【要点抽出】証拠保全ガイドライン 第9版

ニキヌス

サーバの証拠保全って自信ないなぁ…と思ったので読んでみました。

https://digitalforensic.jp/wp-content/uploads/2023/02/shokohoznGL9.pdf

何の本?

特定非営利活動法人デジタル・フォレンジック研究会が公開する証拠保全に関するガイドラインです。
セキュリティインシデントが発生した場合、CSIRTや情シス部門が対応にあたると思います(=本書ではファーストレスポンダと定義)。
こうした人たちがデジタルフォレンジックについて十分な知識を持ってなくとも、後で専門業者に調査を依頼する際に備えてせめて証拠保全だけは出来るようになっておこうね。のガイドラインです。
特に以下の2点を掘り下げます。
どの範囲のデータを取るべきなのか
・保全した証拠の「原本同一性」(証拠が変更、改ざんされていないこと)をどう確保するのか
第1版は2010年。前回の第8版は2019年12月。
コロナで止まっていたのか、約3年半ぶりの改訂です。

構成は?

全9章88ページ。本文は41ページ程度で、残りは附録です。
恐らく「証拠保全とは?」という問いに対する答えは3~7章であり、その各章にわたって様々な切り口から、時系列っぽく書かれているようです。
私から見た「この章はこの切り口っぽい」をカッコ内に記載しました。

1章 前書き
2章 用語の定義
3章 インシデント発生前の準備
4章 インシデント発生直後の対応(物理的・環境的な保全)
5章 対象物の収集・取得・保全(何のログやデータを、どう保全するのか)
6章 証拠保全の機器(何を用いて、どこに保存するのか)
7章 証拠保全の実施(どうやって元のデータから変わってないことを担保するのか)
8章 アウトソーシングサービスの証拠保全
9章 コミュニケーションツール

7章のタイトルが「証拠保全の実施」なのでじゃあ他の章は準備なのか?と思いきや4~5章でも保全しているし、正直関係に混乱しました。
2017年の第6版まで遡ると、この章のタイトルは「証拠保全作業中・証拠保全作業後」でしたので、その目線で読むと分かりやすいと思います。
今回は3~9章をまとめます。

3章 インシデント発生前の準備

インシデントをどのように検出し、誰から誰に連絡し、どの外部組織に協力を仰ぎながら、どのように原因究明を行い、いつまでに復旧する必要があるのかを事前に整理します。
あわせてインシデント対応の手順を作り、訓練をしておくことも必要です。

また、細かいところですが、証拠保全に必要な資材の準備をしておきます。
例えば梱包材、工具、証拠保全を行うためのPCや外部記憶装置やツール、カメラ、チェックリスト等が挙げられます。
そして準備だけでなく、特に証拠保全ツールは事前に習熟しておく必要があります。

4章 インシデント発生直後の対応

本章は「証拠保全がまだの場合」「証拠保全を誰かが始めている場合」に分けて書かれています。
後者のケースが書かれているために構成的に混乱するのですが、おそらく4章は論理的な証拠保全のためのコマンド実行やデータコピーはまだやっていない前提で読んだほうがよさそうです。
まずインシデントの概観を把握し、ひとまず関係ない人がインシデントに関係する機器(=本書では対象物と表記)に触れないようにした上で、その機器に関する周辺的な情報をメモってます。くらいの物理的・環境的な証拠保全のイメージで読むのがよさそうです。

証拠保全がまだの場合

まずはインシデントの状況把握からです。

  • いつ:システム時計の正確性

  • 何が:情報漏洩やデータ破壊等、インシデントの内容

  • どうやって見つけられたか:不正検知システム、外部からの通報等

  • 発見から初動までに誰かが何かをしたか:ここでは「対象物の確保」と表現していますが、例えばPCがマルウェア感染した場合は、そのPCの確保というイメージかと思います。対象物を誰が、いつ、どこで確保し、その後どう扱ったのか(何か手を加えたのか)を記録します。

