連載
» 2018年11月02日 07時00分 公開

CSIRT小説「側線」:CSIRT小説「側線」 第11話:鑑識(後編) (1/2)

自社を攻撃した犯人について、本格的な調査を始めた「ひまわり海洋エネルギー」のCSIRT。コマンダーのメイは、フォレンジック(鑑識)を担当する識目(しきめ)の元を訪ね、その仕事について詳しく聞こうとしていた。

[笹木野ミドリ,ITmedia]
Photo

この物語は

一般社会で重要性が認識されつつある一方で、その具体的な役割があまり知られていない組織内インシデント対応チーム「CSIRT(Computer Security Incident Response Team)」。その活動実態を、小説の形で紹介します。コンセプトは、「セキュリティ防衛はスーパーマンがいないとできない」という誤解を解き、「日本人が得意とする、チームワークで解決する」というもの。読み進めていくうちに、セキュリティの知識も身に付きます


前回までは

自社を攻撃した犯人について、本格的な調査を始めた「ひまわり海洋エネルギー」のCSIRT。メンバーの鯉河(こいかわ)が情報収集のため国外に飛ぶ一方、コマンダーのメイは、フォレンジック(鑑識)を担当する識目(しきめ)を訪ね、その仕事について詳しく聞こうとしていた。

これまでのお話はこちらから


@フォレンジック対応部屋

Photo 本師都明:先代のCSIRT全体統括に鍛え上げられた女性指揮官。鍛え上げられた上司のすばらしさと比較すると、他のメンバーには不満を持っている。リーガルアドバイザーを煙たく思い、単語や会話が成立しないリサーチャー、キュレーターを苦手としている

 本師都明(ほんしつ メイ)は、フォレンジックについて一通り識目豊(しきめ ゆたか)の話に耳を傾けた後、さらに聞いた。

 「どういう順番で有用な情報を引き出すのか、教えてください」

 識目はよしよしとうなずいて話しだす。

 「まず、原本の保全。対象となる機器のハードディスやメモリのコピーだ。いわゆる“証拠保全”だね。HDDは本体から中身のファイルまでそっくりそのまま物理コピーする。ただ『ファイルをコピーして別の場所に貼り付ける』といった論理コピーだと、さっき言った管理領域のデータが変わってしまうので、原本にあった情報が失われてしまうことがあるんだ。

 あと、コピーが原本と同じ状態になっていることを確認するために、ハッシュ値の確認を行う。ハッシュ値とは、デジタルデータの指紋のようなものだよ。この値が一致すればその2つは同じデータといえるんだ。面倒なので、フォレンジック用の物理複製装置という機械もある。これは自動的にハッシュ値を照合してくれる優れものだよ」

photo 識目豊:職人。インベスティゲーターとは警視庁時代からの旧友であり、さまざまなサイバー事案を共同で捜査した。犯人側の手口にも詳しい。

 ――メイのノートが忙しくなる。

 「そこから、今度は解析用のイメージファイルを作る。調査の過程で間違ってデータを変更してしまうこともあるので、いくつか作っておく。もちろん、正当な調査だということを証明するために、作業の十分な記録もとっておく。保全作業の全過程をビデオで撮影する事もあるくらいだね。ここまでで準備は終わり」

 「結構大変だし、気を使いますね」

 メイが率直な感想を述べる。

 「それからやっと解析作業に入る。基本的に、PC内には操作ログやプログラムの実行履歴などが残るのは分かるね。これを残したままにするような間抜けな犯罪者なら調査は簡単だけど、最近はこれらを消しながら動くウイルスもあれば、遠隔操作を行う犯罪者も多いんだ。

 しかし、コンピュータの中の記録はいろいろなものが複雑に連鎖しているので、単純にログを消せば済むというものではない。無理に形跡を消した場合、どこかで記録の矛盾が起きるんだ。それを見つけたときはこう言うんだ――『こういうのは、足跡消したって言わねえんだよ』って、ね」

 識目の説明に熱が入って来た。

 「調査のアタリどころとしては、レジストリがある。ここからは、PC内で起動したプログラムやログインユーザー名、最近使ったドキュメントやUSBデバイスの記録などが分かる。これは知ってるね。さらに、PFファイルにも実行したプログラムの履歴情報が含まれる。最近はブラウザで仕事をする場合も多いと思うけど、その時特に重要なのは、Webブラウザのログであったり、キャッシュデータだったりするんだ。

 また、アプリケーションソフトの中にも情報は残っており、作成者の情報やタイトル、タイムスタンプなどの管理情報が含まれる。カメラで撮影した画像の中に日時やGPSデータが含まれるのは有名な話だよね。どこで撮影したかがバレバレ」

 ――ノートから火を噴くような勢いで、メイはメモを続ける。

 「あと、ここからは職人技になるけど、データが上書きで書き込まれた場合がある。これは、言ってみればそのノートに一度書かれた文字の上に、ペンでぐちゃぐちゃに上書きする感じ」

 ――メイは思わずメモを取っているノートを胸に引き寄せる。

 「そんなデータでも、いろいろ復元させる手はある。基本的には、消されてない部分を手掛かりに推測していくことになるんだ。例えば、管理領域が消された場合には、実データはあるけど、迷子になっているわけで、それを探し出していく。実データが部分的に消されていても、残りの部分から推測していく。または、いろいろなログを突き合わせて、時系列で部分的なデータを整理したりして有用な情報を絞り込んでいく。まさに鑑識だね。解析ソフトもいろいろあるけど、最後は調査員の経験や技術に頼る部分が大きいよ」

 識目は一気に話すと、ペットボトルからお茶を飲む。

 ――メイが尋ねる。

 「テレビドラマでしか知らないのですが、まさにコンピュータ上の鑑識ですね。このフォレンジックを行うためには、どのような知識や経験が必要なのでしょうか?」

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -