DFIR
Digital Forensics デジタルフォレンジクス
科学的手法を用いて犯罪を調査し、事実関係を解明する分野.
調査対象
1.ファイルシステム
低レベルコピーを解析することで,インストール済みのプログラムや作成・変更されたファイルなど多くの情報がわかる
2.システムメモリ
メモリ上に展開されたマルウェアの痕跡や攻撃の手がかりを調査
3.システムログ
攻撃者が痕跡を消そうとしても、何らかのログは残る
4.ネットワークログ
ネットワークを流れるパケットのログを調査することで、攻撃中や攻撃後にどのような通信が行われていたのかを把握できる.
Incident Response インシデントレスポンス
サイバー攻撃の対応手順を定義し、被害の拡大を防ぎ最短で復旧させる分野.
1.準備(Preparation)
インシデント対応要員を訓練し、必要な体制を整える。
インシデントを未然に防止するための各種対策を講じておく。
2.検知と分析(Detection and Analysis)
検知したインシデントについて詳細に分析し、重大度や影響範囲を把握する。
3.封じ込め・駆除・復旧(Containment, Eradication, and Recovery) インシデントが発生したシステムを他のシステムに影響を及ぼさないように封じ込める。
4.システムを再構築・復旧し、正常な状態へ戻す。
マルウェア解析
マルウェア:悪意をもって作成および配布されるソフトウェアのこと. 代表例
1.ウイルス
プログラムの一部として他のプログラムに寄生し,感染先のプログラムを改変・削除しながら拡散する.
2.トロイの木馬
有用なソフトウェアを装いながら,裏で悪意のある機能を動かす
3.ランサムウェア
ユーザーのファイルを暗号化して読み取り不能にし、復号キーを渡す代わりに「身代金(ランサム)」を要求する 解析手法
1.静的解析
マルウェアを実際に実行することなく,バイナリやソースコードを直接解析する手法.アセンブリ言語(プロセッサの命令セット)やリバースエンジニアリングの知識が必要.
2.動的解析
マルウェアを安全な隔離環境(サンドボックスや仮想マシンなど)で実際に実行し,その挙動を監視する手法.