フォレンジックスソフトウェア:パソコンフォレンジックスに関して知っておくべきこと全て
一般の人が「パソコンフォレンジックス」や「デジタルフォレンジックス」と言うフレーズを聞く時、恐らくミラーリングがかかった眼鏡をかけた怪しい人のイメージなどが浮くでしょう。しかし、実際のパソコンやデジタルフォレンジックスとは本当にこのようなことでしょうか?この記事では、フォレンジックスに関して説明します。
実際に、パソコンフォレンジック専門家とその同様な仕事を行う地下組織の人は同じツールを使用しますが、デジタルフォレンジックスの主な目的はデータリカバリーと保存です。パソコンから失われたファイルをリカバーするため、Disk Drillのようなパソコン用データリカバリーツールを使用したことがあれば、パソコンフォレンジックスの一つの局面やパソコンフォレンジックス専門家の人生のことを少し理解できた部分があるでしょう。この記事では、フォレンジックスに関してさらに追求していきます。
パソコンフォレンジックスの意味
Techopediaは、パソコンフォレンジックスを「電子データを明らかにし、それを解釈するプロセスす」としています。このプロセスの主なゴールは、「過去の出来事を再構成する目的で、デジタル情報を収集し、特定し、検証することで構造的捜査を実行しながら、最も元の形の証拠を保存する」ことです。
言い換えれば、デジタルフォレンジックスとは、テレビの犯罪番組でお馴染みの法科学の一部です。よくある話です:凄まじい殺人事件が発生します。警察の主査が車で現場に到着します。車から降りる際、誰かが「何も触るな!出来るだけ全ての証拠を集める必要がある」と声が聞こえます。
昔の時代、そのような証拠は、誰かの日記または水のコップから採取した指紋等だった。今の時代、それはメタデータ、ログファイル、IPアドレスや残されたゼロと一の群れになっています。最初のデジタル犯罪が起きなたのは、1970年代後半から1980年代前半です。その時代、パソコンセキュリティやプライバシーに興味を持っている人たちは、ほんの一部のギークや創案者に限られていました。
しかし、1978年、フロリダ州のパソコン犯罪法案(1978 Florida Computer Crimes Act)が可決され、不正な削除やパソコンデータの改ざんを含む犯罪に対する法律が、初めて米国に置いてパソコンによる犯罪として認めることを可能にしました。その後、1986年の米国連邦コンピュータ詐欺や虐待法律及びに1990年の英国パソコン不正利用法律等が可決されました。
新世紀の到来前まで、依然として、コンピュータ犯罪を個人的、組織的、国家的な安全保障に深刻な脅威として認識させることを中心にした議論が行われていました。2000年以降、標準化の新たな必要性が浮上し、「コンピュータフォレンジックスのベストプラクティス」の規定とデジタル証拠に関する科学ワーキンググループ(SWGDE)によるISO 17025の発行が行われました。
これらの標準と規定は、現代の複雑な要求を満たすため、コンピュータフォレンジックス企業は、性能のあるフォレンジックデータリカバリーソフトウェアソリューションの開発を活性化させ、またコンピュータフォレンジックスペジャリストが従うべきベストプラクティスを確立させました。
一般的なフォレンジックプロセスには複数の明確された段階があります:押収、法科学的なデータの収集、分析及びに収集されたデータに基づいたレポート作成。各段階に使用できる特別の無料と有料のフォレンジックソフトウェアツールがあります。この記事にそれらのデジタルフォレンジックツールのリストが含まれています。
コンピュータフォレンジックのサブブランチ
コンピュータフォレンジックのスペシャリストは、民間または公的な部門で活動します。公的な部門の場合、検事又は民事裁判所にて仮説を立証あるいは否定する役割を果たします。民間フォレジック調査員の仕事は、ほとんど企業調査又は侵入捜査が中心になります。
先進の技術の複雑さが増すにつれ、コンピュータフォレンジックの専門家は、デジタルフォレンジックスの一つ又は複数のサブブランチに集中し、専門知識を深めるようにします。デジタルフォレンジックスは、その関連するデバイスにより分けられます。主なブランチとして存在するのはコンピュータフォレンジックス、モバイルデバイスフォレンジックス、ネットワークフォレンジックス、フォレンジックデータ分析とデータベースフォレンジックスです。
過去数年、最も成長が見られたのは、モバイルデバイスフォレンジックスのブランチです。ノートパソコンやデスクトップコンピュータがスマートフォンやタブレットに置き換えされて行く上で、携帯電話データリカバリーが可能な携帯電話フォレンジックソフトウェアのニーズを劇的に上昇させています。
コンピュータフォレンジックツールと機器
コンピューターフォレンジック調査員や専門家が使うコンピュータフォレンジックツールを説明するため、パソコン上に保存された児童ポルノ画像を含む犯罪現場を想像してください。通常、調査員は、まずパソコンのHDDを取り外し、ハードウェア書き込み防止デバイスに接続します。このようなデバイスは、HDDのコンテンツをいかなる方法で変更することを完全に防止し、調査員がディスクのコンテンツのキャプチャーとプレビューを可能にします。
