話がそれました。
メールを調べると言っても、Outlook, Outlook Express, Becky! などなど。。。色々なソフトがあります。 しかも、当然ながらメーラーによりデータの格納場所は異なっていて、一つ一つメーラーのデータを探すのも一苦労。この作業が効率よくできるようにFFSではメーラ毎にデータをソートして表示してくれます。
対応メーラーは、AL-Mail, Becky!, Eudora, Netscape mail, Outlook, Outlook Express, Windows mailです。各メーラ毎に関連ファイルがソートされており、各ファイルが存在するフォルダもわかるようになっています。また、そのフォルダへ移動し、フォルダ内に存在する全ファイルを確認することも簡単にできます。
第6回情報セキュリティーEXPO (その2)
/カテゴリ: 未分類日本最大級のセキュリティ・ショウ
5月13日(水)~5月15日までの3日間、東京ビッグサイトで「第6回情報セキュリティーEXPO」 が開催された。今回は、その第二報。
8つの展示会が同時開催され、日本最大のIT専門展となっている。過去最多1,600社が出展したんだそうだ。日本最大級のセキュリティ・ショウといえるだろう。
どのブースも、展示やデモ、小セミナーを開いていて、力を入れていると感じられる。最近のIT関連のショウとしては盛況といえるのではないだろうか。年々開催規模が大きくなっている。数年前からの個人情報保護被害やWinnyによる情報漏洩などで情報セキュリティの意識は、日本企業の中で格段に定着してきたんだなということを感じた。
情報セキュリティEXPOの会場は、UTM(統合脅威管理)ゾーン、検疫ソリューション ゾーン、メールセキュリティ ゾーン、バイオメトリクス認証 ゾーン、ドキュメントセキュリティ ゾーンという、去年までと同じ5つのゾーン区分に加え、フォレンジック ゾーンが新たに追加されて展示されていた。 会場内はどこからどこまでがどのショウで、その中のゾーンも区分けされ、大まかに区切られてはいるが、別のゾーンでも同じような展示をしている企業があったり、別のショウでもまた同じような展示があったりして、自分がどこのショウ、どこのゾーンを見ているのか分からなくなりそうだった。意識は高まってきたとはいえ、まだまだ、日本市場での情報セキュリティの分野は、発展途上の段階にあるんだなという気がする。
フォレンジック・ゾーンは黎明期
今年から新たに追加された「フォレンジック・ゾーン」へ行ってみた。数社の出展があるが、実際にデジタル・フォレンジック向け製品といえるような内容を展示していた企業は、実質3~4社。中には、「それ、他のゾーンでやったほうがいいんじゃね?」という企業もあった(笑)。「フォレンジック」という単語だけが先行し、デジタル・フォレンジックの製品、ソリューション自体が、まったく揃っていない印象だった。出展している企業も「とりあえず出しとけ」的な出展内容のところも多かった。機器の展示はしてあるけど、実際のデモができないものが置いてあったところとか。。あと数年もすれば、大きな分野に成長することは、間違いないが、今は、まだ黎明期だなという感じだった。以下、フォレンジックゾーンの様子です。
ネットエージェント㈱PacketBlackHoleの展示
PacketBlackHoleの画面。
質実剛健な画面デザイン(笑)でも、多機能な感じで実際に使って作りこんだ便利さが感じられる。
オーク情報システム。
熱心な聴講者達。見たことのある人がいますネ。大林組で使い込んで鍛えた洗練されたデザインです。
労務管理に関する訴訟
/カテゴリ: 未分類労務管理に関する訴訟もフォレンジック調査が非常に重要な事案が多い。
SOHOなどの職場環境では、労働時間を証明する手段がデジタルデータの解析以外にはない場合も多く、また、タイムカードなどの他の資料が残っていない場合や原告となる人物が過労死などで直接状況を説明できない場合も多いからである。
労務管理問題に対してデジタル・フォレンジックを行う場合、重要な手がかりとなるのがさまざまなログデータだ。OS が出力するものとアプリケーションが出力するものがあるが、いずれも改ざんされていないという前提があって初めて証拠性が確保される。不正侵入について調査を行う場合には、たサーバやルータのログだけではなく、業務に使用したと思われるPC のデータも重要な証拠となる。
