第99号コラム「次世代のフォレンジック調査に求められるもの」
第99号コラム:伊原 秀明 氏(株式会社Ji2、IDF会員)
題:「次世代のフォレンジック調査に求められるもの」
このコラムに初めて寄稿させていただくということもあり、真面目に次世代の要件について考慮した内容をと考えておりましたが、いざできあがった内容が面白くなかったことと、配信日が4/1のエイプリルフールということですので、以下エイプリルフールのネタということでご笑納いただければと思います。
以下、エイプリルフールのネタで本当のプレスリリースではありません—
株式会社Ji2は、本日(4月1日)国産としては初の本格的なコンピュータ・フォレンジックツールとして『Kani Case Ver1.0』をリリースいたしました。“Kani Case”は次世代のフォレンジック調査に必要となる様々な強力な機能を捜査官に提供します。“Kani Case”で提供される次世代型のフォレンジック機能には以下が含まれています。
(1)デスクトップ画面の仮想化
証拠イメージからOSを起動する方法としては、VMwareなどの仮想化環境が使われてきましたが、証拠イメージから正常にOSを起動できないケースや、起動できた場合でもOSのアクティベーションの影響を受けてしまうなど、十分に調査に役立てることができませんでした。そこで、仮想環境において証拠イメージ内のOSを起動するのではなく、すでに仮想環境内で起動中のOSから、証拠イメージにあるユーザーのレジストリファイルなどを読み取ることで、その情報を元に仮想環境上でユーザーのデスクトップ画面だけを再構築します。これにより、コンピュータの利用者が操作していたのと同じ“見た目”を再現することが可能です。デスクトップの壁紙や配置されているアイコン、最近使ったファイルの一覧、さらにインストールされているプログラムを実行した場合、その要求は自動的に証拠イメージ内のプログラム実行のパスに置き換えられて仮想環境のOS内で起動します。
この仕組みは、すでに起動している仮想環境上のOSからファイルシステムへのアクセスを、全て証拠イメージ内のパスへと強制的に置換することで実現されています。
(2)“以前のバージョン”への対応
Windows Vista以降のWindowsではVolume Shadow Copy Service(VSS)により、システムが保護されています。VSSにより作成される“以前のバージョン”へアクセスするにはこれまで煩雑な手順が必要とされてきました。しかし、ツール上から証拠イメージに含まれる任意のスナップショットを選択するだけで、“以前のバージョン”へのシームレスなアクセスが可能になります。また、従来はスナップショットファイルが削除された状態になっている場合、そのスナップショットを再利用することが困難でしたが、削除状態にあるスナップショットについても現在のファイルシステムとのマッピングを可能にしています(既知の制限事項として、削除されたスナップショットを利用した場合、ファイルシステムが不完全な状態になります)。これにより、意図的にスナップショットファイルが破棄されたケースでも、それらのスナップショットファイルを利用した“以前のバージョン”へのアクセスを可能としています。
(3)インデックスエンジン
1TBのデータを24時間で形態素解析とN-Gramの両方式によるインデックスが可能です。捜査官は必要に応じて形態素解析によるキーワード検索でも、N-Gramによるキーワード検索でも任意の方法でキーワード検索することが可能です。いずれの方式においても、半角・全角などは正規化され、半角全角の区別なくキーワード検索することが可能です。
さらに、調査時にインデックスを作成する時間的な余裕がないケースでは、Windows 7以降のOSが標準で作成しているWindows検索のインデックスデータベースを再利用することも可能です。これは、調査対象のコンピュータがWindows 7以降の場合、証拠イメージに含まれているWindows検索のインデックスファイルを、そのまま検索に利用することによりインデックス検索を即時に可能とします。証拠イメージ内にあるインデックスデータベースをそのまま利用することにより、すでにインデックスが構築されている文書ファイルや電子メールを簡単に証拠イメージ内から検索することができます。
(4)バイナリインデックス機能
通常の文書ファイルや電子メールファイルではなく、バイナリファイル(Pagefile.sys, Unallocated Clusters, Memory Image)の中にある文字列をインデックスして検索可能にします。従来はバイナリ検索が一般的でしたが、最新のリーフキットテクノロジーを採用することで、バイナリファイル内にある文字列(文字コード)の識別・Unicodeへの変換と抽出が自動的に実行され、N-Gramによるインデックスが構築されます。捜査官はバイナリファイルについても通常の文書ファイルと同じようにキーワード検索することができます。
(5)自動翻訳機能
画面に表示されている文字列は、Internet上で公開されているオズ翻訳エンジンを利用して対応する言語へと翻訳することができます。トランスレーションタブを利用すれば、予め指定した言語に自動的に翻訳され、トランスレーションタブへ切り替えるだけで指定した言語による閲覧が可能になります。
(6)オブジェクトタイムライン
時系列(タイムライン)をオブジェクト単位で構築することができます。捜査官が注目したオブジェクトをタイムラインマップにドラッグ&ドロップすると、そのオブジェクトに関連したオブジェクトが、グラフィカルにマッピングされます。このマッピングはタイムスタンプを基準にすることができ、3D表示されます。例えば、あるファイルのタイムスタンプを基準に、同時間帯で変化したオブジェクトをマッピングした場合、前後関係は3Dに表示されます。より新しい時間を持つオブジェクトは手前に、古いタイムスタンプは奥に表示され、同じ時間のオブジェクトは横に展開されます。タイムスタンプの解析は、FTEテクノロジーによりナノ秒単位まで識別され高精度なタイムラインが作成されます。
また、このビューではオブジェクトの関連性についてもマップすることができます。例えばある画像ファイルをタイムラインマップに投入すると、その画像ファイルと同じタイムスタンプを持つ画像がマッピングされると共に、それらが添付されていた電子メールがマッピングされ、その電子メールの送信者名がコンタクト情報にあれば電子メールからコンタクト情報へとマッピングされます。これにより捜査官はオブジェクトの種類を意識することなく、タイムスタンプと関連性を基準に調査を進めることが可能になります。
ここまで記載した機能は、筆者が個人的に欲しいと考えている(妄想している)機能で、残念ながら現時点でこれらを実装しているコンピュータ・フォレンジックツールは存在していません、もちろんJi2で密かに開発が進められているわけでもありません。
しかし、これらの機能は技術的にはまったく不可能ということではなく、この機能はこうすれば簡単に実現できるはず、と読みながら考えられた方もいらっしゃるのではないかと思います。また、近い将来には、既存のフォレンジックツールで対応される項目も幾つかあると予測しています。特にVSS関連は海外でも注目されている項目ですので、いずれ対応するのではないかと思います。
これまでは、主に海外製品に頼ってきたコンピュータ・フォレンジックの解析ツールですが、次世代においてはぜひ国内での技術的な研究が進み、新たな国産の解析用ツールが登場してくることを個人的には期待しています。
【著作権は伊原氏に属します】