セキュリティ
基本的なコンピュータ フォレンジック ガイド
Tom Cloward and Frank Simorjay
概要:
- Windows 向けの基本的なコンピュータ調査ガイド
- マルウェアの削除スタート キット
- Windows PE を使用して調査キットを作成する
- フォレンジック分析の情報を保存する
悪意のある人物がコンピュータを使用して違法行為を行う方法は、システムのハッキング、企業秘密の漏えい、新種のウイルスの蔓延、フィッシング メッセージを使用した個人情報の盗難など、無数にあります。また、新たな攻撃や手口についてのニュースが
次々と流れています。しかし、コンピュータを使用してこのような行為を調査できる方法があることは、あまり知られていません。
高度な訓練を受けた専門家が高価なツールと複雑な手法を駆使して行う調査もありますが、基本的な調査と分析に使用できる簡単で費用もかからない方法があります。この記事では、一般の管理者が利用できるコンピュータ フォレンジックの手法について説明します。
ここでは、無償でダウンロードできる 2 つのソリューション アクセラレータを利用します。1 つは「Windows 向けの基本的なコンピュータ調査ガイド」(go.microsoft.com/fwlink/?LinkId=80344) で、もう 1 つはマルウェアの削除スタート キット (go.microsoft.com/fwlink/?LinkId=93103) です。この記事では、これら 2 つのソリューションを組み合わせて起動可能な Windows® PE 環境を構築することによって、効率的に調査を実施し、レポートと分析のために結果を保存できるようにする方法について説明します。ただし、ここで説明する方法は、暗号化されているか、RAID ボリュームの一部であるハード ドライブの調査には使用できません。また、ハード ドライブに障害がある場合は、あらかじめドライブの状態を復元する作業を行っておく必要があります。
ここでは、Windows ベースのコンピュータから証拠を簡単に収集する方法について説明しますが、これは基本的なその場限りの方法にすぎません。ここで説明する作業をはるかに効率的な方法で行うことができる、他の高度なソリューションもいくつか市販されています。
また、ここで説明する手法は、保証された規範的なソリューションでもなく、The International Society of Forensic Computer Examiners によって認定されているソリューションでもありません。調査を始める前に、ハード ドライブ上の証拠が法的要件の 1 つになる可能性があるかどうかを検討してください。その可能性がある場合は、資格を持つコンピュータ検査の専門家に調査を依頼するようにしてください。考えられる法的手続きの性質によっては、調査内容を司法当局に直接提出する必要があるかどうかも検討する必要があります。詳細については、「Windows 向けの基本的なコンピュータ調査ガイド」を参照してください。
ソリューション アクセラレータについて
「Windows 向けの基本的なコンピュータ調査ガイド」には、社内のコンピュータ調査で使用できるプロセスとツールに関する説明が記載されています。このガイドでは、コンピュータ調査モデルの 4 つのフェーズが概説されています。4 つのフェーズとは、評価、取得、分析、およびレポートです。これは、重要な調査結果が保存される形で IT プロフェッショナルが調査を実施できる便利なモデルです。
このガイドでは、どのような場合に司法当局の協力が必要になるかについても取り上げられています。この判断を行う際は、法律顧問に相談してください。また、コンピュータ関連犯罪への対応方法、適切な司法機関への連絡方法、および Windows Sysinternals をはじめ、調査を行う際に役立つその他の Windows ツールに関する情報も記載されています。
この記事で取り上げるもう 1 つのソリューション アクセラレータは、マルウェアの削除スタート キットです。このガイドには、起動可能な Windows PE CD-ROM を作成し、その CD-ROM を使用してコンピュータからマルウェアを削除する方法が記載されています。また、脅威の一覧と、各脅威が組織に与える影響を軽減するための対策もいくつか紹介されています。さらに、マルウェア攻撃の疑いがある場合に実施する問題対応の計画を作成することの重要性も強調されています。マルウェアの削除スタート キットには、4 つの段階から成る方法が記載されています。この方法を使用すると、IT プロフェッショナルは、問題のマルウェアの性質を特定し、蔓延を食い止めて可能であればこれを削除し、削除されたことを確認して、必要と思われる次の手順を実行することができます。
Windows PE CD-ROM
このような調査を実施する場合、必要になるものが 2 つあります。1 つは Windows PE CD-ROM、もう 1 つは USB フラッシュ ドライブなどの外付け記憶装置です。
警察官が犯罪現場の状態を保全することは、おそらくテレビを観てご存知だと思います。それと同じ理由で、調査対象のハード ドライブに格納されているデータも変更しないようにします。ここで作成する起動可能な Windows PE ディスクでは、マルウェアの削除スタート キット ディスクとは異なり、ハード ドライブのデータがまったく変更されない方法でツールが実行されます。
Windows PE ディスクを使用すると、制限された Windows 環境を使用してシステムが起動されます。この起動可能な CD を作成する際、特定の用途に合わせてあらかじめ構成されたツール (マルウェアの削除スタート キットなど) を組み込むことができます。また、コンピュータには 512 MB 以上の RAM が搭載されている必要があります (これは Windows PE の要件です)。
