1章メモリフォレンジックの意義

　この世に不変なものなど存在せず、サイバー犯罪も例外ではありません。攻撃技術は日々進化しており、攻撃者は調査ツールにより攻撃対象を調査する傍ら、膨大な数のマルウェアを開発しています。だからこそ、最新情報を継続的に収集し、あらゆる種類のツールや技術を活用し、攻撃者と同じ視点を持つことが極めて重要なのです。

　最近のデジタルフォレンジック（Digital Forensics）や事故対応（Incident Response）でメモリフォレンジック（Memory Forensics）が重要な役割を担うのはなぜでしょうか？ デジタルフォレンジックや事故対応の専門家が用いるべき技術、そして調査目的とはどのようなものでしょうか？ 専門家たちはどういった課題に直面しているのでしょうか？ これらの疑問に対する答えをこの章で解説します。

　この章の内容：

• メモリフォレンジックの恩恵
• 調査の目標と手法
• メモリフォレンジックの課題

1.1　メモリフォレンジックの恩恵

　本書を手に取った読者は、すでにメモリフォレンジックによる恩恵を理解していると思います。メモリフォレンジックの知識を深めたいと思ったからには、それなりの理由があるのでしょう。しかし念のため、デジタルフォレンジックに限定せず、事故対応やマルウェア解析を視野に入れて、改めてRAM（Random Access Memory）の調査が重要な役割を果たす事例を確認しましょう。もしかしたら、身に付けた知識や技術を活用するための新しい知見が得られるかもしれません。

1.1.1　痕跡を残さない攻撃手法

　Living Off the Landやファイルレス攻撃を駆使する攻撃者の数はこの数年で劇的に増加しました。攻撃者は、痕跡を削除する手法ではなく、痕跡を残さずに検知を回避する手法の開発に注力するようになりました。この傾向は情報セキュリティ専門家の仕事をより難しくしています。ディスクのスキャンに依存したセキュリティ対策は、ビルトインツール（OS自体に内蔵されているツール）の悪用や、ディスク上にファイルが存在しないマルウェアには無力だからです。ログが存在しない場合、事後検証で攻撃者の攻撃手順の再現が難しくなります。そうした状況でも、メモリを抽出して解析すると、攻撃者について有用な情報が得られる場合があります。 ...