概要

デジタルフォレンジクス(Digital Forensics)は、インシデント発生後に、デジタルデバイスから証拠となるデータを収集・保全・分析する技術・手続きです。SC試験では「どの順番で証拠を収集するか」「証拠の完全性をどう担保するか」が頻出です。

仕組みと動作原理

証拠収集の揮発性順序(RFC 3227)

デジタル証拠は揮発性(失われやすさ)が高い順に収集します。

優先順位証拠の種類
1(最高)CPUレジスタ・キャッシュ現在実行中のプロセス状態
2ルーティングテーブル・ARPキャッシュネットワーク接続状態
3メモリ(RAM)実行中プロセス・復号された鍵・パスワード
4一時ファイル・スワップ領域ページファイル・TEMP領域
5ストレージ(HDD/SSD)ファイルシステム・ログ
6(低)リモートロギング・モニタリングデータSIEMログ等
7(最低)アーカイブメディアバックアップテープ

チェーンオブカストディ(CoC / 証拠管理記録)

証拠が誰が・いつ・どこで・何のために取り扱ったかを記録し、証拠の改ざんがないことを証明する管理手続きです。

記録すべき項目:

  • 証拠の収集日時・収集者
  • 証拠の移送日時・移送者・移送先
  • 証拠のハッシュ値(収集時と分析時で一致確認)
  • 保管場所・アクセス記録

ハッシュ値による完全性保証

1. 収集時に証拠データ(ディスクイメージ等)のハッシュ値を計算(SHA-256 等)
2. ハッシュ値を記録・署名
3. 分析時に再度ハッシュ値を計算
4. 両ハッシュ値が一致 → データが改ざんされていないことを証明

デジタルフォレンジクスの主な手法

手法説明
ディスクイメージ取得ビット単位のコピー(削除ファイルも含む)
メモリダンプRAM の内容を丸ごとファイルに保存
ネットワークフォレンジクスパケットキャプチャの分析
ログ分析OSログ・アプリログ・ネットワーク機器ログの相関分析
タイムライン分析ファイルのMACtime(更新・アクセス・作成時刻)から時系列を再構成

ライブフォレンジクス vs デッドフォレンジクス

ライブフォレンジクスデッドフォレンジクス
対象電源ON状態のシステムシャットダウン後のディスク
取得可能な証拠揮発性データ(RAM・ネット接続等)を含む不揮発性データのみ
リスクフォレンジクスツール実行がデータを汚染する可能性揮発性データは失われる
SC試験での扱いランサムウェア感染時などの対応で出題一般的なHDD調査で出題

SC試験での頻出ポイント

  • 揮発性の高い証拠から収集する理由:電源断や時間経過でデータが失われるため
  • チェーンオブカストディの目的:法的証拠として提出する際の証明力を担保するため
  • ハッシュ値の役割:デジタルデータは完全に同一のコピーを作れるため、ハッシュ値で「オリジナルから変わっていないこと」を証明
  • ランサムウェアインシデント対応での注意点:シャットダウン前にメモリダンプを取得することで復号鍵を取得できる場合がある
  • フォレンジクス専用ツール:Autopsy・Volatility(メモリ解析)・Wireshark(パケット解析)などが午後問題の事例で登場

よくある誤問・ひっかけパターン

誤り① 「インシデント発生時は速やかにサーバの電源を落とすべき」→ 。揮発性データ(RAM)が失われるため、まずメモリダンプなどライブフォレンジクスを実施します。

誤り② 「ディスクのコピーはファイルを選んでコピーすればよい」→ 。削除ファイルや未割り当て領域のデータも証拠になり得るため、ビット単位のフルイメージ(フォレンジックコピー)が必要です。

誤り③ 「ハッシュ値が同じなら証拠は改ざんされていない」→ 前提あり。使用するハッシュ関数が安全であることが前提。MD5 は衝突攻撃が実証されているため法的証拠には SHA-256 以上を使うべきです。

関連用語

重要キーワード

用語説明
揮発性順序失われやすいデータ(RAM等)から先に収集するフォレンジクスの原則
チェーンオブカストディ証拠の取り扱い者・経緯を記録して証明力を担保する管理手続き
フォレンジックコピー削除領域も含むビット単位の完全な複製(通常のコピーとは異なる)
MACtimeファイルの更新(Modified)・アクセス(Accessed)・作成(Changed)の3つのタイムスタンプ
メモリダンプ実行中のRAM内容を丸ごとファイルに保存する手法
ライブフォレンジクス電源ON状態で揮発性データを含む証拠を収集する手法