第282号コラム:名和 利男 理事
(株式会社サイバーディフェンス研究所 情報分析部 上級分析官)
題:「証拠保全ガイドライン第3版の改訂ポイント」

2013年10月15日、「証拠保全ガイドライン」第3版を公開させていただいた。当初の予定から大変遅い公開となったことを、皆様にお詫び申し上げるとともに、ご協力頂いた関係者に感謝の意を表したい。

「技術」分科会WG作成「証拠保全ガイドライン 第3版」の公開
https://digitalforensic.jp/2014/06/26/guidelines-3/

本コラムにて、今回の改訂ポイントを紹介する。
まず、本改定にあたっての状況認識として、「サイバー攻撃で利用される技術や手法が急激に高度化及び複雑化しているため、コンピュータ・システムに残存する痕跡やログに依存するデジタル・フォレンジックで実態解明をすることが困難になる場合が発生し、更に、インターネットを積極的に利用したサービスやインターネットで繋がることを前提としたアプリケーションサービスを悪用したサイバー攻撃が増加傾向にあるため、被害の発生する場が広範囲になってきている」を、ガイドラインの趣旨に追加した。
これは、「ネットワークログ」(ネットワーク上のパケット通信の流れの記録として残される様々なログ等)を集約及び分析して攻撃実態を解明することが多くなってきているという現状の背景を説明したものでもある。
ところが、コンピュータ・システムにより必然的に記録される「電磁的証拠」と比較すると、ネットワークログは、設計者や運用者の設定したルールにより記録されるものであるため、その分析手法を確立することが難しく、その量が膨大になることもある。そして、どのツールを使用するかによって、分析手順が大きく異なる。そのため、「技術」分科会WGにおける議論や検討を取りまとめるのに時間を要してしまった。
また、ファーストレスポンダーにとってのネットワークログの分析作業は、それほど詳細に行うものではなく、迅速かつ的確に影響範囲を特定することに重きが置かれることが多いため、本ガイドラインで示す分析の流れは、次のシンプルなものにさせていただいた。

(1)コンピュータ・システムに対するフォレンジック調査により、「キー情報」(外部の悪意のある
IPアドレス、ホスト名等)を見出す。
(2)「キー情報」を基に、ネットワークログの調査を行い、不審な挙動を見出す。
(3)「キー情報」を基に、類似したサイバー攻撃の挙動パターンや既存のマルウェア分析結果から、「参考情報」を収集する。
(4)得ることができた「ネットワークログ」を、「キー情報」及び「参考情報」を基にした相関的な観点で調査する。

この他、外部から調達するIPアドレスやURLのブラックリストを「キー情報」として、ネットワークログを分析して、コンピュータ・システムに対するデジタル・フォレンジックをする場合もあるが、これは恒常的な取り組みになりつつあり、ファーストレスポンダーの活動領域から外れると考えたため、記載を避けた。

今後、クラウドコンピューティングやスマートデバイスの発展が見込まれる中、これまで以上に異なるシステム間のネットワーク化が増加していくことになる。そのため、デジタル・フォレンジックとしてのネットワークログの分析の重要性が高まっていくものと考える。

本ガイドラインの活用により、各現場における問題解決の一助となることを期待したい。

 

【著作権は名和氏に属します】