Transcript Network Forensicを考える

“Ｎｅｔｗｏｒｋ Ｆｏｒｅｎｓｉｃ”を考える
ふたぎ まさあき
Ｆｏｒｅｎｓｉｃ Ｓｃｉｅｎｃｅ
 科学的な犯罪捜査技法
科学的な技法を駆使した事実の解明、証明
心理学的手法を応用した犯人のプロファイリングや動機の
解明
・・などなど
 サイバー犯罪の場合
Forensic を行うためには、コンピュータやネットワークに関
する技術を駆使する必要がある
 Cyber Forensic Science とでも呼ぶべき？
• コンピュータ自体に関するもの (Computer Forensic ?)
• ネットワークにまたがるもの (Network Forensic ?)
Network Forensic を定義してみました
ネットワーク上で行われた行為を立証、解明
するための技術・技法
Computer Forensic と併せて、いわば Cyber
Forensic とでも称すべきものの一部
誰が、何を、なぜ、いつ、どこで、どのように・・（５Ｗ
１Ｈ）を明らかにするための材料集め、分析の手法
ネットワーク上に分散したデータから情報を再現・
抽出するデータマイニング技法
得られた情報をもとにした分析、調査の技法
Network Forensic の対象と手法
必要な情報を何から得るか
各種のログ
ファイアウォール、各種ネットワーク機器、サーバ、アプリ
ケーションなどが出力するログ
モニタリングデバイスの記録
IDS, パケットキャプチャデバイス
分析の手法
データマイニングと統計的処理、アノマリー分析
関連性（相関）分析
通信（セッション）の再構築・再現
情報ソースと得られる内容の例（１）
 ファイアウォールのログ（セッションログ含む）
特定の発信元から特定の相手先への通信の事実
 時刻、発信元、宛先、サービス、データ量
特定発信元の通信の傾向
 プロトコルの利用頻度、宛先別通信頻度
 通信拒否（許可されない通信の試行）の事実と頻度、宛先など
の傾向
 一部の不正な形式の通信の事実（IP詐称、不正形式のパケッ
トなど）
 アプリケーションＧ／Ｗの場合、得られる情報はさらに多い。
（URL別アクセス頻度、メール宛先、発信元の傾向など）
ファイアウォール管理機能へのアクセスと設定変更などの
事実
情報ソースと得られる内容の例（２）
各種サーバログ
アクセス傾向、アクセスや認証の成功、失敗の事
実
ネットワーク機器
トラフィック傾向、（場合によってはF/Wと同様の情
報）、認証の成功、失敗、管理機能へのアクセスや
設定変更の事実）
認証サーバ
認証の成功、失敗、各機器やホストへのアクセス
傾向、頻度
アノマリーの発見
比較的長期間にわたる傾向を多面的に分析
得られた傾向とは異なる事象を抽出
普段アクセスしない相手へのアクセス
普段アクセスされない相手からのアクセス
普段利用していないサービスの利用
普段利用しない時間帯での利用
多すぎるアクセス頻度、少なすぎるアクセス頻度
多すぎる通信量、少なすぎる通信量
・・・・など
関連性（相関関係）の発見
時間的関連性
時間をおいて発生している複数の事象が、ひとつ
の行為に起因している場合がある
空間的関連性
異なる場所（機器）で発生した複数の事象が、ひと
つの行為に起因している場合がある
統計的関連性
異なる方法で独立的に収集された「傾向」の間に相
関関係が存在するばあい、これらの傾向は同じ原
因を持つ可能性がある
ツールの利用
 ログ解析、アノマリー発見
ファイアウォール、Webサーバなど用には市販品が利用可
能。（傾向分析などの機能がある）
自前のプログラムまたはスクリプト
 関連性の分析
ＳＩＭ（Security Information Management）ツールの利用
 リアルタイム監視、関連性分析機能
 データベースによるセキュリティイベント情報の統合管理
 リプレイ、フォレンジックモードを使った関連性の検索機能は
Network Forensicにとっても有用
 広い範囲でのアノマリー検出も可能
モニタリングデバイスとForensic
モニタリングを行うことの意味
