第12章. デジタル・フォレンジック

コンピュータ犯罪 は、現実よりもデジタルで攻撃したり盗んだりする方がはるかに費用対効果が高いこともあり、時代とともに広まっている。このことは、いつ、どのように攻撃が起こったかを特定するために、コンピュータシステム上の証拠を検索する専門家が非常に必要とされていることを意味する。フォレンジックという言葉は厳密には法律や裁判における証拠に関係するが、 デジタル・フォレンジックという用語は、コンピュータ・システム上で攻撃者の活動の証拠を探すことに関する活動を表す。

Kali Linuxのようなセキュリティ指向のディストリビューションでは、期待通り、広範なデジタル・フォレンジック・ツールが利用できる。ディスクイメージの収集に使用できるツールから、収集したイメージの分析、メモリの収集、ファイルやディスク内の隠蔽情報の評価まで、さまざまなツールが用意されている。メモリ・フォレンジック・ツールはオンラインでも入手可能だが、かつてKaliリポジトリで入手可能だったものは削除されており、通常のパッケージ・インストール・プロセス以外でインストールする必要がある。

ツールに加え、Kaliはフォレンジック・モードで起動することができる。法的な目的があろうとなかろうと、調査の一環として使用する情報を収集する際の重要な側面の1つは、収集した情報が改ざんされていないことを確認することだ。オペレーティングシステムを起動し、何らかのプロセスを実行すると、いつでもディスクに変更が加えられる。また、メモリは常に変化している。観察するという行為は、観察されているものに影響を与える可能性がある。ライブUSB/CD/DVDにブートすることでさえ、接続されたディスクに影響を与える可能性がある。USBメモリのような外部デバイスからフォレンジック・モードでKaliを起動する場合、2つの重要な機能が使用される。第一に、内蔵ハードドライブは決してオペレーティングシステムによって触られない。これは、ハードドライブに触れることができないという意味ではなく、or演算子がハードドライブに影響を与えたり変更したりすることはないという意味だ。第二に、フォレンジック・モードでKaliを起動したときに接続されたディスクは自動マウントされない。これにより、ディスクとそのすべてのデータの整合性が保たれる。

Kali Linuxのインストーラーイメージには、Forensicモードを含むライブモードが含まれていない。ライブ・イメージをダウンロードする必要がある。ライブ・イメージは、Forensic モードへのブートを可能にするだけでなく、最初にインストールする必要なく Kali Linux のライブ・イメージをブートすることも可能にする。図 12-1は、Forensic モードエントリが強調表示されたライブイメージのブート画面を示している。

図12-1. フォレンジックモードのブート選択

ツールの説明に入る前に、これらのツールが扱う情報のいくつかを説明しておくと役に立つだろう。結局のところ、フォレンジックデータを扱う場合、ファイルのコレクションを扱うよりも、ディスクイメージから始めることが多いだろう。その理由は、ファイルそのものだけでなく、ファイルが保存されているファイルシステムから提供されるすべての情報が欲しいからである。 ...