PROTEGGAは、現代のコンピュータの犯罪検出ツールを使用しています
ディスクのビット毎の正確なコピーは様々の専用ツールを使って作成することが可能です。無限の小さなユティリティとは別に、大きなデジタルフォレンジックスフレームワークとソフトウェアソリューションがあります。フレームワークとソフトウェアソリュションには、Digital Forensics Framework、Open Computer Forensics Architecture、CAINE (Computer Aided Investigative Environment)、X-Ways Forensics, SANS Investigative Forensics Toolkit (SIFT)、EnCase、The Sleuth Kit、Llibforensics、Volatility、The Coroner’s Toolkit、Oxygen Forensic Suite、Computer Online Forensic Evidence Extractor (COFEE)、HELIX3、とCellebrite UFEDが含まれます。
これらの大きいソフトウェアソリューションとフォレンジックスイートには、幅広いフォレンジックデータサービスを一つのパッケージにまとめています。しかし、多くのプロフェッショナルフォレンジック専門家は、個別のツールとユティリティを元に個人的にカスタマイズされたツールボックスを、ニーズや好みに合わせて作り上げます。ハードドライブフォレンジックやファイルシステムフォレンジック分析を含むフォレンジックデータリカバリープロセスの各段階に置いて多くのオプションがあります。
データキャプチャーには、EnCase Forensic Imager、FTK Imager、Live RAM Capturer又はマイクロソフトのDisk2vhdを使用できます。電子メールの分析には、EDB Viewer、Mail Viewer又はMBOX Viewerを使用できます。特定のオペレーティングシステム用に作られツールもありますが、複数のプラットフォームに対応しているツールもあります。Mac OS X用最も人気があるツールの中には、Disk Arbitrator、Volafoxやキーチェン構造を解析してユーザー情報を抽出するChainBreakerが含まれます。また、フォレンジック分析を行う専門家は、Busindre社のDumpzilla、Chrome Session Parser、IEPassView、OperaPassViewやMagnet Forensic社のWeb Page Saver等の相当数のインターネット分析ツールを使用します。
プロフェッショナルフォレンジックツールの特徴
プロフェッショナルフォレンジックツールの特徴は、そのツールのフォレンジック分析の対象や、対象市場により、大幅に異なります。一般的に、大きなフォレンジックソフトウェアスイートは下記のことが可能である必要があります:
- 比較フィルタリングを可能にするため、全てのファイルのハッシュ
- データが変更されてないことを確認するため、フルディスクハッシュ(一般的にディスクを収集する際に一つのツールを使い、ディスクハッシュを確認するため別のツールを使います)
- 正確なパスウェイを検索する
- 時間と日付スタンプをクリアにする
- 収集仕様を含む特徴
- アイテムの検索とフィルタリング
- iOSバックアップをロードし、そのデータを解析する性能
法執行機関に比べ、企業は揮発性のRAMキャプチャーには関心がありません。企業はプライベートな調査又は法執行機関に提出できる証拠を収集することが中心となります。さらに、企業はプレビューできることにも、あまり関心を持つことはありません。
主なフォレンジックソフトウェアプロバイダー
フォレンジックソフトウェア分析の分野には、将来を見据えた創案者や事業拡大を目指す既存の多作ソフトウェア企業が多数います。大きなフォレンジックソフトウェアプロバイダーは、業界団体が集まるHigh Tech Crime Investigation Association Conference等の会議に出席しますが、北米を中心このような会議は多く開催されています。
最も多作なフォレンジックソフトウェアプロバイダー企業とその製品をここでご紹介します。
BlackBag Technologies https://www.blackbagtech.com
BlackBag社によるBlackLightは、現在市場に出回っている最もプレミアなMac用フォレンジックツールであり、価格はおよそ$2600に上ります。BlackLightは5年前、Mac専用フォレンジックツールとして開発されました。現在に至り、優れたウィンドウズ用検査ツールにもなっています。iOSやアンドロイドデバイスの分析を行います。しかし、ツールはブラックベリーデバイスの分析には対応していません。また、BlackLightは、独自でビット対ビットクローンのフォレンジック収集は行いません。この作業用に、MacQuisitionと言った別のツールを提供しています。
MacQuisitionはiOS 10の最小限バージョンを実行し、Apple社へのライセンス絡みで$1000の価格が付いています。ソフトウェアは暗号化の検出に優れ、さらにフュージョンドライブを一つのボリュームに組み合わせることができます。