PC のHDD を解析するためには専用のデジタル・フォレンジック・ツールを使用する。ソフトを使用する前段階として、対象となるPC のHDD の完全な物理コピーを作成し、証拠として保存しておく必要がある。物理コピーとは、OSで扱えるデータだけではなく、消去されたファイルの実データなどを含むHDD の完全なコピーだ。ここで作成されたHDD が、裁判などでは証拠として提出される。その後、証拠確保のためのHDD から解析用のデータを作成し、さらに別のHDD へとコピーしておく。解析に使用するデータは、サーバやルータのログ、PC 内のファイルやレジストリデータである。
実際に解析作業で使用するのは、HDDそのものだ。近年はファイル単位でパスワードを設定し、暗号化することも広まっているが、そういった問題には、パスワード解析を行う。こうして解読された各ファイルの内容とともに、Windows や各アプリケーションが利用しているレジストリデータも解析し、証拠として使用できる情報を探し出す。これらの解析結果に基づいて報告書を作成したら実際の訴訟を行うかこれらの証拠に基づいて該当者に対応を迫るなど、物理的な対処を行う。
さらにPCのアクセスログ機能では、すでに残っていない古いログが必要な場合も多いが、過去のログデータをデータ復旧して、フォレンジック調査することになる。
野村證券インサイダー事件
/カテゴリ: 未分類野村證券インサイダー事件(http://mainichi.jp/select/jiken/news/20080513ddm041040107000c.html)。先日、大きく世間を騒がせたこの事件も発端となったのは、フォレンジック調査からだった。
他人名義の取引をごまかすため、容疑者らは、顔の見えないオンライン取引を多用していた。今回のインサイダー取引事件では、タイミングをはかったような取引に疑惑の目を向けた監視委員会が、証券会社に協力を要請。ネット上の注文経路をたどった結果、容疑者らが浮上したという。
このインサイダー事件の直接の被害額は、「わずか」数百万円である。しかし、証券会社最大手、野村證券が被った「信用の失墜」という被害は、計り知れないほど大きなものであったといえる。このような事件を未然に防ぐ、または、仮に事件が発生しても、早期発見・被害の最小化に努めるということは、企業の至上命題となりつつある。日々の業務でやりとりするデータは、ほとんどがデジタル・データとなった現在において、それを成し遂げるためには、コンピュータ・フォレンジックのノウハウと技術が必要不可欠である。
また、容疑者らは、メールなどでのやりとりでは、すぐに監視されると考え、携帯電話のチャットを利用し、連絡を取り合ったという。最新のフォレンジック調査では、モバイル・フォレンジック(携帯電話・携帯情報端末に対するフォレンジック調査)が重要になってきている。このモバイル・フォレンジックについては、後日書くことにする。
立ち聞き情報まで”駆使” 野村インサイダー事件(MSN産経新聞)http://sankei.jp.msn.com/affairs/crime/080512/crm0805122134031-n1.htm
野村証券元社員インサイダー:元社員と知人再逮捕 情報伝達、携帯チャット利用か(毎日新聞) http://mainichi.jp/select/jiken/news/20080513ddm041040107000c.html
情報セキュリティEXPOレポート
/カテゴリ: 未分類東京ビックサイトにて開催中の情報セキュリティEXPOに行ってきました。
フォレンジック関係の出展は8社ありましたが、ネットワーク・フォレンジック製品が3社で出典されていたのでそちらをリポートしたいと思います。
基本的にはどれもネットワークのパケットをキャプチャ(記録)しておいて、インシデント発生時にWeb、メールなどを解析するというシロモノです。監視カメラに映像を記録しておいて事件があったときに映像を確認する、というのと同じですな。記録していることを明示することで抑止効果があるという点も似ています。
①PacketBlackHole出展元:ネットエージェント社
言わずと知れたネットワークフォレンジック製品の代表格。
②NetEvidence出展元:㈱オーク情報システム社
一番力を入れてPRしていました。大林組が出資しているだけに資金力があるのでしょうか。
③inetSNAPs
どれもパケットをキャプチャするという点は共通ですが、せっかく記録していても解析できなければ無駄なので、その点から見るとPacketBlackHoleの対応プロトコルの多さやNetEvidenceの暗号化データ解析は大きなメリットになると思います。
CEIC2008カンファレンスレポート7
/カテゴリ: 未分類CEIC2008カンファレンスレポートの第7弾は、モバイル・フォレンジックについて。
モバイル・デバイスが身近になったことで、フォレンジック調査の対象となる確率の増した携帯電話。この中のデータを抜き取り、解析することでフォレンジック調査を行う。