次にインシデントが起きた対象物の絞り込みを行います。
PCなのかNW機器なのかスマホなのか。それは何個あるのか。
いつ、どこにあったものなのか、いつ誰が使ったものなのか 等です。
対象物が沢山ある場合は、どれから証拠保全するのか優先順位を付けます。
一つ前の「状況把握」の中に対象物の確保に関する記載があるため、なぜまた改めて「PCなのかNW機器なのか~」の確認が始まるのかここも混乱しましたが、とりあえず確保した機器に過不足がないかを確認していくイメージかなと思いました。

絞り込みができたら証拠保全のための情報収集を行います。
対象物の型番やケーブルの接続状況、セキュリティ設定の内容など、ここでは全部は挙げませんが物理的・論理的な状態に関する情報を極力集めます。
(ここも一部5章と重複するので分かりにくいところです)

証拠保全を誰かが始めている場合

この場合は証拠保全が進んでいるので、それまでの対応に抜け漏れがなかったかをw-chkしていくイメージです。
3章で述べたプロセス自体に不足がないか、実際にどんな証拠保全をやったかを確認します。
不足または不適切な保全状況だった場合はやりなおします。

また、証拠保全の進捗状況に関わらず、スムーズに行うためには場所(広さやセキュリティの確保を含む)や関係組織(CSIRT、SOC、法務担当、監査部門、解析担当など)との連携を確保する必要があります。

5章 対象物の収集・取得・保全

この章では、何を、どんな順序で(消えないように)保全するのかを書いています。

何をとるのかについては、大きく「対象物そのものの中身(本書5-2に相当)」と「その他調査に役立ちそうなもの(本書5-3に相当)」に分けられます。

対象物そのものの中身

まさにインシデントが起きている対象物ですから、現状を壊さないように慎重に扱う必要があります。
対象物がどこにどんな状態で置かれていたかを確認の上、電源をOFFるか判断します。
大きな考え方は「電源OFFは極力やらずにNWから隔離するべきだが、OFFらない限り明らかに被害が拡大する場合は仕方ない」です。

以下、対象物の種類(デスクトップ/ノート/サーバ)と電源の状態(ON/OFF)に分けて説明しています。

デスクトップ/ノートどちらも・電源OFF
対象物が既に電源OFFになっていた場合は、証拠保全のためにMUSTでない限りはONにするなとあります。理由は、ONにすることでファイルのタイムスタンプや内容が変わったり、被害が拡大する恐れがあるためです。
OFFになってるならむしろケーブル類を抜いてしまえと書いています。
(もちろん、適当に抜くのではなく、状況を記録して再現できるようにしながらです)

デスクトップ・電源ON
ONになっている場合は、現場を荒らさないよう静かに情報収集をします。

  • OSの種類やシステム時計の正確性を目視やコマンドで確認

  • メールの設定、ブラウザの設定、プロキシ設定などを確認

  • 画面やプリンタに出ていたものを写真などに記録

  • バックグラウンドで稼働しているプロセスを確認

  • 揮発性情報(メモリダンプ、アプリケーション関連情報)を取得

その上で電源をOFFし、ケーブルを抜いたりWifiやBluetoothを停止します。
なお、以下のように電源をOFFにできない場合があります。

  • メモリ上のデータや通信中のデータを証拠保全する場合

  • HDD暗号化機能(Bitlocker等)を使っている場合

  • OFFにすることでデータの上書きや消去が起こる機器(携帯電話の機種によりありえる)

ノート・電源ON
基本的にはデスクトップと同じですが、電源OFFの前にWifiやBluetoothの設定情報を確認する点が異なります。
また、電源OFFについて、ただ電源プラグを抜いてもバッテリーの力で動きますので、バッテリー自体を外したり、電源ボタンを長押しする必要があります。

サーバ・電源ON
サーバはRAID装置が使われている可能性が高いことが特徴です。
この場合、証拠保全機器でHDDの内容をコピーすると、元の状態とデータが変わってしまう可能性があります。
対策として、元のRAID装置を別のOSで起動して論理ボリューム単位でコピーする必要があります。
あるいは、サーバの停止ができない場合は、業務に影響を与えない範囲でイメージ取得を行うしかないようです。
(このあたりはやったことがないのであまりイメージつかず)

