Introduction
コンピューターは、増え続ける犯罪のための重要な科学捜査の証拠となっています。 近年、サイバー犯罪は着実に増加していますが、伝統的な犯罪者であっても、業務の一環としてコンピュータを使用しています。
コンピュータ・フォレンジックツールは、コンピュータから抽出された情報が正確で信頼できるものであることを保証するために設計されています。 コンピュータベースの証拠にはさまざまな種類があるため、コンピュータ・フォレンジックツールには以下のような種類があります。
- ディスクおよびデータキャプチャツール
- ファイルビューア
- ファイル分析ツール
- レジストリ分析ツール
- インターネット分析 ツール
- メール解析ツール
- モバイルデバイス解析ツール
- ネットワークフォレンジックツール
- データベースフォレンジックツール
各カテゴリーには、さまざまなツールが存在します。 それぞれのカテゴリーには、数多くの異なるツールが存在します。
ディスクおよびデータ キャプチャ ツール
フォレンジック ディスクおよびデータ キャプチャ ツールは、システムの分析と、ファイルや電子メールなどの潜在的なフォレンジック成果物の抽出に焦点を当てています。
Autopsy/The Sleuth Kit
Autopsy および The Sleuth Kit は、おそらく現存する最も有名で人気のあるフォレンジック ツールです。 これらのツールは、ディスク イメージの分析、ファイル システムの詳細な分析、その他のさまざまな機能を備えています。
Autopsy と The Sleuth Kit は、Unix と Windows の両方で利用でき、ここからダウンロードできます。
このプラットフォームの主なセールスポイントは、リソース効率が良く、USBスティックで動作するように設計されていることです。
AccessData FTK
AccessData Forensics Toolkit (FTK)は、その解析速度を誇る商用デジタル フォレンジック プラットフォームです。 FTKは、マルチコアコンピュータをフルに活用した唯一のフォレンジックプラットフォームであることを謳っています。
詳細はこちら
EnCase
EnCaseは商用フォレンジックプラットフォームです。 デスクトップ、モバイルデバイス、GPS など、25 種類以上の異なるデバイスからの証拠収集をサポートします。 このツールでは、フォレンジック調査員は収集したデータを検査し、事前に定義されたテンプレートに基づいて幅広いレポートを作成することができます。
Mandiant RedLine
Mandiant RedLine は、メモリおよびファイル分析のための一般的なツールです。 ホスト上の実行中のプロセス、メモリからのドライバに関する情報を収集し、メタデータ、レジストリ データ、タスク、サービス、ネットワーク情報、インターネット履歴などの他のデータを収集して、適切なレポートを作成します。
詳しくはこちらをご覧ください。
Paraben Suite
Paraben Corporation は、さまざまなライセンス オプションを備えた数多くのフォレンジック ツールを提供しています。 Parabenは以下の機能を持っています。
- デスクトップのフォレンジック
- メールのフォレンジック
- スマートフォンの分析
- クラウド分析
- IoTフォレンジック
- トリッジとビジュアライゼーション
E3:E3:Universalはオールインワンのアクセスを提供し、E3:DSはモバイルデバイスに焦点を当て、その他のライセンスオプションはコンピュータフォレンジック、Eメールフォレンジック、ビジュアライゼーション機能を提供します。
詳細はこちら
Bulk Extractor
Bulk Extractorは、重要かつ一般的なデジタル フォレンジック ツールでもあります。 ディスク イメージ、ファイル、またはファイルのディレクトリをスキャンして、有用な情報を抽出します。 このプロセスでは、ファイルシステムの構造を無視しているため、他の利用可能な同種のツールよりも高速です。
現在、ここで入手できるソフトウェアの最新バージョンは、2014年以降更新されていません。 しかし、現在、バージョン2.0が開発中で、リリース時期は不明です。
レジストリの分析
Windowsのレジストリは、OSとその上で動作するアプリケーションの設定情報を格納するデータベースとして機能しています。
Registry Recon
Registry Reconは人気のある商用のレジストリ分析ツールです。 このツールは、証拠品からレジストリ情報を抽出し、レジストリの表現を再構築します。
詳細はこちら
メモリ フォレンジック
ファイル システムの分析では、システムの揮発性メモリ (すなわち、RAM) が欠落します。 いくつかのフォレンジック ツールは、ここに保存されている情報をキャプチャすることに焦点を当てています。
Volatility
Volatility はメモリ フォレンジック フレームワークです。 インシデントレスポンスやマルウェアの分析に使用されます。 このツールでは、実行中のプロセス、ネットワーク ソケット、ネットワーク接続、DLL、レジストリ ハイブから情報を抽出することができます。 また、Windowsのクラッシュ・ダンプ・ファイルやハイバネーション・ファイルからの情報抽出にも対応しています。
このツールの詳細はこちら
WindowsSCOPE
