10.4. インシデントを調査する

コンピュータ侵害の調査は犯罪現場の捜査に似ています。刑事が証拠を集め、不審な手がかりを書き留め、損失と損害の目録をとります。コンピュータ感染の解析は攻撃が発生した時点でも事後(攻撃後)でもできます。

不正アクセスされたシステムにあるシステムログファイルは信用しない方が無難ですが、解析に役立つ他のフォレンジックユーティリティがあります。これらツールの目的や機能はさまざまですが、一般的にメディアのビットイメージコピーを作成、イベントとプロセスを関連づけて、低レベルのファイルシステム情報を表示、可能な限り削除されたファイルを回復します。

また、以下の例のように、scriptコマンドを使用して感染したシステムに対して実行した調査動作をすべて記録しておくのも良い考えです。

script -q <file-name>

<file-name>には、scriptログ用のファイル名を入れてください。ログファイルは必ず他のメディアに保存し、感染したシステムのハードドライブには保存しないようにします。— これを行なう場合、特にフロッピーディスク又は CD-ROM がいいでしょう。

動作のすべてを記録することによって、監査の痕跡が作成され、攻撃者が捕まった場合に役に立ちます。

10.4.1. 証拠となるイメージを収集する

メディアのビットイメージコピーの作成は適切な最初のステップです。データフォレンジック作業をしている場合には必要条件となります。コピーは2つ作成することをおすすめします。1つは解析と調査用に、2つ目は法的な手続きにおける証拠原本として保存しておきます。

Red Hat Enterprise Linux のcoreutilsパッケージの一部、ddコマンドを使って、調査の証拠として、あるいは信頼できるイメージとの比較のために、不正アクセスされたシステムのモノリシックイメージを作成します。イメージしたいシステムからの単一ハードドライブがあると仮定します。そのドライブをスレーブとしてシステムに装着し、それからddを使用して以下のようなイメージファイルを作成します:

dd if=/dev/hdd bs=1k conv=noerror,sync of=/home/evidence/image1

このコマンドは速度 1k ブロックサイズを使ってimage1という 名前の単一ファイルを作成します。conv=noerror,syncオプションは疑わしいドライブに不良セクタが発見されてもddがデータを読み込み、ダンプし続けるように強制します。これで作成したイメージファイルを調査できるようになり、また、削除されたファイルの回復を試してみることもできるようになりました。

10.4.2. 侵害後の情報を収集する

デジタルフォレンジックとその解析に関するテーマは実に広く、そのツールもほとんどがアーキテクチャ固有で、一般的には適用できません。しかし、インシデントレスポンス、解析、復旧などは重要なテーマとなります。適切な知識と経験を用いれば、侵害後のレスポンスや復旧を実施するための数種のユーティリティが入った Red Hat Enterprise Linux はこの種の解析を行なうための優秀なプラットホームとなります。

表10-1 ではファイルの監査と管理用の数種のコマンドを説明しています。また、ファイルとファイルの属性(アクセス権とアクセスした日付など)を正しく見分けるために使用できる範例をリストアップしていますので、解析のためさらに証拠やアイテムを収集することができます。これらツールは、侵入検知システム、ファイアウォール、強化サービス、その他セキュリティ対策と組み合わせると、攻撃発生時に起こりうる損害を軽減するのに役立ちます。

注記注記
 

各ツールについての詳細は、それぞれ該当の man ページを参照してください。

コマンド機能範例
ddファイルとパーティションのビットイメージコピー(またはdisk dump)を作成。md5sumsによる各イメージの検査と組み合わせて、管理者は、サムが合致するかどうか、侵害前のパーティションまたはファイルのイメージと、システム侵害後のそれを比較することができます。 dd if=/bin/ls of=ls.dd |md5sum ls.dd >ls-sum.txt
grep役に立つ文字列(テキスト)情報をファイルやディレクトリ内で検索すると共に、アクセス権、スクリプトの変更、ファイルの属性、その他を明らかにします。 lspsifconfigなどのコマンドからパイプされるコマンドとしてよく使われます。ps auxw |grep /bin
stringsファイル内の表示可能なキャラクタの列を表示。不明なアドレスへのmail コマンドまたは非標準のログファイルへの記録などの異常に関して実行可能ファイルを監査するのに非常に便利です。strings /bin/ps |grep 'mail'
file形式、エンコード、(あれば)リンクするライブラリ、ファイルタイプ (バイナリ、テキスト、その他)に基づいてファイルの特性を確定します。/bin/lsなどの実行可能ファイルが静的なライブラリを使用して変更されているかどうかを確定するのに便利です。これは、実行可能ファイルが悪意あるユーザーによってインストールされたものと置き換えられているという明らかな印でしょう。file /bin/ls
find特定ファイルをディレクトリで検索。キーワード、アクセスの日付と時刻、アクセス権、その他でディレクトリ構造を検索するのに便利なツール。管理者が特定のディレクトリまたはファイルの全般システム監査を行なうのにも役立つ。 find -atime +12 -name *log* -perm u+rw
stat最後にアクセスされた時間、アクセス権、UID と GID ビットの設定、その他など、ファイルに関するさまざまな情報を表示します。侵害されたシステムの実行可能ファイルが最後に使用されたか変更が加えられた時刻をチェックするのに便利です。stat /bin/netstat
md5summd5 ハッシュアルゴリズムを使用して128ビットのチェックサムを算出。コマンドを使って、セキュリティ感染でよく変更若しくは置換される重要な実行可能ファイルをすべてリストアップするテキストファイルを作成する。そのサムをファイルへリダイレクトしてチェックサムの簡単なデータベースを作成してから、そのファイルをCD-ROMなどの読み取り専用メディアにコピーします。md5sum /usr/bin/gdm >>md5sum.txt

表 10-1. ファイル監査ツール