「監視している」ということの抑止力
「監視しています」宣言＝ （ＳＥ＊ＯＭ，Ｓ＊Ｋなどのシー
ルを張るのと同じ）
侵入センサ＝ＩＤＳ
監視カメラ＝パケットキャプチャデバイス
事件発生時のより詳細な情報取得
IDS = 手口の解明の手がかり
パケットキャプチャデバイス＝セッションや状況の再現
ログのマイニングよりも、より積極的な情報保存策＝これ
だけで相当量の情報が得られる
パケットキャプチャデバイス
 最近、「フォレンジックサーバ」と称する製品が多い
誤解のもとではあるが、間違いとまでは言えない？（かどう
かは持っている解析機能次第か・・・）
 可能な限りすべてのパケットを記録する
ネットワークアナライザの延長線上にあるようなデバイス
高速のキャプチャH/Wと大容量のストレージから構成される
キャプチャしたパケットからセッションの再構築や傾向分析
が可能
製品によっては、キャプチャデータを疑似トラフィックとして出
力したり、ＩＤＳに与えて攻撃検索が可能
ＩＤＳとパケットキャプチャの使い分け
 IDS
 リアルタイムな監視が主体
 高速ネットワークでは見落としの可能性もあり
 限定的な「記録」
 パケットキャプチャ
 データをすべて「記録」することが主目的
 リアルタイムな解析能力には限界（高速性を最重視）
 高速ネットワークでは記録時間と精度に制約
 「あとからじっくり解析」する用途向き
 検出はIDS、状況掌握はパケットキャプチャ
 IDSをトリガとしたキャプチャ
 リプレイデータに対するIDSの適用
 コンテンツの再現
キャプチャデバイスとForensic
監視カメラで何ができるか
限定された解像度の範囲での事実の記録
（すべてを記録できる（する）わけではない点に留
意）
キャプチャデータに対するForensicとは
具体的な事実（通信と内容）の検索、再現
過去にさかのぼった傾向分析と関連性、アノマリー
の発見
Network Forensic とは
Network 上に分散した情報から事実を検証
する「技法」
情報はいたるところにある
重要な点は、それらの情報を、いかに分析す
るか
Network Forensic に関連する法律的危惧
大量のログ、キャプチャデータに含まれる情
報の取り扱い
うまくマイニングすれば「個人情報」「センシティブな
情報」が得られる可能性が高い＝（どう管理するか
は重要な課題であると同時に、コンプライアンスマ
ターになってくる可能性もある？）
「著作物」が記録されてしまう可能性があること
なんらかの「事件」が起こった場合に、これらが差し
押さえられる可能性がある？
これらのデータは、「証拠」になりうるのか？
管理面での留意事項
 データ管理基準（ポリシー）の作成と遵守
 データの管理方法（取得、保存、廃棄の方法、アクセスの制限）、機密の保持
方法、利用範囲とその解析方法などをきちんと定め文書化して遵守する。
（特にセンシティブな情報や著作物を含む可能性のあるログなどの扱いは不
正使用の禁止を含めて厳密に規定しておく）
 データにアクセスできる人を必要最小限に限定する
 運用の状況を常時掌握しておく
 日々の運用記録をきちんと残す。（動作状況、障害状況、設定変更、その他）
 Forensic を行った場合は、その過程を必ず記録に残す。また、可能な限り複
数の人間で作業を行う。（相互確認）
 データを適宜保全可能にしておく
 ログやキャプチャデータはリムーバブルなディスクに保存（ログは集中管理が
理想）
 ディスクの複製装置を用意しておくとベター（原本保存用）＝解析前にコピー
して原本は厳重に保管
結論・・めいたもの
Cyber Forensic としてとらえるべき
Computer Forensic と Network Forensic は運用
面で共通する考え方も多く、内容としては相互に補
完的である
セキュリティインシデントの解明を考える場合、一
方だけでは不十分な場合が多い
いずれも多くのツールや情報源が存在するが、「何
をつかうか」は「何をみつけたいか」に依存する。
（ Forensic は「ツール」にあらず）