Windows PE CD-ROM は、非常に簡単に作成できます。マルウェアの削除スタート キットにこの手順の詳しい説明が記載されています。この起動可能ディスクを構築する前に、Windows 自動インストール キット (AIK) と Sysinternals Suite (microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx からダウンロードできます) をインストールし、マルウェアの削除スタート キットに記載されている作業 2 の手順に従って Sysinternals ツールをツール一覧に追加した後、その他のマルウェア スキャン ツールとユーティリティをインストールする必要があります。起動可能ディスクの作成手順については、マルウェアの削除スタート キットの説明を参照してください。
外付け USB ドライブ
このプロセスでは調査対象のドライブが変更されないため、USB ドライブなどの外付けハード ドライブを用意して、生成される出力ファイルを保存できるようにする必要があります (Windows PE は USB デバイスを自動的にマウントできるため、USB ドライブを使用することをお勧めします)。また、外付けハード ドライブを使用して、元のハード ドライブのイメージを保存することもできます。このような要件や選択肢をすべて踏まえて、調査で必要になるディスク容量の合計をあらかじめ把握しておくことが非常に重要です。
確実にキットをクリーンな状態にしてから調査を開始する必要があるため、調査ファイルの保存に使用する外付けディスク ドライブに格納されている既存のデータはすべて削除する必要があります。この作業は、書き込み可能なドライブ全体を上書きするディスク ワイプ ユーティリティを使用すると簡単に実行できます。その後、外付けディスクをフォーマットして、必要であれば調査用であることを示すラベルを付けます。この事前処理によって、調査で収集した証拠を台無しにする可能性のあるファイルがデバイスに含まれていないことが保証されます。
また、処理過程を管理するためのフォームを組み込み、このコンピュータで調査を実施した人物に関する情報が記載された公式なドキュメントを残すこともできます。「Windows 向けの基本的なコンピュータ調査ガイド」では、サンプルの処理過程管理フォームが提供されています。キット (必要な起動可能 Windows PE ディスク、外付け記憶装置、および処理過程管理フォーム) が用意できたら、次に進みます。
調査を実施する
いよいよ、調査の実施に移ります。まず、Windows PE ディスクを使用して問題のシステムを起動します。コンピュータの起動順序で CD-ROM ドライブが最初に検出される起動デバイスとして指定されていることを確認してから、この操作を行ってください。メッセージが表示されたら、任意のキーを押して CD-ROM からの起動を完了します。これで、ディスクにインストールされているツールにアクセスできるようになります。
ここでは、作成したキットをサンプル コンピュータ (Testbox1) で使用して、コンピュータから情報を収集する方法について説明します。Testbox1 の CD ドライブは X:\ に割り当てられています。このため、マルウェアの削除スタート キットのツールが格納されている既定の場所は X:\tools になります。キット内のツールにアクセスするには、「cd \tools」と入力します。
コンピュータにマウントされている調査対象のドライブを識別できるツールがいくつかあります。Sysinternals のツール ディレクトリで提供されている Bginfo.exe を使用すると、この情報を確認することができます。この情報はデスクトップの背景に表示されるため、簡単に参照することができます。また、Drive Manager を使用すると、調査対象のハード ディスク ドライブや外付け USB デバイスを含む、コンピュータ上のすべてのドライブを識別できます。図 1 は、Testbox1 のディスク情報を示しています。起動ドライブは X:\、調査対象のハード ドライブは C:\、そして外付け USB ドライブは F:\ です。
図 1** Drive Manager に表示されたディスク情報 **
マルウェアの有無を確認する
調査を開始する前に、マルウェア対策ツールを実行して、ウイルスや他の悪意のあるコードによって調査が影響を受けないようにする必要があります。マルウェア対策ツールによって生成されたレポートは、必要であれば証拠として使用できます。ただし、コンピュータにマルウェアが存在するかどうかを確認しなかった場合、調査が台無しになるだけでなく、調査者が徹底的かつ正確に調査を行ったかどうかを疑われる可能性があります。このため、提供されているマルウェア対策ツールを読み取り専用モードまたはレポート モードで実行することをお勧めします。
マルウェアの削除スタート キットでは、悪意のあるソフトウェアの削除ツールや McAfee AVERT Stinger など、さまざまな推奨ツールが紹介されています。悪意のあるソフトウェアの削除ツールを実行する際は、必ず次のようにコマンド ライン オプション /N を指定してください。これにより、マルウェアは削除されず、マルウェアのレポートのみが実行されます。
x:\tools\windows-KB890830-v1.29.exe /N
結果のレポート ファイルは %windir%\debug\mrt.log として保存されます。
同様に、McAfee AVERT Stinger を実行する場合は、設定を [Report only] (レポートのみ) に変更してください (図 2 参照)。これにより、ハード ドライブは変更されず、コンピュータのスキャンのみが実行されます。スキャンが完了したら、ツールからレポートの保存を実行します。
図 2** McAfee AVERT Stinger の Report only (レポートのみ) モードの使用 **
重要なファイルを保存する
調査を開始する前にディスク全体をバックアップしなかった場合は、少なくとも重要なユーザー ファイルをバックアップします。構成情報は、再調査が必要になった場合に使用できます。まず、レジストリ ファイルと設定を収集します。これらのデータには、コンピュータがどのように使用されたか、およびどのようなソフトウェアがシステムにインストールされているかに関する情報がすべて含まれています。
