デジタル・フォレンジック・ コミュニティ2004 2004年12月20日 「デジタル・フォレンジックをめぐる 技術的動向と課題」 東京電機大学工学部 佐々木良一 [email protected] 1 目次 1.コンピュータ・フォレンジックとは 2.攻撃方法と基本的対策 3.コンピュータ・フォレンジックのための技術 4.コンピュータ・フォレンジックからデジタル・フォレン ジックへ 5.技術課題と今後の展開 2 1 コンピュータフォレンジックスとは 3 最近の動向 コンピュータに対する攻撃を検知すれば、 応急処置をするだけでなく、 証拠となりうるデータを保存し、(1)どのような被害を受けたか、 (2)どこから侵入を受けたか、(3)誰が侵入者かなどを分析し、 その後の訴訟などに備えようという動きが、日本でも増大。 このような活動を支援する手段が、 コンピュータ・フォレンジックス(Computer Forensics) 米国 フォレンジック・コンピューティング(Forensic Computing) 英国 Forensicというのは「法の」とか「法廷の」という意味を持ち、 Forensic Medicineという言葉は、「法医学」と訳される 4 2 重要になってきた背景 インターネットの普及 ウイルス被害や不正 アクセス、個人情報 の漏洩被害の増大 訴訟の増大 コンピュータフォレンジックスの必要性の増大 5 定義 FBIのMark Pollitt氏 “Computer forensics is the application of science and application to the legal problem of digital evidence. It is a synthesis of science and Law. ” 1)。 他の人たちの定義も考慮すると、「計算機科学などを利用 して、デジタルの世界の証拠性(evidence)を確保し、法的問 題の解決を図る手段。ログの改ざん、破壊等、これまでの 手法では証拠を検出することが困難な被害を受けたコン ピュータに対しても、高度なツールによってコンピュータ内 のデータを調査・分析することにより、不正アクセスの追跡 を行う手段を含む」 6 3 利用目的 コンピュータ・フォレンジックスによって得られた証拠情報 (1)刑事訴訟に用いる(警察に協力するためのログ。証拠 集めのために業務をとめなくてよくしておく ) (2)民事訴訟に用いる(被害や攻撃者特定のためのログ、 主に内部犯罪対策) (3)踏み台にされた場合に自分がきちんと対応していたこ との証明に用いる( 自分が何を行ったかのログ中心) 米国では外部からの侵入証拠だけではなく、セクハラや年齢 差別の証拠を証明するにも用いられる場合がある9)。 7 攻撃方法と基本的対策 8 4 インターネット社会の脅威 直接的攻撃 不正アクセス(侵入) インターネット 間接的攻撃 コンピュータウイルス (ソフトウエアを媒介) 9 インターネット社会の脅威 不正侵入 脅威の分類 インターネット (1)機密性の喪失:情報を 不当に見られる (2)完全性の喪失:情報を 不当に破壊、改ざんされる 不正侵入 (3)可用性の喪失: 不当な コンピュータウイルス 利用によりデータやコン ピュータパワーが使えなく なる コンピュータウイルス 10 5 インターネット社会の脅威 直接的攻撃 1.部外者 不正アクセス(侵入) (a)クラッカー (bインターネット ) スパイ (c)テロリスト (d) 犯罪者等 2.部内者 間接的攻撃 (a)従業員 コンピュータウイルス (ソフトウエアを媒介) (b) 派遣社員等 11 不正侵入方法の分類 不正行為 内部に侵入 しての攻撃 (1)パスワードの解明 (不正入手、類推攻撃他) (2‘)セキュリ ティホール を 利用した侵入 (sendmail INN等) (3)暗 号化パ スワード ファイル の入手、 解読 不正目的 (4)他 人への 成りすま しによる 不正ロ グイン (2)セキュリティホールを利用した直接的侵入 (バッファオーバフロー攻撃など) 外部か らの 攻撃 (5)Denial Of Service(DOS)攻撃 正当な利用者を使えなくする(Smurf攻撃等) 目的とする 情報の取得 目的とする 情報の 改ざん 目的とする 資源の利用 目的とする 計算機の 稼動停止 12 6 ソーシャルエンジニアリングの例 メールの利用 Date: Wed. 4.May, 2003 12:24:55 –0400 From: [email protected] To: [email protected] Subject: 重要 至急パスワードを変更してください システム管理者からのお知らせ 昨日未明、何者かが外部から侵入した形跡を発見しました。