z
Copyright(c) NetAgent Co.,Ltd
32
VFSとPDEモジュール
z
Guidance Software社がEnCaseで提供する仮想
ファイルシステム(VFS)と物理ディスクエミュレー
タ(PDE)モジュール。EnCaseの証拠ファイル*に
対して、サードパーティツールを実行する場合など
に用いる。
z
仮想ファイルシステム( VFS)
z
z
読み込み専門のオフラインネットワークデバイスとしてマウント
物理ディスクエミュレータ(PDE)
z
z
調査端末上の物理ディスクとしてエミュレート
キャッシュオプション利用により書き込みが必要なツールも利
用可能(キャッシュは差分ファイルとして調査端末に保存)
*e01、dd、SafeBack®v2(New Technologies, Inc.)、Vmwareイメージ等
Copyright(c) NetAgent Co.,Ltd
33
EDSモジュール
( EnCase Decription Suite)
z
Guidance Software社がEnCaseで提供する暗号
化されたファイルの解読サポートモジュール。機
能は以下の通り
z
z
z
Microsoft Encrypting File System (EFS)で暗号化さ
れたファイルの解読サポート
Outlook PSTパスワード(Outlook2003を除く)の解読
サポート
Auto Completeの解析、Dictionary Attackにも対応
Copyright(c) NetAgent Co.,Ltd
34
論理証拠ファイル
( Logical Evidence File)
z
調査対象ハードディスクの容量が大きくなってくる
と、案件によってはディスク全体を確保するので
はなく、個別のファイルやフォルダのみを対象とし
たほうが調査の効率が良い場合もあります。拡張
子はL01となり、EnCase証拠ファイル形式と同じ
ようにハッシュ値やメタデータを持っています。
Copyright(c) NetAgent Co.,Ltd
35
Windowsメディアエンコーダの利用
Windows Media エンコーダ は、無料で利用可能なWindows Media
フォーマットのコンテンツ作成ツールです。
ローカル画面の取り込みが可能で、動画ファイルとしてもサイズが小さく、
かつWindows環境であればおよそコンテンツの再生が可能なため、弊
社ではフォレンジック調査では調査員の作業記録や作業確認用の資料
としても利用しています。
難点を言えば割り込み処理が頻繁に発生するためか、調査端末でダブ
ルクリックが少し利きにくくなる点でしょうか・・・。
Copyright(c) NetAgent Co.,Ltd
36
参考資料
z
z
z
z
z
z
RFC3227
証拠収集とアーカイビングのためのガイドライン
http://www.ipa.go.jp/security/rfc/RFC3227JA.html
参考資料:平成15年度社会安全研究財団委託調査研究報告書
『アメリカにおけるハイテク犯罪に対する捜査手段の法的側面』報告
書(翻訳編)
証拠収集実務マニュアル
ISBN4-324-05993-4
証拠保全の実務
ISBN978-4-322-10917-7
立証の実務
ISBN978-4-324-08008-5
完全科学捜査マニュアル
ISBN4-309-20394-9
Copyright(c) NetAgent Co.,Ltd
37
お問い合わせ先
解き明かす力、今すぐにでも。
フォレンジック・サービス
NetAgent
The Forensics Company
http://forensic.netagent.co.jp/
MAIL:[email protected]
TEL: 03-5619-1243
Copyright(c) NetAgent Co.,Ltd
38