携帯電話からのデータの抜き取りには、様々な形状のコネクタが必要になるが、これらを丸ごとセットにして、ケースに入れ込んだ商品も展示されていた。
CEIC2008
CEIC2008カンファレンスレポート6
/カテゴリ: 未分類CEIC2008 フォレンジック・カンファレンスの中で注目された講演の1つに、Gmail に対してのフォレンジック調査があった。当局の関心度も高く、講演会場では珍しく立ち見が出るほどの人気であった。
内容的には、Gmail におけるパケット通信、プロトコル解析など専門的な解析方法が紹介された。ハードディスクに残された情報はもとより、ネットワーク・モニタリングによる情報を含め、様々な内容であった。
Gmail を含め、メールに関するフォレンジック調査に関心のある方は、FSS.jp までご一報を。
CEIC2008
CEIC2008カンファレンスレポート5
/カテゴリ: 未分類CEIC2008 フォレンジック・カンファレンスに出展されていたツールの中で、実行中のPCのRAMを解析できるツールが注目されていた。
HBGary社のRESPONDERだ。要は揮発性データのフォレンジック調査ということになるが、通常のハードディスクやUSBメモリデータのフォレンジック調査と違い、時間の経過とともに刻一刻とデータが変化してしまうため、デジタル・フォレンジック調査の中でも厄介な代物だ。
具体的には、Rootkit(ルートキット)などメモリRAM上に隠された小さな実行コードを検出し、解析するものであるが、通常OSで取れるプロセスダンプよりも、フォレンジック調査がしやすくなっているのが特長だ。
Cybercrime is real. How you respond is critical.
CEIC2008カンファレンスレポート4
/カテゴリ: 未分類CEIC2008で目立つ動きとして、携帯電話を対象にしたデジタル・フォレンジック調査用ツールが増えたことが挙げられます。
携帯電話に記録されたショートメール発信履歴やデジカメ画像、動画などデジタル証拠として決定的な証拠能力になり得る割合が増加傾向にあることから、この分野のツールの重要性が増すことは容易に想像できます。
CEIC2008で出展されたモバイル・フォレンジックのツールメーカとも情報交換をし、調査官にとっての効率的なツールの情報を入手してきました。
CEIC2008
CEIC2008カンファレンスレポート3
/カテゴリ: 未分類CEIC 2008のカンファレンスで情報交換した某イギリス政府の調査官から得た情報によると、デジタル・フォレンジック調査に対し、相手国からの圧力がかかり、調査中止を余儀なくされた件が最近あったそうです。
BBCニュースでも報道され、今後のフォレンジック調査再開に向けた動向が非常に関心を呼んでいます。
このフォレンジック・ケースについての詳細は、BBCのニュース記事を参照ください。
情報ソース: http://news.bbc.co.uk/1/hi/business/7339231.stm
フォレンジック調査の実際:メール調査①
/カテゴリ: 未分類昨日のブログで情報漏洩の事例を紹介しましたが、どのようにして証拠調査をするのか、もう少し詳しく紹介したいと思います。
本事例の場合、元社員による情報の漏洩の証拠を探すわけですが、疑うべき流出経路としてはメール、リムーバブルメディアでの流出が考えられました。まず、メールでの調査について書きます。
-強力な証拠調査用ツール FinalForensics-
弊社では証拠調査用のツールとしてFinalForensicsというソフトを使用しています。データ復元ソフトの定番FinalDataで培われた復元力、強力かつ使いやすい検索機能を持ち、証拠調査作業の大きな助けとなります。
-利用していたと思われるメールを調べる-
話がそれました。
メールを調べると言っても、Outlook, Outlook Express, Becky! などなど。。。色々なソフトがあります。
しかも、当然ながらメーラーによりデータの格納場所は異なっていて、一つ一つメーラーのデータを探すのも一苦労。この作業が効率よくできるようにFFSではメーラ毎にデータをソートして表示してくれます。
対応メーラーは、AL-Mail, Becky!, Eudora, Netscape mail, Outlook, Outlook Express, Windows mailです。各メーラ毎に関連ファイルがソートされており、各ファイルが存在するフォルダもわかるようになっています。また、そのフォルダへ移動し、フォルダ内に存在する全ファイルを確認することも簡単にできます。
フォレンジックサービスhttps://www.fss.jp