その 際、社内のユーザアカウントが使用されている可能性があります。 つきましては、更なるシステムの侵入を防止するため、至急利用 中のパスワードを“PASSWORD”に変更してください。 三輪信雄・新井悠「ネットワーク攻撃詳解」ソフト・リサーチ・センター、2002 13 不正侵入方法の分類 不正行為 内部に侵入 しての攻撃 (1)パスワードの解明 (不正入手、類推攻撃他) (2‘)セキュリ ティホール を 利用した侵入 (sendmail INN等) (3)暗 号化パ スワード ファイル の入手、 解読 不正目的 (4)他 人への 成りすま しによる 不正ロ グイン (2)セキュリティホールを利用した直接的侵入 (バッファオーバフロー攻撃など) 外部か らの 攻撃 (5)Denial Of Service(DOS)攻撃 正当な利用者を使えなくする(Smurf攻撃等) 目的とする 情報の取得 目的とする 情報の 改ざん 目的とする 資源の利用 目的とする 計算機の 稼動停止 14 7 セキュリティホールを利用した 不正アクセスの手順 ①事前調査 (侵入のための 情報収集) 1.メールアドレスの入手 2.ネットワーク情報(IPア ドレスなど)の入手(Pingな ど) 3.アカウントの入手 4.利用ポートの入手: ポートスキャン(nmapの利 用など) 5.バナー取得(バージョン 情報など)telnet接続など 6.セキュリティホール情 報・攻撃方法調査 ②不正実行 ②不正実行 ( 内部への侵入 (内部への侵入 しての攻撃) しての攻撃) ( a ) バッフア ( a ) バッフア オーバーフロー オーバーフロー ( b ) 不適切な ( b ) 不適切な CGIプログラム CGIプログラム ③後処理 ③後処理 ログ破壊 ログ破壊 バ バッ ック クド ドア ア 15 nmapの利用法 nmap を起動するにはコマンドラインから次のコマンドを実行する. 例えばサーバーの IP アドレスが 133.20.53.210だとすると, $ nmap 133.20.53.210 Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Interesting ports on (133.20.53.210): (The 1599 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 113/tcp open auth Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds 16 8 セキュリティホールを利用した 不正アクセスの手順 ①事前調査 (侵入のための 情報収集) 1.メールアドレスの入手 2.ネットワーク情報(IPア ドレスなど)の入手(Pingな ど) 3.アカウントの入手 4.利用ポートの入手: ポートスキャン(nmapの利 用など) 5.バナー取得(バージョン 情報など)telnet接続など 6.セキュリティホール情 報・攻撃方法調査 ②不正実行 ②不正実行 ( 内部への侵入 (内部への侵入 しての攻撃) しての攻撃) ( a ) バッフア ( a ) バッフア オーバーフロー オーバーフロー ( b ) 不適切な ( b ) 不適切な CGIプログラム CGIプログラム ③後処理 ③後処理 ログ破壊 ログ破壊 バ バッ ック クド ドア ア 17 ディスカバリ・スキャンの実施内容 チェックの種類 Banners(バ ナー表示) DNS Fingerprint ICMP Ping 行うスキャンの内容 ネットワークへログオンしているデバイスが利用するバ ナー情報を収集する。FTP(21)、HTTP(80,8080)、 HTTPS(443)やNetBIOS(139)等 DNS設定テーブルを検索し、情報収集する ネットワーク上で稼動しているデバイスのOSを確認する 為に、TCP調査パケットを送信し、OSを判別する ネットワーク接続しているデバイス に ICMP エコー要求を 送信し、レスポンスを確認してデバイスの種類を識別する 18 9 セキュリティホールを利用した 不正アクセスの手順 ①事前調査 (侵入のための 情報収集) 1.