Testbox1 のレジストリ ハイブを保存するには、まず次のコマンドを使用して、取り外し可能な F:\ ドライブにフォルダを作成し、調査を開始した日付と時刻を記録します。
f: Mkdir f:\evidence_files Date /t >> f:\evidence_files\Evidence_start.txt Time /t >> f:\evidence_files\Evidence_start.txt
次に、レジストリ ハイブを保存します。xcopy コマンドを使用して、構成ディレクトリ全体とその内容をコピーします。目的のレジストリ ファイルは、%windows%\system32\config にあります。この例では、次のコマンドを実行します。
xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v
このコマンドを実行すると、config フォルダに格納されているすべての構成情報がコピーされます。Textbox1 の config フォルダには、約 95 MB の情報が格納されています。
次は、ユーザー データをバックアップします。ユーザー データは、ハード ディスク上の決まった場所にあるわけではありません。この例では、c:\HR というディレクトリのデータのみをコピーします。完全にデータを収集するには、次の xcopy コマンドを使用して、HR ディレクトリとそのサブディレクトリに格納されているすべてのデータをコピーします。
Mkdir f:\evidence_files\HR_Evidence Mkdir f:\evidence_files\documents_and_settings Mkdir f:\evidence_files\users xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v
次に、個人用フォルダの情報をバックアップします。この場合も、該当するフォルダとそのサブディレクトリに格納されているすべてのデータをコピーします。これを行うには、次のコマンドを使用します。
Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v
Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v
この例では、約 500 MB のデータが収集されました。このデータは必要に応じて分析できます。このように、収集するデータは、特にオーディオ ファイル、ビデオ、写真が含まれる場合、膨大な量になる可能性があります。それでも、調査では、物理的に証拠を収集するだけではなく、その情報が収集中に変更されていないことを保証しなければならない場合もあるため、元のデータをできるだけ多く保存しておくことが重要です。調査対象のディスク全体のイメージを保存することが理想的ですが、サイズの制約によって困難になる場合があります。これで、調査に必要な記憶域の容量をあらかじめ予想しておくことが重要である理由がおわかりいただけたと思います。
その他の情報を収集する
システム ファイルも有用な証拠として収集できる場合があります。ただし、これらのファイルは常に同じ場所に格納されているとは限らないため、このデータを収集する場合は、調査対象のコンピュータ内をある程度調べなければならないかもしれません。しかし、特定の種類のファイルから有用な情報が得られる可能性もあるため、調べるだけの価値はあります。たとえば、スワップ ファイルには、メモリがアクセスしたファイルに関する情報が含まれています。また、使用状況の詳細が含まれている場合もあります。同様に、Web ブラウザ データと Cookie からは、閲覧操作や閲覧パターンに関する情報が得られます。
このデータを見つけるには、特にユーザーが既定以外の場所にデータを保存するように構成を変更していた場合、コンピュータ内をある程度調べなければならないかもしれません。重要なファイルの検索に役立つ Sysinternals ツールがいくつかあります。図 3 は、5 つの便利なアプリケーションと、これらがどのように調査に役立つかを示した一覧です。
Figure 3 Tools to locate files and data of interest
| アプリケーション | 説明 |
| AccessChk | 指定したユーザーまたはグループに与えられている、ファイル、レジストリ キー、および Windows サービスへのアクセス権を表示します。 |
| AccessEnum | コンピュータ上の各ディレクトリ、ファイル、およびレジストリ キーにアクセスできるユーザーを表示します。この情報を使用して、アクセス許可が正しく適用されていない箇所を特定できます。 |
| Du | ディレクトリごとのディスク使用状況を表示します。 |
| PsInfo | コンピュータに関する情報を表示します。 |
| Strings | バイナリ イメージから ANSI および UNICODE 文字列を検索します。 |
Tom Cloward (CCE、CISSP) は、マイクロソフトのプログラム マネージャで、IT プロフェッショナル向けのセキュリティおよび法令順守ソリューション アクセラレータを担当しています。15 年以上にわたりソフトウェアおよび IT 業界に身を置き、IT セキュリティ、フォレンジック、および法令順守に関連した業務に情熱を持って取り組んでいます。
Frank Simorjay (CISSP、CET) は、テクニカル プログラム マネージャで、マイクロソフト ソリューション アクセラレータのセキュリティおよび法令順守グループにおいて、セキュリティを担当しています。彼は、マイクロソフトの顧客向けのセキュリティ ソリューションを設計しています。彼が最近手がけた仕事には、現在 Microsoft TechNet で提供されているマルウェアの削除スタート キットがあります。
© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.