WindowsSCOPE は、揮発性メモリの分析に使用される商用のメモリ フォレンジックおよびリバース エンジニアリング ツールです。 基本的には、マルウェアのリバース エンジニアリングに使用されます。
詳細はこちら
ネットワーク解析
ほとんどのサイバー攻撃はネットワーク上で発生しており、ネットワークはフォレンジック データの有用なソースとなり得ます。
Wireshark
Wireshark は現存する最も広く使用されているネットワーク トラフィック分析ツールです。 ライブ トラフィックをキャプチャしたり、保存されたキャプチャ ファイルを取り込んだりすることができます。
詳細はこちら
Network Miner
Network Miner は、無料および商用のオプションを備えたネットワーク トラフィック分析ツールです。 プレミアム機能の多くは Wireshark で自由に利用できますが、無料版はフォレンジック調査に役立つツールとなります。
詳細はこちら
Xplico
Xplicoは、オープンソースのネットワーク フォレンジック分析ツールです。 インターネットやネットワーク プロトコルを使用するアプリケーションから有用なデータを抽出するために使用されます。 HTTP、IMAP、POP、SMTP、SIP、TCP、UDP、TCPなど、一般的なプロトコルのほとんどをサポートしています。 このツールの出力データは、SQLiteデータベースまたはMySQLデータベースに保存されます。
このツールについての詳細はこちらをご覧ください。
モバイル デバイス フォレンジック
モバイル デバイスは、多くの人がインターネットにアクセスする主な手段になりつつあります。
Oxygen Forensic Detective
Oxygen Forensic Detective は、モバイル デバイスに焦点を当てていますが、モバイル、IoT、クラウド サービス、ドローン、メディア カード、バックアップ、デスクトップ プラットフォームなど、多くの異なるプラットフォームからデータを抽出することができます。 物理的な方法を用いてデバイスのセキュリティ(スクリーンロックなど)を回避し、多数の異なるモバイルアプリケーションの認証データを収集します。 OxygenはUSBドングルとして配布されている商用製品です。
詳細はこちら
Cellebrite UFED
Cellebrite社は数多くの商用デジタル・フォレンジックツールを提供していますが、同社のCellebrite UFEDはデジタルデータにアクセスするための業界標準であると主張しています。 UFEDの主な製品はモバイル・デバイスを対象としていますが、一般的なUFEDの製品ラインは、ドローン、SIMカード、SDカード、GPS、クラウドなど、様々なデバイスを対象としています。
詳細はこちら
XRY
XRYは、モバイルデバイス・フォレンジックのためのさまざまな商用ツールの集合体です。 XRY Logicalは、モバイルデバイスのオペレーティングシステムとインターフェイスし、目的のデータを抽出するように設計されたツールのスイートです。
XRYについての詳細はこちらをご覧ください。
Linuxディストリビューション
ここで説明したツールの多くは、フリーでオープンソースです。
CAINE
CAINE (Computer Aided Investigative Environment) は、デジタル フォレンジックのために作られた Linux ディストリビューションです。 既存のソフトウェアツールをソフトウェアモジュールとして統合する環境を、ユーザーフレンドリーな方法で提供します。
詳細はこちら
SANS SIFT
SIFTは、無料のデジタルフォレンジックツールを集約したオープンソースのLinux仮想マシンです。
HELIX3
HELIX3は、インシデント対応で使用するために作成されたライブCDベースのデジタル フォレンジック スイートです。 HELIX3 には、hex エディター、データ カービング、パスワード クラッキング ツールなど、多くのオープン ソースのデジタル フォレンジック ツールが付属しています。 無料版をご希望の方は、Helix3 2009R1をご利用ください。 このリリースの後、このプロジェクトは商用ベンダーに引き継がれました。
このツールは、物理メモリ、ネットワーク接続、ユーザー アカウント、実行中のプロセスとサービス、スケジュールされたジョブ、Windows レジストリ、チャット ログ、スクリーン キャプチャ、SAM ファイル、アプリケーション、ドライバー、環境変数、インターネット履歴からデータを収集できます。
Helix3 2008R1はこちらからダウンロードできます。
エンタープライズ版はこちらからダウンロードできます。
Conclusion
デジタル フォレンジックは、常に需要がある専門分野です。 サイバー攻撃やデータ漏洩の件数が増加し、規制要件が厳しくなるにつれ、組織は潜在的なインシデントの範囲と影響を判断する能力を必要としています。
このリストに含まれるツールは、フォレンジック分析に使用される、より一般的なツールやプラットフォームの一部です。 多くの場合、これらのツールは似たような機能を持っているので、どちらを選ぶかは主にコストと個人の好みによります。
デジタル フォレンジック ツールを試すのに適した出発点は、この記事の最後で紹介した Linux プラットフォームの 1 つを試すことです。
デジタル フォレンジック ツールを試すための良い出発点は、この記事の最後で紹介した Linux プラットフォームの 1 つを試すことです。