メールアドレスの入手 2.ネットワーク情報(IPア ドレスなど)の入手(Pingな ど) 3.アカウントの入手 4.利用ポートの入手: ポートスキャン(nmapの利 用など) 5.バナー取得(バージョン 情報など)telnet接続など 6.セキュリティホール情 報・攻撃方法調査 ②不正実行 ②不正実行 ( 内部への侵入 (内部への侵入 しての攻撃) しての攻撃) ( a ) バッフア ( a ) バッフア オーバーフロー オーバーフロー ( b ) 不適切な ( b ) 不適切な CGIプログラム CGIプログラム ③後処理 ③後処理 ログ破壊 ログ破壊 バ バッ ック クド ドア ア 19 バッファーオーバフロー攻撃 ここに機械語で不正命令を入れる(これをPayloadという) 特定のファイルをダウンロードして実行する命令など たとえばこの 先 頭アドレス データの入力 このアドレス を意味のある ものに SFP 上書きされたs f p 上書きされたリターンアドレス リターンアドレス 関数の引数 その後、バックドア を作成することも可 能(TCPポートを開 けて、/bin/shを実 行できるようにする ことなど) これで、次回からす ぐに侵入でき思い どうりに制御できる ようになる。 20 10 ログの重要性とログの種類 ログの重要性 システムのトラブルやユーザの行動などの情報はログファイル に出力され、問題解決の重要な手がかりになる。 例えば、対象システムが不正行為を受けた場合、システムや各 サービスまたはアプリケーションが出力するログに攻撃の痕跡 が出力されうる。 ログの種類 (1)システムで一括管理されているもの (a) UNIX系OSのsyslog (b) Windowsのイベントログ (2)ソフトウェア自身が独自のログシステムを持っているもの (a)Apacheのアクセスログ (b)IISのアクティブログなど 21 セキュリティホールを利用した 不正アクセスの手順 ①事前調査 (侵入のための 情報収集) 1.メールアドレスの入手 2.ネットワーク情報(IPア ドレスなど)の入手(Pingな ど) 3.アカウントの入手 4.利用ポートの入手: ポートスキャン(nmapの利 用など) 5.バナー取得(バージョン 情報など)telnet接続など 6.セキュリティホール情 報・攻撃方法調査 ②不正実行 ②不正実行 ( 内部への侵入 ( 内部への侵入 しての攻撃) しての攻撃) ( a ) バッフア ( a ) バッフア オーバーフロー オーバーフロー ( b ) 不適切な ( b ) 不適切な CGIプログラム CGIプログラム ③後処理 ③後処理 ログ破壊 ログ破壊 バ バッ ック クド ドア ア 22 11 rootkitとは何か 不正侵入を行った後、不正侵入の証拠を隠したり、再 侵入のための各種のプログラムを隠蔽したり改ざん するツールパッケージのこと。 主要な機能 (1)ログインの記録の書き換え (2)コマンドファイルの書き換えや改ざん (3)ネットワークスニファの機能 (4)バックドア設置機能など rootkitの例 knark t0rnkit NTrootkit 23 コンピュータフォレンジック のための技術 24 12 定義 FBIのMark Pollitt氏 “Computer forensics is the application of science and application to the legal problem of digital evidence. It is a synthesis of science and Law. ” 1)。 他の人たちの定義も考慮すると、「計算機科学などを利用 して、デジタルの世界の証拠性(evidence)を確保し、法的問 題の解決を図る手段。ログの改ざん、破壊等、これまでの 手法では証拠を検出することが困難な被害を受けたコン ピュータに対しても、高度なツールによってコンピュータ内 のデータを調査・分析することにより、不正アクセスの追跡 を行う手段を含む」 25 利用目的 コンピュータ・フォレンジックスによって得られた証拠情報 (1)刑事訴訟に用いる(警察に協力するためのログ。