CSIRT小説「側線」 第11話:鑑識(後編):CSIRT小説「側線」(1/2 ページ)
自社を攻撃した犯人について、本格的な調査を始めた「ひまわり海洋エネルギー」のCSIRT。コマンダーのメイは、フォレンジック(鑑識)を担当する識目(しきめ)の元を訪ね、その仕事について詳しく聞こうとしていた。
この物語は
一般社会で重要性が認識されつつある一方で、その具体的な役割があまり知られていない組織内インシデント対応チーム「CSIRT(Computer Security Incident Response Team)」。その活動実態を、小説の形で紹介します。コンセプトは、「セキュリティ防衛はスーパーマンがいないとできない」という誤解を解き、「日本人が得意とする、チームワークで解決する」というもの。読み進めていくうちに、セキュリティの知識も身に付きます
前回までは
自社を攻撃した犯人について、本格的な調査を始めた「ひまわり海洋エネルギー」のCSIRT。メンバーの鯉河(こいかわ)が情報収集のため国外に飛ぶ一方、コマンダーのメイは、フォレンジック(鑑識)を担当する識目(しきめ)を訪ね、その仕事について詳しく聞こうとしていた。
@フォレンジック対応部屋
本師都明:先代のCSIRT全体統括に鍛え上げられた女性指揮官。鍛え上げられた上司のすばらしさと比較すると、他のメンバーには不満を持っている。リーガルアドバイザーを煙たく思い、単語や会話が成立しないリサーチャー、キュレーターを苦手としている
本師都明(ほんしつ メイ)は、フォレンジックについて一通り識目豊(しきめ ゆたか)の話に耳を傾けた後、さらに聞いた。
「どういう順番で有用な情報を引き出すのか、教えてください」
識目はよしよしとうなずいて話しだす。
「まず、原本の保全。対象となる機器のハードディスやメモリのコピーだ。いわゆる“証拠保全”だね。HDDは本体から中身のファイルまでそっくりそのまま物理コピーする。ただ『ファイルをコピーして別の場所に貼り付ける』といった論理コピーだと、さっき言った管理領域のデータが変わってしまうので、原本にあった情報が失われてしまうことがあるんだ。
あと、コピーが原本と同じ状態になっていることを確認するために、ハッシュ値の確認を行う。ハッシュ値とは、デジタルデータの指紋のようなものだよ。この値が一致すればその2つは同じデータといえるんだ。面倒なので、フォレンジック用の物理複製装置という機械もある。これは自動的にハッシュ値を照合してくれる優れものだよ」
――メイのノートが忙しくなる。
「そこから、今度は解析用のイメージファイルを作る。調査の過程で間違ってデータを変更してしまうこともあるので、いくつか作っておく。もちろん、正当な調査だということを証明するために、作業の十分な記録もとっておく。保全作業の全過程をビデオで撮影する事もあるくらいだね。ここまでで準備は終わり」
「結構大変だし、気を使いますね」
メイが率直な感想を述べる。
「それからやっと解析作業に入る。基本的に、PC内には操作ログやプログラムの実行履歴などが残るのは分かるね。これを残したままにするような間抜けな犯罪者なら調査は簡単だけど、最近はこれらを消しながら動くウイルスもあれば、遠隔操作を行う犯罪者も多いんだ。
しかし、コンピュータの中の記録はいろいろなものが複雑に連鎖しているので、単純にログを消せば済むというものではない。無理に形跡を消した場合、どこかで記録の矛盾が起きるんだ。それを見つけたときはこう言うんだ――『こういうのは、足跡消したって言わねえんだよ』って、ね」
識目の説明に熱が入って来た。
「調査のアタリどころとしては、レジストリがある。ここからは、PC内で起動したプログラムやログインユーザー名、最近使ったドキュメントやUSBデバイスの記録などが分かる。これは知ってるね。さらに、PFファイルにも実行したプログラムの履歴情報が含まれる。最近はブラウザで仕事をする場合も多いと思うけど、その時特に重要なのは、Webブラウザのログであったり、キャッシュデータだったりするんだ。
また、アプリケーションソフトの中にも情報は残っており、作成者の情報やタイトル、タイムスタンプなどの管理情報が含まれる。カメラで撮影した画像の中に日時やGPSデータが含まれるのは有名な話だよね。どこで撮影したかがバレバレ」
――ノートから火を噴くような勢いで、メイはメモを続ける。
「あと、ここからは職人技になるけど、データが上書きで書き込まれた場合がある。これは、言ってみればそのノートに一度書かれた文字の上に、ペンでぐちゃぐちゃに上書きする感じ」
――メイは思わずメモを取っているノートを胸に引き寄せる。
「そんなデータでも、いろいろ復元させる手はある。基本的には、消されてない部分を手掛かりに推測していくことになるんだ。例えば、管理領域が消された場合には、実データはあるけど、迷子になっているわけで、それを探し出していく。実データが部分的に消されていても、残りの部分から推測していく。または、いろいろなログを突き合わせて、時系列で部分的なデータを整理したりして有用な情報を絞り込んでいく。まさに鑑識だね。解析ソフトもいろいろあるけど、最後は調査員の経験や技術に頼る部分が大きいよ」
識目は一気に話すと、ペットボトルからお茶を飲む。
――メイが尋ねる。
「テレビドラマでしか知らないのですが、まさにコンピュータ上の鑑識ですね。このフォレンジックを行うためには、どのような知識や経験が必要なのでしょうか?」
関連記事
- CSIRT小説「側線」 第9話:レジリエンス(後編)
「この製品さえ入れれば、御社のセキュリティは絶対に安全です!」「AIでどんな攻撃も防ぎます」――って、本当に確証はあるの? 前回の攻撃で、社内の防衛装置を無効化されてしまった「ひまわり海洋エネルギー」では、本当に有効なセキュリティ戦略を探そうと、道筋(みちすじ)がベンダーの営業担当に話を聞き始めた。ヒートアップする会話の焦点とは一体……? - CSIRT小説「側線」 第9話:レジリエンス(前編)
前回の攻撃で、ほとんどの防衛装置を無効化された「ひまわり海洋エネルギー」。あと少しで機密情報を失うところだった社内では、セキュリティシステムの見直しが始まる。それは、CSIRTのソリューションアナリスト、道筋(みちすじ)が新たな使命を与えられたことを意味していた……。 - CSIRT小説「側線」 第8話:全滅(後編)
本来防げるはずのウイルスが役員の端末に入り込み、機密情報を流出させていた――。メイたちCSIRTのセキュリティ防衛装置を「全滅」させた仕掛けとは。一方、CISOの小堀は、説明責任を果たそうとある行動に出る。 - CSIRT小説「側線」 第8話:全滅(前編)
「ひまわり海洋エネルギー」新生CSIRT結成から数カ月。ようやくインシデント対応に慣れ始めたチームに緊急事態の一報が入る。会社の幹部が所有する端末が繰り返していた“異常な通信”とは一体……? - CSIRT小説「側線」 第7話:協調領域(後編)
「従業員の心得」「コンプライアンス」「ハラスメント防止」――忙しい業務に加わる“講習三昧”に苦情の声をあげる社員たちに、一体どうすればセキュリティ教育を真剣に受けてもらえるの? 悩みぬくCSIRTの教育担当に、ベテランがくれたアドバイスとは。
Copyright © ITmedia, Inc. All Rights Reserved.