「フォレンジック」とは

「フォレンジック(Forensics)」は、「犯罪の調査に使用される科学鑑定または技術」とされており、特にIT用語としてのコンピュータ・フォレンジックは、Wikipediaで「コンピュータやデジタル記録媒体の中に残された法的証拠に関わるデジタル的な法科学の一分野」と定義しています。

万が一サイバー攻撃を受けた際に、その状態を確認し攻撃を受けたことの証拠、攻撃の経緯・手法、被害状況等の証拠になる様々な情報を抽出し、報告できる状態にするところまでが含まれます。

フォレンジック調査の手法

フォレンジックは法的証拠を集めるという観点から、その取得方法は慎重である必要があります。また近年のサイバー攻撃は非常に高度に隠蔽されていて、攻撃の痕跡を見つけるのは非常に困難です。フラッシュメモリのような揮発性の高いデータは、扱いを誤ると消失してしまい痕跡そのものがなくなってしまいます。

証拠となりうるデータを保全しつつ確実に取得・整理し、そのデータの中から痕跡を見つけ出すには守るべき原則や専門的手法が必須です。

アメリカの国立標準技術研究所（NIST：National Institute of Standards and Technology）が実際に用いている手法は以下のような手順で行われます。

ステップ１：収集

まず攻撃や被害の証拠がわかる情報を入手するため、PCやサーバなどのログ情報など、アクセスして収集できる情報だけでなく、保存されたメディアそのものを削除や紛失や間違いの無いよう、厳正な⼿順に従って「証拠保全」をおこないます。

動的データやフラッシュメモリなどに記録されたデータは消失する危険があるので、収集するタイミングには注意が必要です。メディアについては別のメディアにデータを完全にコピーし、元のものは証拠用、コピーはデータ解析用として使用します。

ステップ２：解析

解析では、様々なログやメディアから証拠となりうる情報を抽出、生成します。その際にもデータの完全性の維持には注意が必要です。

例えば、各ファイルに記録されたタイムスタンプ(作成/更新/アクセスの⽇時等)などの情報、レジストリ解析等によるプロセス自体の実⾏日時の調査・抽出、削除・改ざんされたファイルの復元等も含まれます。

ステップ３：分析

分析は、データ化された情報から調査目的にあった情報を探し出す作業です。例えば発生したセキュリティインシデントが「マルウェア感染」であれば、マルウェア検体の抽出、感染した時刻の特定、侵入経路や感染後の挙動等を抽出します。

ことマルウェアなどに限定すると、最近のEDRの中にはマルウェアなどに関してAIを活用することで発見から隔離・駆除、ロールバックなどの対処までを高速化・自動化している製品もありますがEDRのカバー範囲を外れた端末やネットワークなどの分析についてはほぼ人的リソース頼みであり、ネットワークやファイルシステム、OS、ウィルス解析等の広範かつ⾼度な専門知識を持つプロフェッショナルが必要となります。

ステップ４：報告

報告は、分析で得た情報を元に、調査結果を整理する過程となります。分析で得られる情報は通常断片的であるため、点在した情報同士を補完しながら解釈を加えていく作業となります。

レポート作成自体は定型化や自動化により一定の時間短縮を実現できるかもしれませんが、発生したインシデントの全体像およびポイントを簡潔に整理し、至急実施する必要がある措置の説明など人⼿による作業が⽋かせません。社内だけでそのような専門のスタッフを用意するのはかなりハードルが高いといえます。

（出典：NIST SP800-86の日本語訳「インシデント対応へのフォレンジック技法の統合に関するガイド」）
https://www.ipa.go.jp/files/000025351.pdf

調査にかかる時間と経費を抑える「ファスト・フォレンジック」とは

これらのフォレンジック調査の手法、特に収集と解析は必要な情報を慎重かつ確実に取得する必要があるため非常に時間がかかります。また、ストレージ容量は年々大きくなっており、大規模な組織の場合調査対象の端末台数も多くなる傾向にあることも調査期間を長かせる原因となっています。

また、一般的にフォレンジック調査は専門スタッフによる作業でかつ緊急性があるため、高額になることも多く、被害にあった企業の金銭的負担も大きくなります。こういった事情もあり、最近では「ファスト・フォレンジック」という、詳細な証拠集めよりも的を絞った調査に重点を置いた手法が使われることが多くなっています。

「ファスト・フォレンジック」は以下のような点を特徴としています。

調査範囲と深さを限定

例えばWindows OSの場合、一時データ（%Temp%）やアプリデータ（%AppData%）など攻撃の痕跡が残っていそうなデータがいくつかあります。レジストリやイベントログ、ダンプイメージなどもその一つです。そういったデータに絞って調査することで、データの収集や解析にかかる時間を抑え、分析作業をおこなうデータ量も少なくすることができ作業時間の短縮が可能となります。場合によりますが一般的なマルウェア感染によるインシデントであれば、こういったデータだけで感染⽇時や原因、マルウェア検体の特定できることもあります。

リモートでの調査

これまでフォレンジック調査は被害を受けた企業に実際に何度か赴いて、データ収集などの作業をおこなっていましたが、その作業をリモートでおこなうことで往復する時間を短縮できます。ただし、この場合通常のフォレンジックで必須と言われるネットワークの遮断をおこなわないため、作業時間の間に攻撃による情報漏えいなどが継続してしまう可能性もあります。

EDRなど日常的かつ継続的なデータ収集

ログ解析などのフォレンジック調査でおこなうのは、点在した攻撃の痕跡を見つけてそれら点をつなぎ合わせる作業といえます。EDR(Endpoint Detect and Response)では、各PC内に設置したエージェントがネットワーク経由でイベント情報等を常に収集しており、何か異変が起きた瞬間をAI等が検知し防御します。その際にどの時点で異変が起こりその後どのような動きを見せたかが線として見えやすくなり、インシデント後の調査がしやすくなります。問題点としてはデータを記録する期間が長いほどデータ料が膨大に膨れ上がることです。

調査期間を短くし費用を抑えられるファスト・フォレンジックにも、隠れた攻撃の痕跡を見逃しやすくなる、別のコストがかかるなどのデメリットもあります。

普段からインシデントを想定したフォレンジック調査の専門家と話し合い、どの程度の規模でどのような手法が適切かを知っておくことが必要と言えそうです。