Computer Forensics 2003年6月14/15日座敷わらし捕獲ツアー最終更新日：2003年7月23日 2003/07/23 12:39:50 (JST) この資料に関して • このPDFファイルは,2003年6月14,15日に開催された Port139勉強会「座敷わらし捕獲ツアー& Computer Forensics」の資料です。 • 最新版の入手先 https://www.port139.co.jp/cakeoff.htm 著作権に関して • この資料は「自由利用マーク」の内容に従い再配布等が可能です。 • 「自由利用マーク」の詳細については文化庁の下記 URL を参照してください。 http://www.bunka.go.jp/jiyuriyo/ 著者（作成者）について • この資料は以下の方々のご協力のもと作成されたものです。 • ツアー参加者の皆様(11名) あおしまさんいはらさんかたやまさんこすぎさんそのださんしらとさんたかはしさんみやもとさんやましたさんよこうちさんわたなべさん【用語】Computer Forensics • こんぴゅーたふぉれんじっく(ふぉれんしっく) • コンピュータシステムにおける司法解剖（コンピュータ法科学検査） • 不正アクセスの証拠・痕跡の調査技法 • 遺跡の発掘調査に喩えられる場合もある • コンピュータ司法解剖【用語】コンピュータ・フォレンジック • コンピュータ犯罪に対する科学的調査 • コンピュータシステムや監査ログの改ざん、破壊など、これまでの手法では証拠を検出することが困難な被害を受けたコンピュータに対し、技術的な高度な手法によってコンピュータの深部を調査・分析することにより、不正アクセスの追跡を行なう手法。 • [port139ml:03705] Re: 昨日の某会議 http://www.st.ryukoku.ac.jp/%7Ekjm/security/mlarchive/port139/2003.07/msg00197.html Computer Forensics の位置づけ設定見直し運用監視不正アクセス調査探偵活動サイバー探偵 Incident Response 初期対応証拠保全 Computer Forensic The Sleuth Kit EnCase FTK Computer Forensics 解析の流れ保存先を用意 (消毒済み) 解析環境へハッシュ値確認（解析対象） ③ ⑧ ④ 調査対象比較 ⑦ 比較ハッシュ値確認（ファイル） ② 複製の作成(dd) イメージ読み込み ⑤ ① ハッシュ値確認 (複製対象） ⑥ 複製ログの確認解析調査システム解析システム Computer Forensics って必要？ • 最終的な目的は何か？ • 真実をあきらかにする -やられたのかどうか？ -どうしてやられたのか？ -どうすればやられないようになるのか？ • 現在はインシデントレスポンスのちょい手前で終わってしまっている、危機管理というべき？ • PDCA C=Computer Forensics （という訳はどうよ？） Computer Forensicsが現在抱えている問題点 • • • • • 知名度 -問題だと思われていない目に見えないものなので -最近になってやっとrootkitが話題に… 問題を認識することができない -経営層/システム管理者を含めて、侵入された後どのようになるか、想像・予想することができない -費用的被害が計算しにくい -今後の判例が注目される(個人情報漏洩事件など) 刑事か民事か？（どちら向け？） -刑事捜査のデータは自分では利用できない(事前に取得) -民事でやる場合には自分で用意する必要がある -刑事で駄目でもあきらめずに民事でやってみる SI がずるい、売るほう優先証拠保全の現状と問題点/課題 • 証拠となるデータは何か？ -アクセスログ -システムログ • 証拠は点ではなく線にしなければならない • （システム管理者が）証拠保全した場合、証人として呼び出される場合がある • 証人として呼ばれたら？ -一般論は述べない -聞かれたことだけに答える • 大抵は証拠保全の準備をしていない証拠としての利用 • 裁判官が理解できる形（内容）である必要がある -紙 -ビデオ -写真 -用語説明 -作文・日本語能力（経緯説明） ※一般人の目で見ていただく • 第三者の立会いがあるとよい -責任ある立場の人間 Disk Imageの取得方法 On line(Live) vs Off line • システムの稼働中に作成したディスクイメージファイルでは、ハッシュ値による同一性確認ができない【×】 • システムを停止することなくイメージを作成できる【○】 • システムが稼働中のみアクセスできる領域（RAID, PGP Disk等）のディスクイメージを作成できる【○】 Computer Forensics をしやすくする為に事前に行える作業は？ • ハードウェア/ソフトウェア情報（構成管理） -ドキュメントの整備（更新記録） • 人的な連絡経路 • 暗号化をむやみやたらにかけない • 初期状態のスナップショットを作成しておく -正常な状態がなにか？を把握する • 手順書をまとめ・訓練を日頃からしておく解析時間を短くする工夫にはどのようなものがあるか？ • 現在は解析にとても時間がかかる • 犯罪心理学（不正アクセス者の行動を予想）を学習し解析に利用するとよいのでは？ • KFF 現在/将来 Computer Forensics の障害になる技術は何か？ • • • • • 解析時に注意しなければいけない点暗号化/パスワード保護されたファイル PGP Disk（暗号化ファイルシステム）ステガノグラフィ/偽装通信の暗号化（IPsec) • ユビキタス時代 • 動くノードの追跡 Computer Forensics をやる人に要求される技術・知識・テクニック • UNIX（Linux）の知識 -対応ツール -対応ファイルシステムへの対応が多い • 作文技術（日本語能力） • ファイルシステム /proc • ハードウェアの知識 • 犯罪心理学（悪い人の知識） Computer Forensics （不正アクセス調査）技術者レベル • • • • Level-0 超初心者（Netstat、ps） Level-1 初心者（chkrootkit、Tripwire） Level-2 中級者（dd,nc,F.I.R.E.） Level-3 熟練者（The Sleuth Kit、Autopsy）推奨利用ツール/課題と問題点 • 熟練の技を必要としないものが出てくると嬉しいな・・・期待 • 日本語化対応ツール • Computer Forensics 専用に利用できる Linux 起動CD-ROM • ドキュメントがない LKM Rootkit対策 • 無効化（できるかな？） • メモリパッチへの対策（ピープ・ホール・パッチング,HJ7） • カーネル改ざん • /procからプロセス情報揮発性情報（メモリ）の扱い • 論理爆弾への対処をどうするか？ • 訓練が重要 • メモリダンプの解析は大変（無理？）電源断後のプロセス情報取得 • 電源断後に実行されていたプロセス情報を確認できるか？ • Windowsメモリダンプがあれば可能 -メモリダンプがないと無理 • UNIX（Linux）では？ • メモリの内容を変更せずに保存することが難しい（局所化）電源断後に、利用されたセキュリティホールを推測するには？ • 電源断後にセキュリティホールを調査することが可能か？調査対象OSの違いについて考慮すべき点 • ファイルシステム（FAT/NTFS/ex2/ex3・・・）小技（テクニック/ネタ）披露 • /procを保存しておくには？図解不正アクセス刑事訴訟 • • • • 図中で利用している色の解説黄色＝システム管理者の担当分野青色＝警察/裁判所の担当分野灰色＝不正アクセス者or他社システム民事で必要な証拠はこの時点で確保しておくことカツ丼がでる（ごはんもの）刑事訴訟するケース自社システム被害あり/証拠保全攻撃不正アクセス者 DoSならパケットキャプチャや統計から証拠確保取り調べ押収品の解析・鑑定相談(協力し証拠保全) タイーホ！ No 被害届提出不起訴起訴可能か？ Yes 捜査（内偵も含む）裁判犯人が見つかり、確たる証拠がある場合証人出廷の場合がある起訴民事で必要な証拠はこの時点で確保しておくことカツ丼がでる（ごはんもの）刑事訴訟されるケース他社システム不正アクセス者 (自社システム）攻撃被害あり/証拠保全取り調べ押収品の解析・鑑定相談(協力し証拠保全) 被害届提出（起訴可能か？）タイーホ不起訴起訴可能か？捜査(内偵も含む）裁判一度確認を取ってみて誠実な反応がされるか証人出廷の場合がある起訴まとめ • • • • • 問題山積み人材プリーズ教育不足情報不足法律が追いついてない