証拠 集めのために業務をとめなくてよくしておく ) (2)民事訴訟に用いる(被害や攻撃者特定のためのログ、 主に内部犯罪対策) (3)踏み台にされた場合に自分がきちんと対応していたこ との証明に用いる( 自分が何を行ったかのログ中心) 米国では外部からの侵入証拠だけではなく、セクハラや年齢 26 差別の証拠を証明するにも用いられる場合がある9)。 13 セキュリティ対策の中での位置づけ 設定 運用 不正アクセス 調査 監視 初期対応 証拠保全 インシデント レスポンス インシデントレス ポンスとの関連 性が強い 見直し 被害範囲 特定 コンピュータ コンピュータ フォレンジックス フォレンジックス 原因調査 訴訟対応 http://www.atmarkit.co.jp/fsecurity/rensai/rootkit05/rootkit01.html 27 ログフアイルに対する攻撃 ツール rootkit 侵入痕跡の改 ざん消去 バックドア作成 ログファイル (syslog、 アクセスログ など) TCT: The Coroner’s Toolkit 1.ネットワーク 監視 (a) Iplog (b) Snort 2.システムの 状態調査のため のツールキット TCT (メイン ツール) 3.システムの 整合性チェック ツールなど Tripwire 28 渡辺勝弘、井原秀明「不正アクセス調査ガイド」オラリージャパン、2002 14 メインツールの概要 TCT TCT: The Coroner’s Toolkit 開発者:Dan Farmet Wietse Venema 不正侵入を許してしまったコンピュータにおいて情報の収 集・記録・分析を可能な限り自動化するために開発された ツール。 4つの要素 (1)grave-robber:TCTの中核となるプログラム。情報を自 動的に収集 (2)unrmとlazarus:2つを組み合わせることにより、ファイル に埋没しているデータを発掘したり、削除したファイルを復 元する。 (3)mactime:時刻をキーにファイルを探し出す。 (4)ils、icatなどのC言語によって書かれたツール群:情報 収集のために(1)から呼び出される 29 渡辺勝弘、井原秀明「不正アクセス調査ガイド」オラリージャパン、2002 メインツールの比較 名称など TCT (1999年公開 ) 開発者 (販売会社) Dan Farmet W.Venema (freeware) 機能など 備考 不正侵入を許してしまっ たコンピュータの情報の 収集・記録・分析を支援 するツール Sleuth kit Brain Carrier (Freeware) ddコマンドで作成され たディスクイメージを解 析するツール Encase (1997年発売 ) Gardian Software社 (同上) 削除データなどを確認 するツール(商品) 他に、Safeback、DIBSなど6) 30 15 AccessData社の製品 31 コンピュータ・フォレンジックから デジタル・フォレンジックへ 32 16 2つの用語の関連 扱うデータの広がり デジタル・フォレンジック定義2 不正侵入以 外も含めた 証拠対応 セクハラ などの セクハラ などの 証拠性情報 証拠性情報 不正侵入に 対する証拠 対応 サーバ・PC デジタル・ フォレンジッ ク定義1 情報家電 携帯電話 ネット ワーク 扱うハード の広がり コンピュータ・ フォレンジック コンピュータ その他 33 最近の動向(1) (1)」米国ではDigital Forensic Research Workshopが2001年 から実施され、理論と実践の両面からいろいろな報告や議論がな されている (2)Digital Forensic Education Working Groupというデジタ ル・フォレンジックの教育を行うグループが2年以上にわたり活動し ている (3)一方、ヨーロッパではDigital Investigationというデジタル・フォ レンジック専門の雑誌がELSEVIER社から創刊された 34 17 最近の動向(1) (1)」米国ではDigital Forensic Research Workshopが2001年 から実施され、理論と実践の両面からいろいろな報告や議論がな されている (2)Digital Forensic Education Working Groupというデジタ ル・フォレンジックの教育を行うグループが2年以上にわたり活動し