第７８号コラム「タイムライン解析で過去を探る」

第７８号コラム：根岸　征史　氏（㈱アイアイジェイテクノロジー　サービス技術部セキュリティサービスグループ　マネージャ、ＩＤＦ理事）
題：「タイムライン解析で過去を探る」

先月の技術分科会（「フリーツールを活用したディスクフォレンジック解析　～タイムライン解析を中心に～」）でタイムライン解析 (Timeline Analysis)について、ツールの使い方などを中心に紹介しました。本コラムでは分科会での議論の内容も踏まえつつ、タイムライン解析の現状、課題などについてご紹介します。

 

１. タイムライン解析とは？

タイムライン解析は、ファイルシステムのタイムスタンプ情報などをもとに、過去の事象を時系列に整理して、そこから不正アクセスなどの痕跡を調査する手法のことです。伝統的なディスクフォレンジックの中でも基本となる解析手法と言えます。ファイルシステムは通常 MAC timesと呼ばれるタイムスタンプをメタデータとして保持しています。これは Modified, Accessed, Changedの頭文字をとったものです(*１)。この情報を調べることによって、いつどのファイルにどのような処理が行われたのか、おおよそのことがわかります。外部からの不正アクセスや内部犯行、マルウェア感染などの事象が発生した場合、対象システムのファイルシステムには何らかの痕跡が残ります。タイムライン解析を行うことによって、何が起きたのか、影響範囲はどの程度かを推測し、その後の調査や対応に役立てることができます。

 

２. 最近の動向

TCT(*２)やTSK(*３)などのツールに代表されるように、これまでのタイムライン解析ツールはファイルシステムのタイムスタンプ情報のみを入力とすることが多かったのですが、最近では様々な時刻情報をまとめて解析するのが一般的になってきました。対象とするデータとしては、例えば Windowsのレジストリ、各種ログやブラウザなどのアプリケーションの履歴があります。さらに単一のシステムやマシンの情報だけでなく、複数のシステムからの情報をまとめて解析することも行われています。このような複数の入力形式に対応したタイムライン解析が可能なツールとしては log２timeline(*４), Ex-Tip(*５)などがあります。またタイムラインを可視化する試みも活発に行われています。

 

３. 今後の課題

タイムライン解析はフォレンジック解析において非常に有用な手法の一つですが、いくつか課題もあります。

 

(１) マルウェアによる影響

マルウェアの種類によっては、感染活動の痕跡を隠す目的でタイムスタンプを意図的に改ざんするものがあります。またタイムスタンプではなくシステム時刻そのものを変更するものもあります。このようなマルウェアに感染したシステムを調べる場合、ファイルシステムのタイムスタンプ情報は信用できなくなります。また、そもそもファイルシステム上には一切痕跡を残さずにシステムに感染するものまであります。このような場合、ファイルシステムから得られる情報だけでなく、メモリ情報などもあわせて解析を行う必要があります。そのため最近ではメモリイメージの解析手法やツールの開発が進んでおり、デジタル・フォレンジックの中でも特に注目度の高い分野の一つです。

 

(２) アクセス時刻更新の無効化

ファイルへのアクセスが頻繁に発生するような場合、タイムスタンプをいちいち更新するのはパフォーマンスに影響を与える場合があります。そのため近年では、ファイルシステムのアクセス時刻更新を無効にすることが行われるようになっています。例えば Windows Vistaではデフォルトで NTFSのアクセス時刻の更新が無効に設定されています。今後このようなシステムは増加してくると予想され、タイムライン解析への影響は避けられません。ファイルシステム以外の情報でカバーすることが必要になります。

 

(３) 複数の入力の相関分析

複数の入力データを解析できるのはいいのですが、単にそれらの情報を時系列に並べるだけでなく、イベント間の相関も分析できるとさらに有用です。例えばSIEM(Security Information and Event Management)製品にはリアルタイムに複数のイベントの相関分析を行うものがあります。タイムライン解析ではこれを事後に行うわけですが、同じようなことが実現できるのではないかと思います。(私は知りませんが、すにであるかもしれません)

 

 

タイムライン解析は古くて新しい技術、手法であり、まだまだ発展途上だと言えます。今後も様々な課題に対応しつつ、フォレンジック解析の現場で役に立ってくれるものだと思います。

 

 

(*１) ファイルシステムによって保持するタイムスタンプは異なります。例えばNTFSでは MACE (Modified, Accessed, Created, Entry Modified)の ４つの情報を持っています。http://en.wikipedia.org/wiki/MAC_times

(*２) TCT (The Coroner’s Toolkit) http://www.porcupine.org/forensics/tct.html

(*３) TSK (The Sleuth Kit) http://sleuthkit.org/

(*４) log2timeline http://log2timeline.net/

(*５) Ex-tip http://sourceforge.net/projects/ex-tip/

【著作権は、根岸氏に属します。】