読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

デジタル・フォレンジック研究会「証拠保全ガイドライン第5版」メモ

@nekotricolorはCTF for GIRLSの運営のお手伝いをしています。

girls.seccon.jp

で、次回のCTF for GIRLSのテーマはフォレンジックです。

ということで読んでみました。2016年4月21日に公開されたものです。

digitalforensic.jp

構成

1 事前に行う準備
1.1 インシデントレスポンスを想定した初動対応、証拠保全プロセスの検討及び体制の確立
1.2 インシデントレスポンスに関連する情報収集、情報共有及び分析
1.3 インシデントレスポンス(初動対応、証拠保全)時に必要と考えられる資機材等の選定及び準備
1.4 インシデントレスポンス時に使用する資機材等の熟達
1.5 Web で提供されているサービスの保全
1.6 クラウド環境の保全

2 インシデント発生(又は発覚、以下同じ)直後の対応
2.1 インシデントレスポンスが未実施の場合の活動
2.2 インシデントレスポンスが着手済みである場合の活動
2.3 インシデントレスポンスを円滑に進めるための活動

3 対象物の収集・取得・保全
3.1 対象物の状態の把握
3.2 収集・取得・保全するための対象物の処置
3.3 その他、収集・取得・保全する必要性がある対象物

4 証拠保全機器の準備
4.1 複製先(コピー先、以下同じ)に用いる媒体(記憶装置) 
4.2 証拠保全機器に求められる機能
4.3 証拠保全ツールに関する要件
4.4 その他、証拠保全に必要な機器・機材・施策の準備

5 証拠保全作業中・証拠保全作業後
5.1 代替機・代替ツール・代替手段の準備
5.2 立会人等
5.3 同一性の検証
5.4 証拠保全の正確性を担保する作業内容の記録
5.5 複製先の取扱い
5.6 Web で提供されているサービスに係る収集・取得・保全
5.7 ネットワークログからの証拠データ抽出

付録。濃ゆい。

1 チェックシート(デスクトップ PC の場合)
2 証拠保全ガイドライン用語集(Glossary)
3 デジタル・フォレンジックに関連する我が国の主な刑事法
4 関連資料紹介
5 Chain of Custody(CoC)シート例
6 刑事・⺠事におけるデータ収集と解析フローイメージ図
7 参考資料
I 「供述証拠と事実認定の実務(概論)」
II 「デジタルデータの証拠化・同一性確認調査手続き報告書例」
III 「今後のデジタル・フォレンジックの在り方と課題」
IV 「代表的な収集及び分析ツール」
8 IDF 団体会員「製品・サービス区分リスト」
9 「証拠保全ガイドライン」改訂WGメンバー(委員・オブザーバー及び事務局)

感想

とりあえず目次にページ番号つけてほしい・・。

「3.2 収集・取得・保全するための対象物の処置」以降は非常に具体的に書かれていてものすごく参考になります。対象物の電源が入っているか、ノートPCかデスクトップか、などケース別に実際の処置方法が記されています。ケーブルを刺した状態で写真を撮っておくとか思いつかなかった。

 各装置・ケーブルの取り外しの際は、解析時におけるシステムの正確な再現、作業後の現状復 帰を可能にするため、どのケーブルや機器が、どこに取り付けられていたかを、粘着性の低い タグ、専用の荷札タグ等を貼って明確にする*1

ジャンパーピンの状態まで記録しろって書いてある。

○ 対象となる HDD にジャンパーピンがある場合には、その状態を記録しておき、証拠取得時の影響 について検討する。*2

どうしてもネットワークトラフィックやログなどのソフトウェア的な部分に目が行きがちですが、取り外してどこかに調査を依頼したり証拠として提出したりする事を考えると、ハードウェア的な部分も重要ですよね。

デスクトップPCの場合の処置手順をまとめた付録1のチェックシートはそのまま使えそうです。実際にここまでやるのは大変そうですけどねー。

付録 3「デジタル・フォレンジックに関連する我が国の主な刑事法」はフォレンジックに限らずセキュリティに関わる人は読んでおいたほうがよさそう。関連する法律の列挙だけでなく解説も入ってます。

なお、技術者の間で、完成度の低いOSや、深刻なバグを含むプログラム自体がこの「不正指令電磁的記録」にあたるのではないかという誤解があるようであるが、(略)一部の者だけが、 「このようなプログラムは、けしからん」などと言っていても通用せず、一般のコンピュータ・ユーザ ーが「このプログラムはウイルスだ」という認識を持つことが必要であろう。*3

こんな風にざっくばらんに解説されているので面白いです。

「3.3.2 対象物のマニュアル・ユーザガイド等のドキュメント類」にあった、メーカーごとのBIOS起動キーをまとめたこの表はフォレンジックに限らず使えそう。

PC 製造者 BIOS 起動キー
Acer Del 若しくは F2
旧 Compaq F10 若しくは F1, F2, Del
Dell F2
eMachines Tab 若しくは Del, 或いは F2
Fujitsu F2
Gateway F1
Hitachi F2
HP F10
IBM/Lenovo F1 若しくは F12
Lenovo F1 若しくは F12
NEC F2
Panasonic F2
Phoenix Award BIOS 標準 DEL
Sony F2 若しくは F3 のち F2, F3のちF1
Toshiba Esc のち F1

*4

改訂履歴を見つけられなかったので第4版との差分はよくわかりません。目次の中項目を比べてみましたが変わっていないようです。

*1:P.18「3.2.1 対象物がコンピュータで、電源が OFF の状態の場合」

*2:P. 28「4.4.3 IDE HDD に設置されているジャンパーピンの取扱い」

*3:P.43〜P.44 「不正指令電磁的記録作成等」の解説部分抜粋

*4:P.24 表 2 製造者別の主な BIOS 起動キー