コンピュータ侵害の調査は犯罪現場の捜査に似ています。 刑事が証拠を集め、不審な手がかりを書き留め、損失と損害の目録をとります。 コンピュータ感染の解析は攻撃が発生した時点でも事後 (攻撃後)でもできます。
不正アクセスされたシステムにあるシステムログファイルは信用しない方が無難ですが、解析に役立つ他のフォレンシックユーティリティがあります。これらツールの目的や機能は さまざまですが、一般的にメディアのビットイメージコピーを作成、イベントとプロセスを 相関して、低レベルのファイルシステム情報を表示、可能な限り削除されたファイルを 回復します。
また、以下の例のように、scriptコマンドを使用して 感染したシステムに対して実行した調査動作をすべて記録しておくのも良い考えです。
script -q <file-name> |
<file-name>には、scriptログ用の ファイル名を入れてください。ログファイルは必ずメディアに保存し、 感染したシステムのハードドライブには保存しないようにします。— これを行なう場合、特にフロッピーディスクがいいでしょう。
動作のすべてを記録することによって、監査の痕跡が作成され、攻撃者が捕まった場合に役に立ちます。
メディアのビットイメージコピーの作成は適切な最初のステップです。 データフォレンシック作業をしている場合には必要条件となります。 コピーは2つ作成することをおすすめします。1つは解析と調査用に、2つ目は 法的な手続きにおける証拠原本として保存しておきます。
Red Hat Enterprise Linux のcoreutilsパッケージの一部、ddコマンドを使って、調査の証拠として、あるいは信頼できるイメージとの比較のために、不正アクセスされたシステムのモノリシックイメージを作成します。イメージしたいシステムからの単一ハードドライブがあると仮定します。 そのドライブをスレーブとしてシステムに装着し、それからdd を使用して以下のようなイメージファイルを作成します。
dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1 |
このコマンドは速度1kブロックサイズを使ってimage1という 名前の単一ファイルを作成します。conv=noerror,syncオプションは 疑わしいドライブに不良セクタが発見されてもddがデータを読み込み、 ダンプし続けるように強制します。これで作成したイメージファイルを調査できるようになり、 また、削除されたファイルの回復を試してみることもできるようになりました。
デジタルフォレンシックとその解析に関するテーマは実に広く、 そのツールもほとんどがアーキテクチャ固有で、一般的には適用できません。 しかし、インシデントレスポンス、解析、復旧などは重要なテーマとなります。 適切な知識と経験を用いれば、侵害後のレスポンスや復旧を実施するための数種のユーティリティ が入った Red Hat Enterprise Linux はこの種の解析を行なうための優秀なプラットホームとなります。
表10-1 ではファイルの監査と管理用の 数種のコマンドを説明しています。また、ファイルとファイルの属性(アクセス権とアクセスした 日付など)を正しく見分けるために使用できる範例をリストアップしていますので、 解析のためさらに証拠やアイテムを収集することができます。これらツールは、 侵入検知システム、ファイアウォール、強化サービス、その他セキュリティ対策と 組み合わせると、攻撃発生時に起こりうる損害を軽減するのに役立ちます。
![]() | 注記 |
---|---|
各ツールについての詳細は、該当の man ページを参照してください。 |
コマンド | 機能 | 範例 |
---|---|---|
dd | ファイルとパーティションのビットイメージコピー(またはdisk dump) を作成。md5sumsによる各イメージの検査と組み合わせて、管理者は、サムが合致するかどうか、 侵害前のパーティションまたはファイルのイメージと、システム侵害後のそれを 比較することができます。 | dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt |
grep | 役に立つ文字列(テキスト)情報をファイルやディレクトリ内で検索すると共に、アクセス権、スクリプトの変更、ファイルの属性、その他を明らかにする。 ls、ps、ifconfig などのコマンドからパイプされるコマンドとしてよく使われる。 | ps auxw |grep /bin |
strings | ファイル内の表示可能なキャラクタの列を表示。不明なアドレスへのmail コマンドまたは非標準のログファイルへの記録などの異常に関して実行可能ファイルを監査するのに 非常に便利。 | strings /bin/ps |grep 'mail' |
file | 形式、エンコード、(あれば)リンクするライブラリ、ファイルタイプ (バイナリ、テキスト、その他)に基づいてファイルの特性を確定。 /bin/lsなどの実行可能ファイルが静的なライブラリを使用して 変更されているかどうかを限定するのに便利。 これは、実行可能ファイルが悪意あるユーザーによってインストールされたものと置き換えられている という明らかな形跡になる。 | file /bin/ls |
find | 特定ファイルをディレクトリで検索。キーワード、アクセスの日付と時刻、アクセス権、 その他でディレクトリ構造を検索するのに 便利なツール。 管理者が特定のディレクトリまたはファイルの全般システム監査を行なうのにも役立つ。 | find -atime +12 -name *log* -perm u+rw |
stat | 最後にアクセスされた時間、アクセス権、UIDとGIDビットの設定、その他など、 ファイルに関するさまざまな情報を表示。侵害されたシステムの実行可能ファイルが最後に 使用された時刻、または最後に変更が加えられた時刻をチェックするのに便利。 | stat /bin/netstat |
md5sum | md5ハッシュアルゴリズムを使用して128ビットのチェックサムを算出。 コマンドを使って、セキュリティ感染でよく変更若しくは置換される重要な実行可能ファイルをすべてリストアップするテキストファイルを作成する。そのサムをファイルへリダイレクトしてチェックサムの簡単なデータベースを作成してから、 そのファイルをCD-ROMなどの読み取り専用メディアにコピーする。 | md5sum /usr/bin/gdm >>md5sum.txt |
表 10-1. ファイル監査ツール