AccessData http://accessdata.com
AccessData社は、企業、弁護事務所と政府機関向けに提供されてるE-DiscoveryやComputer and Mobile Device Forensics等を主に開発しています。彼らのフォレンジックソリューションには、最初に包括的なプロセッシングとインデックスを取るため、フィルターや検索性能が市場に出回っている他のソリューションに比べ早いForensic ToolKit (FTK)が含まれています。
この会社は、Mobile Phone Examiner Plus (MPE+)やnFIELDのモバイルフォレンジックツールのプロバイダーとしても知られています。MPE+は、他のソリューションが落としてしまう重要なデータを素早く収集し、簡単に識別化を図り、簡単に検出を可能にします。nFIELDは、全てのMPE+に対応しているモバイルデバイスのロジカルと物理的な収集を可能にする活発なソリューションです。
Guidance Software https://www.guidancesoftware.com
1997年に設立されたGuidance Software社は、10年以上に渡り、フォレンジックスの柱であり続けたパソコン専用のEnCase Forensic Softwareを開発しました。2002年、David Westerfield氏の殺人裁判の際、ツールは彼のパソコンから児童ポルノ証拠を検出した際有名になり、さらに、フランスの警察はEnCaseを使用して、靴底に爆弾を詰め、飛行機の爆発を試みたRichard Colvin Reid氏に有罪判決を下す証拠となった電子メールの検出に使われました。
EnCase Forensic Softwareは収集、ハードドライブレストレーション(ビット対ビットクローニングでクローンされたHDDの作成)、包括的なディスクレベル捜査と徹底的なレポーティングを含む様々な性能が搭載されています。
Magnet Forensics https://www.magnetforensics.com
元警察官とプログラマーにより開発されたMagnet Forensicsは総合的なデジタル捜査プラットフォームであり、世界中3000以上の機関や組織で使用されています。当初はインターネット専用の彫刻ツールとして開発されましたが、今はフォレンジック全体をカバーするスイートになりました。可能の電話である場合(ほとんどのアンドロイドとiPhone4以下及びにブラックベリー)、Magnet Forensicsは物理的なデータ収集ができます。これらの物理的収集は、Cellebrite等、他のツールにロード可能です。
X-Ways https://www.x-ways.net
フォレンジックスの世界にニューカマーであるX-Waysは、そのイノベーションのスピードが買われ、人気になっています。ドイツの工学者チームにより開発されたX-Waysは、ディスクイメジング、ディスククローニング、バーチャルRAID再構成、リモートネットワークドライブ分析、リモートRAMアクセス、クラウドストレージアクセス等が行えます。しかし、これらの機能性を使用するため、多くの経験が必要です。
Cellebrite http://www.cellebrite.com
日本のサン電子の子会社であるCellebrite Mobile Synchronization社はイスラエルで設立され、モバイルフォレンジックソフトウェアの分野に置いてリーダー的存在になっています。彼らのプレミアモバイルツールは高額で$12000にも上り、さらに年間ライセンスには、$4000がかかります。しかし、この高額には、Cellebrite社のUnified Digital Forensics Platformによりモバイルデバイス最高品質のサービスが提供されます。
CERT
CERTはコンピュータセキュリティインシデントに対応するチームを示します。米国では、この団体は2003年に設立され、米国のインターネットインフラをサイバー攻撃から守ることが目的です。彼らは、法執行機関が使用するCERT Triage Tools等を含めた多くのツールを開発しました。Triage ToolsはRAMキャプチャーや現場収集に使用されます。製品には、Linuxアプリバグを、その致命度により分類可能で、「exploitable」と言うGNUデバッガー拡張子も含まれます。現在、CERT Triage ToolsはGitHubにて公的に開発されています。
フォレンジックデータリカバリーに対すDisk Drillの姿勢
Disk Drillは世界中無数のユーザーにより、書類、画像、動画ファイルやその他多数のデータタイプを、様々なストレージデバイスからのリカバリーに使用された、実績のあるデータリカバリーツールです。
Disk Drillを開発したCleverFiles社は現在、便利なフォレンジックスツールを搭載したソフトウェアの新しいバージョンの開発に力を入れています。フォレンジックス市場に時期リリース予定のこのソフトウェアは、高度に磨かれたユーザーインターフェースと使いやすさを特徴とした独自のユーザーエクスペリエンスを届けることが期待されています。
