第120号コラム: 杉山 一郎 幹事(株式会社サイバーディフェンス研究所 上級分析官)  
題:「ファイルシステムの選択」

 タイムライン解析・ファイルの分析・データのリカバリ、いずれもフォレンジック調査で保全したディスクやイメージファイル内のファイルシステムに対して行われるオペレーションですが、最近これらのオペレーション実行対象であるファイルシステムの存在に変化が起きています。少し前までは保全時点でのファイルシステムのみがディスクに存在することが多かったのですが、最近では保全時点以外のファイルシステムがディスクに存在することが増えてきています。代表的な例として、Windows Vista/7等のボリュームシャドーコピーサービス(VSS)が管理する「以前のバージョン」の存在があります。「以前のバージョン」を含んでいるディスクには、スナップショット(特定時点におけるファイルシステムの状態を管理するデータ)分のファイルシステムが存在し、保全時点でのファイルシステムには無い情報を含んでいる可能性があります。

 VSSに比べると遭遇頻度は少ないでしょうが、VMWwareやVirtual PC等の仮想マシンにもVSSのようなスナップショット機能があり、複数のファイルシステムが存在する可能性があります。また、Windows以外のOSでもスナップショット機能が提供されている事が多く、同様の可能性があります。このように、調査対象のディスクにメイン(保全時点)とは別のファイルシステム(スナップショット)が複数含まれていることが、珍しくなくなってきています。そのため、私は各ファイルシステムからの情報抽出とその分析をいかに効率良く行うかを、今後のフォレンジック調査では考慮しなければならない事の一つであると考えています。

 例えば、民間企業のお客様を対象とした調査サービスでは、インシデント発覚から数日経った状況で保全が行えるというケースや、インシデント直後にお客様が直接証拠を調査しており重要な情報が上書きされているケースはそう珍しくありません。このようなケースでは、どのタイミングでスナップショットが作成されているか把握し、出来るだけインシデントに近いファイルシステムを調査する方が効率良く、早い段階で証拠となる情報へリーチ出来る可能性が高いと考えられます。例えば、インシデント後の操作によってリカバリが困難になったファイルも、インシデント発生付近のファイルシステムを調査することでリカバリできるかもしれません。あるいは、ログファイルの様に限られた期間の情報しか持たないファイルでも、スナップショットが残っていれば過去に遡りインシデントに関連するログを得られるかもしれません。またユーザにより書き換えられたファイルも同様で、書き換え前の状態にアクセスできるかもしれません。

 このように調査対象に含まれる複数のスナップショットからインシデント発生日時等の情報を基に、調査するファイルシステムを選択することで、重要な情報へ迅速にリーチできる可能性があります。一方で、ファイルシステムの選択を誤ると調査時間が膨大になってしまう、あるいは重要な情報を見落とす等の可能性があります。いずれもフォレンジック調査に関わる方には無視できない可能性であり、既にこの問題に取り組まれている方もいらっしゃるかもしれませんが、複数存在するファイルシステムをどの様に活用していくか、皆様も是非一度考えてみて頂ければと思います。

 最後に、ファイルシステムの選択を題材にしておきながら恐縮ですが、(私が知る限り)複製したHDDやディスクイメージに含まれるスナップショットから過去のファイルシステムにアクセスする簡単な手段は無く、仮想環境等を使用した少し面倒なアクセス手段が必要となります。しかしながら、米国や欧州等では既にVSSに対する研究が進められており、一部のフォレンジックツールで簡単なアクセス手段が提供されつつあります。興味がある方は、アクセス手段のリサーチを定期的に実施されることをお勧めします。

【著作権は杉山氏に属します】