この他、対象物がメディア系などコンピュータでない場合は、
誤廃棄や紛失防止のために札などでしっかり管理する必要があります。
また、対象物のメディアにアクセスする際、認証が求められる場合がありますので、メディアにアクセスしていたPCも抑えておく必要があります。

その他調査に役立ちそうなもの

本書では以下の「ネットワークログ」と書かれていますが、ものによってはネットワークログでないものも含まれている気がします。
現場担当からすると「何のログを取ればいいの?」が最大の悩みであり、この段落が役立ちそうです。
全てを転記すると要約にならないので適当に省きますが、困ったらここを見ればいいと覚えておけばよいです。

  • セキュリティ機器関連
    Proxy、IDS/IPS、ウイルス対策ソフト、VPNソフト、脆弱性管理ソフト、認証サーバ(特にADサーバのイベントログ)、ルータ(特にWi-fiルータ)、Firewall、検疫システムのログ等

  • サーバやPC上のOS関連
    システムイベント、監査記録等

  • Webやメール等のアプリケーション関連
    メールのヘッダ情報やWebアクセス履歴、アカウントの認証ログ等

この他にも対象物のマニュアルも重要で、例えばPCのBIOS起動キーとかHDDの取り外し方法といった情報もメーカーにより異なるため必要です。

6章 証拠保全の機器

ここでは「何を用いて、どこに確保した証拠を保存(保全)するのか」について触れています。

複製先の媒体は、以下を満たすものを選びます。

  • 正常に動作する

  • バイナリレベルで一切のデータが存在しない空っぽの状態である

  • 複製元と同じ容量である(HDDのクリッピング機能等を用いる)

  • 可読性や可搬性がある

証拠保全機器は、以下を満たすものを選びます。

  • 原本に対して書き込み防止機能がある

  • 削除データや隠しデータ、未使用領域などを含めた対象物の全領域を複製できる

  • 複製元に不良セクタがあっても気にせず複製できる

  • 複製元と複製先の同一性を確認できる(ハッシュ値の比較等)

  • 複製作業に関するログや監査証跡を表示、出力できる(使ったデバイスの型番や作業内容の記録等)

証拠保全ツールは、以下を満たすものを選びます。

  • 完全複製(Single Captureやイメージコピー)ができる

  • 対象物のOS上で動かせたり、USB等の外部デバイスから起動できたりする

  • 信頼できる機関(CETTなど)により検証されている

とりあえず経産省「情報セキュリティサービス基準審査登録」やデジタル・フォレンジック研究会の「日本語処理解析性能評価」で認められたものなら大丈夫そうです。

なお、「証拠保全機器」と「証拠保全ツール」の違いは特に明記されていませんが、おそらく前者がハードウェアベース、後者がソフトウェアベースのイメージかなと思います。

7章 証拠保全の実施

ここでも5章の「対象物そのものの中身」と「その他調査に役立ちそうなもの」に分けています。

対象物そのものの中身

証拠保全はデリケートな作業なので、様々な理由で思った通りに複製できていなかったということがありえます。
それを防ぐために、作業時に立会人を付けたり、同一性の検証をしたり、作業内容の記録を取ることを求めています。
また、無事データを複製できた後も、混在や紛失を防ぐために物理的に区分けしたスペースに保管します。
保管時もフォレンジックチーム等へ渡す時も、逐一記録をとりChain of Custodyを確保します。
なお、ここでまた「7-5-3.保全対象の確認」「7-5-4.保全」「7-5-5.同一性の検証」が登場しますが、これまでに触れた保全の話と何が違うのか構成面の意図が読み取れませんでした。

