第2号コラム「書込み防止装置について」

第2号コラム:松本 隆 理事(ネットエージェント株式会社)
題:「書込み防止装置について」

5/19(月)のデジタル・フォレンジック研究会定例総会において追加新任理事に推挙頂いておりますネットエージェント株式会社の松本と申します。どうぞよろしくお願いします。

 

さて、私は現在フォレンジック調査部という部署で、クライアントからお預かりしたハードディスクから不正侵入や情報漏えいの痕跡などを解析しレポートするという業務を主として行っています。

調査を行う際によく、「秋葉原などで販売されている、書き込み防止機能の搭載された外付けハードディスク接続アダプタと、専門の会社が使っている書き込み防止装置とはどこが違うの?」という質問を頂きます。

書込み防止装置とは、ご存知の通り読み取り専用の状態でディスクにアクセスするための装置です。調査対象のハードディスクに対する書き込みを禁止することにより、原本の状態を損なうことなくデータの確認や、保全作業を行うことが可能になります。

しかし、カタログに記載された機能面だけを比較すると、量販店などで販売している安価な装置と違いがないように見える、というご指摘です。

 

書込み防止の技術には2つの考え方があります。

ひとつは、Write Block。もうひとつはWrite Protectです。

Write Blockは、フォレンジックの分野で利用されている書込み防止装置に通常搭載されている機能です。調査端末と調査対象ハードディスクの間にはさみこむ形で接続し、調査対象ハードディスクへの書き込み信号をブロックします。

ただし、この装置は単純に書き込み信号をブロックするだけではなく、調査端末には「書き込みが成功している」という結果を返し、余計なエラーで調査端末に影響が出ないような処理も同時に行っています。

書き込まれたという情報は、調査端末のメモリ上にキャッシュされ、一見、書き込みが成功したかのように見えますが、実際には調査対象ハードディスクには書き込まれていません。

 

もうひとつのWrite Protectは、調査端末から調査対象ハードディスクへの書き込み信号に関しては、同様にブロックしますが、書き込み成功のダミー信号を調査端末に返しません。

その結果、調査端末には、「調査対象ハードディスクに書き込み信号を発信したけれども書き込みできなかった」というエラーが都度表示されます。

このモードは調査員が、書き込み信号やブロックの確認を行ったり、書き込み防止の記録を取りたい場合などに用いられます。

 

もしお手元に書き込み防止機能を持った装置がありましたら、実際に機器を接続し、テスト用ハードディスクに対して書き込みを行ってみてください。その装置がどちらの方式を取っているかに関しては、先ほど述べた書き込みエラーの有無により判断が可能です。

調査する側の立場としましては、この2つのモードを状況に応じて切り替えて利用したいというのが本音ですが、私の知る限り、ハードウェア形式の書込み防止装置でこれらのモードが切り替え可能な装置はほとんど見たことがありません。

 

そして、「もし仮に機能的に同じであれば、どのような装置を用いて書込み防止を行ってもかまわないか?」と聞かれれば、私は「フォレンジック調査に用いる目的であればNo」という回答をしています。

 

なぜなら、調査案件で証拠の同一性が論点となった場合に、書込み防止装置の性能や信頼性において、明確に回答することが可能な製品であるか、ということを考えなくてはならないからです。

われわれ調査員は、書込み防止装置の製品仕様は理解していても、製品を利用することによって生じる結果に関しては保障することはできません。

そのため、対象の書込み防止装置を、取扱説明書に従って操作をした結果、確実に期待する結果を得られるという機能証明を、場合によってはメーカーに求めることになります。

 

この要求に対して、明確に回答していただける製品でなければ、フォレンジックの目的でその書込み防止装置を使用することはできません。

このあたりの事情は、フォレンジック機器を取り扱う専門メーカーであれば(特に国内のメーカーであれば)、ある程度理解し対応していただけます。私どもが調査に利用しているGuidance SoftwareのFastBlocFEや株式会社ワイ・イー・シーの取り扱う機器などは、この機能証明や明確な支援が得られる製品です。

このコラムを書くにあたって、とある書き込み防止機能付きハードディスク接続アダプタのメーカーに事情を説明し、機能証明のようなものを発行いただけるかと確認したところ、「機器の本来の用途はあくまで外付けハードディスク接続アダプタであり、書込み防止機能は一時的なものであるので、機能証明は発行できません」という回答をいただきましたが、これは機器の本来の目的を考えると当然だと思います。

 

ただし、海外の専門メーカーは機能証明書という形をあまり好まず、「NIST(project at the National Institute of Standards and Technology)の検証結果を見てくれ」「リーガルジャーナルを確認してくれ」という対応の場合もあります。

このあたりはお国柄というところで、NISTなどの検証結果が、第三者機関の機能証明として認知されているということでしょうか。

このあたりのお話は5月の技術分科会でも取り上げさせていただければと考えていますので、興味をもたれた方はぜひ分科会の方にも足を運んでいただければと思います。

 

最後に、代表的な書込み防止装置について簡単にご紹介いたします。これらの装置はNIST内のComputer Forensics Tool Testing (CFTT)Project のHardware Write Blockというカテゴリでテスト結果が公開されており、フォレンジック用途で利用する機器を選定する際に機能の確認、比較が可能な製品です。

このサイトには他にも有用な情報が公開されていますので、まだ確認したことのない方がいれば、ぜひ一度訪れてみてはいかがでしょうか。

 

  • FastBloc FE

メーカー:Guidance Software, Inc.

対応インターフェース(ドライブ側):IDE,SATA,microdrives,PCCARD(PCMCIA)

複数のインターフェースを一つの製品で兼ねています。ただし、2.5インチ、1.8インチ、microdrives、PCCARDはアクセサリにて対応しています。

 

  • ImageMasster DriveLockシリーズ

メーカー:Intelligent Computer Solutions, Inc.

対応インターフェース(ドライブ側):IDE,SATA,Card Reader

2.5インチ及びSATAに関してはアクセサリにて対応しています1.8インチの対応に関しては、メーカーに問い合わせておりますが、2008年5月7日時点では確認が取れておりません。Card Readerに関しては別製品となります。

 

  • UltraBlockシリーズ

メーカー:Digital Intelligence

対応インターフェース(ドライブ側):IDE,SATA,eSATA,SCSI,USB,Card Reader

ULTRABLOCK eSATA IDE / SATA は複数のインターフェースを一つの製品で兼ねています。それ以外の製品に関しては基本的にインターフェース毎の別製品となります。

また、ULTRABLOCK SCSIはSCSI対応の製品です。

 

  • Forensic Bridgeシリーズ

メーカー:Tableau, LLC

対応インターフェース(ドライブ側):IDE,SATA,eSATA,SCSI,USB

2.5インチ、1.8インチはアクセサリにて対応しています。別売りアダプタとしてCard Reader(USB)も販売しており、間接的にCard Readerの対応も可能のようです。Forensic SCSI BridgeはSCSI対応の製品です。ただし基本的にインターフェース毎の別製品となります。

 

  • Forensic ComboDockシリーズ

メーカー:WiebeTech

対応インターフェース(ドライブ側):IDE,SATA,microdrives,PCCARD(PCMCIA)

複数のインターフェースを一つの製品で兼ねています。ただし、2.5インチ、1.8インチ、microdrives、PCCARDはアクセサリにて対応しています。

最新版(V4)ではHPA/DCO detection機能が搭載されているとのことで、まだ検証していませんが、これは非常に楽しみな機能です。

 

【著作権は、松本氏に属します】