ている (3)一方、ヨーロッパではDigital Investigationというデジタル・フォ レンジック専門の雑誌がELSEVIER社から創刊された 35 技術課題と今後の展開 36 18 今後の方向1 扱うデータの広がり 今後の 方向1 不正侵入以 外も含めた 証拠対応 セクハラ などの セクハラ などの 証拠性 証拠性 ①位置情報を 利用し た ①位置情報を 利用し た 行動の証拠性 行動の証拠性 ②CIIP対応統合的証拠性 ②CIIP対応統合的証拠性 不正侵入に 対する証拠 対応 サーバ・PC 情報家電 携帯電話 ネット ワーク 扱うハード の広がり コンピュータ・ フォレンジック コンピュータ その他 CIIP:Critical Information Infrastructure Protection 37 今後の方向2 (1)刑事訴訟に用いる(警 察に協力するためのログ。 証拠集めのために業務を とめなくてよくしておく ) (2)民事訴訟に用いる (被害や攻撃者特定の ためのログ) (3)踏み台にされた場合な どに自分がきちんと対応し ていたことの 証明に用いる (自分が何を行ったかのロ グ中心) (1)ログを (a)壊されないようにしたり、 (b) 壊されたらすぐわかる ようにしたり、 (c) 復元を容易にする 方式の改善=>分散(P2P) 環境を利用した方式 (2)自分の行動履歴の高信 頼な保存・認証=> ヒステリシス署名方式の拡 張 38 19 ヒステリシス署名 署名履歴 ① 従来の電子署名 従来の電子署名 文書② 初期値 文書①の 署名 データ ハッシュ値 ① 秘密鍵 連鎖構造 署名② ハッシュ 関数 署名生成 文書②の 署名 ② 連鎖用 データ ハッシュ値 ② 文書③ 秘密鍵 ハッシュ 関数 署名③ 文書③の 署名 ③ 連鎖用 データ ハッシュ値 ③ 署名生成 最新情報だけをICカード 39 内に安全に管理 署名履歴交差 上田、佐々木他 「データ喪失を想定 したヒステリシス署 名方式評価手法の 提案」 情報処理学会論文 誌45巻8号pp19661976(2004) 署名履歴B B7 : B8 : ・ ・ ・ 他人の署名履歴とも 連鎖構造を築く 署名履歴A A1 : A2 : A3 : A4 : 不正者は他人の 署名履歴も偽造 する必要がある 偽造が一層困難 ・ ・ ・ 署名履歴C C1 : ・ ・ ・ C9 : 40 20 今後 ヒステリシス署名+ 履歴交差+α 署名履歴A で、行動履歴の高 信頼化を実現 A1 : A2 : A3 : A4 : ・ 署名履歴B ・ ・ B7 : B8 : 他人の署名履歴とも 連鎖構造を築く 不正者は他人の 署名履歴も偽造 する必要がある 偽造が一層困難 署名履歴C C1 : ・ ・ ・ ・ ・ ・ C9 : 41 参考文献 1) Tony Sammes and Brain Jenkinson " Forensic Computing A Practitioner's Guide " Springer 2000 2) http://www.ipa.go.jp/security/rfc/RFC3227JA.htm 3) http://www.sleuthkit.org/index.php 4) 渡辺勝弘、井原秀明「不正アクセス調査ガイド」オラリー・ジャパン、2002 5) 佐々木良一「@police 第3回セキュリティ解説 コンピュータフォレンジック ス」 http://www.cyberpolice.go.jp/column/explanation03.html 6)K.Mandia,C.Prosise「インシデントレスポンス 不正アクセスの発見と対策」翔 泳社、2002 7)上野宣 コンピュータフォレンジック特集 http://www.msp-sp.net/special_news/computer_forensics/ 8)井原秀明 インシデントレスポンスはじめの一歩(第5回) http://www.atmarkit.co.jp/fsecurity/rensai/rootkit05/rootkit01.html 9)J.Robbins An Explanation of Computer Forensics http://www.computerforensics.net/forensics.htm 42 21
© Copyright 2024 Paperzz