その他調査に役立ちそうなもの

本書の7-6.にあたります。
セキュリティ機器やOS関連のログも取得する際、そのログフォーマットやタイムスタンプは事前にどのような状態になっているか確認が必要です。
これらは量や種類が膨大で全量取ることが困難でしょうから、分析作業を意識しながら必要なログを適宜抽出する必要があります。
例えばフォレンジックやマルウェア解析で判明したIPアドレスやホスト名がある場合、そこへの通信履歴が残ってそうなログを取る、といったイメージです。

本章では最後に「ファスト・フォレンジック」の概念に触れています。
ファスト・フォレンジックは、スピード重視のデータ抽出と解析を指します。
マルウェア側の仕組みが複雑化していることから、証拠保全の丁寧さを重視しすぎると不都合が生じることがあるため、必要最低限のデータだけ確保してスピーディに原因究明や侵入経路の特定を行います。
この際確保する例として以下があります。

Windows OSの場合は、イベントログ、プリフェッチ、レジストリ、ジャーナル、メタデータ、インターネット(ブラウザによる閲覧履歴、メーラ等の設定および送受データ)、メモリ等

8章 アウトソーシングサービスの証拠保全

様々なサービス形態がありますが、話の中心は当然クラウドです。
インシデント対応が始まる前に、各サービス提供者との契約内容やSLAを確認する必要があります。
インシデントが発生後の保全について、オンプレとの違いは以下です。

  • サーバやPC自体を保全することができないため、保全対象がデータやアカウントとなる

  • 保全手法がオンプレとは異なり、クラウドサービス事業者から提供される保全方法を使うことになる(例えばAWSだとスナップショット等)

  • 後日、保全作業を再現できるようにできれば通信パケットを取り、作業記録と時系列に紐づける

  • 保全作業をどんな管理画面から、どんな操作で実行したか詳細に記録する

  • 保全対象データへのアクセス権限が特定の所有者に紐づく場合、保全時に本人の同意を書面で取る

  • サービスの設定項目やCoolie情報、サービス利用履歴の記録をとる

  • 他のユーザとのファイル等の共有機能を持つサービスの場合、状況に応じて共有設定の変更や公開停止を行う

9章 コミュニケーションツール

コロナ以降、働く環境やコミュニケーションツール(Teams等)の利用が拡大したため、これらもフォレンジックの対象になりつつあるようです。
ただ、コミュニケーションツールもクラウドサービスの一種ですし、書いてある内容はほぼ8章と同じに見えました。

感想

本書では、証拠保全の際にただ元データをコピーすればよいだけではなく、完全に元の状態を複製し、それを維持するための注意点を学ぶことができました。
いざという時にこれだけのことをスムーズに進めるのは非常に難しいことですから、機器の準備や習熟、あるいは外部ベンダとの関係構築は本書に書かれている通り、事前に済ませておく必要があります。

ところで、実際のインシデント対応では「止血」「証拠保全」を一気にやる必要があります。
本書では当然ながら止血には触れていませんので、実際のインシデント対応時の動きはその点を脳内補完しながら読む必要があります。そうでないと止血せずに機器の型番やケーブルの状態を控えるような偏った動きになりそうです。

本書は13年間も改版を重ねている歴史あるものですが、率直な感想としてもっと詳しく・分かりやすくなるといいなと思いました。
残念ながらとにかく構成が分かりづらく、結局証拠保全の全体像のうちどの順で考えるべきかを理解するために何度も行き来してしまいました。
また、まだまだオンプレの物理機器を前提としたレガシーな環境が前提であるように思えますので、今後は8~9章の詳述化に期待したいところです。

加えて、ファスト・フォレンジックについても一部触れられていましたが、最近はEDRで収集済のログからファスト・フォレンジックを行うベンダが出てきています。こうしたサービスでも調査には十分事足りるのか、本書で書かれているディスクフォレンジックのための証拠保全と比べた場合に何を諦めなければならないのかは興味があるところです。

最後に、セキュリティ担当は各システム担当から「結局何のログを取っておけばいいの」「証拠保全は何を確保すればいいの」と必ず問われます。
更に粒度の細かい製品レベル、ログの種類レベルの情報は別途整理が必要であると感じました。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?