Intro to Digital Forensics

[Y-R0]

デジタル・フォレンジックとその関連プロセスについて学び、実践的な例で実験する。

Task1 Introduction To Digital Forensics

・フォレンジックとは、犯罪を調査し、事実を確定するために科学を応用することです。コンピュータやスマートフォンなどのデジタルシステムの普及に伴い、犯罪を捜査するための新たな分野としてコンピュータ・フォレンジックが生まれ、後にデジタル・フォレンジックへと発展しました。

・次のようなシナリオを考えてみてください。法執行機関は犯罪現場に到着しますが、この犯罪現場の一部には、デジタル機器やメディアが含まれています。デジタル機器には、デスクトップパソコン、ノートパソコン、デジタルカメラ、音楽プレーヤー、スマートフォンなどがあります。デジタルメディアには、CD、DVD、USBフラッシュメモリードライブ、外部ストレージが含まれます。いくつかの疑問が生じます：

・警察は、スマートフォンやノートパソコンなどのデジタル証拠をどのように収集すべきなのか？パソコンやスマートフォンが動いている場合、どのような手続きが必要なのか？ ・デジタル証拠をどのように転送すればよいのか？例えばコンピュータを移動する際に従うべき一定のベストプラクティスはあるのか？ ・収集したデジタルエビデンスをどのように分析するのか？個人端末のストレージは数十ギガバイトから数テラバイトに及びますが、これをどのように分析するのでしょうか？

この社員が上図のように疑われていると仮定すると、捜査の対象となりそうなデジタル機器をすぐに確認することができます。デスクトップパソコンに加え、タブレット、スマートフォン、デジタルカメラ、USBフラッシュメモリーがあることがわかります。これらのデバイスのいずれかに、捜査に役立つ情報の宝庫があるかもしれません。これらを証拠として処理するには、デジタルフォレンジックが必要です。

より正式には、デジタルフォレンジックとは、コンピュータサイエンスを応用して、法的な目的のためにデジタル証拠を調査することです。デジタル・フォレンジックは、2つのタイプの捜査で使用されます：

１公共部門の調査とは、政府や法執行機関によって実施される調査を指します。公共部門の調査とは、政府や法執行機関によって行われる調査のことで、犯罪や民事捜査の一部となるものです。 ２民間調査とは、企業組織が社内または外注の私立探偵を雇って実施する調査を指します。企業のポリシー違反がきっかけで行われる。

犯罪や企業のポリシー違反を調査する場合、証拠の一部はデジタル機器やデジタルメディアに関連するものです。そこでデジタル・フォレンジックが活躍し、何が起こったかを立証しようとするのです。訓練を受けたデジタル・フォレンジック調査員がいなければ、あらゆるデジタル証拠を適切に処理することはできません。

問題

上の写真の机を考えてみてください。スマートフォン、カメラ、SDカードに加えて、デジタル・フォレンジックに興味深いものは何だろうか。 →laptop

[Y-R0]

task2 Digital Forensics Process

デジタル・フォレンジック調査員として、あなたは上の画像のような現場に到着しました。デジタル・フォレンジック調査員として何をすべきなのか？法的な認可を得た後、基本的な計画は次のようになります：

1証拠を入手する： 証拠の取得：ノートパソコン、ストレージデバイス、デジタルカメラなどのデジタルデバイスを収集する。(ノートパソコンやコンピュータは、電源が入っている場合、特別な取り扱いが必要ですが、この部屋の範囲外であることに注意してください) 2保管の連鎖を確立する： 関連するフォームに適切に記入する。その目的は、権限を与えられた調査員だけが証拠にアクセスでき、誰も改ざんできないことを保証するためである。 3証拠を安全な容器に入れる： 証拠が破損しないようにするためです。スマートフォンの場合、ネットワークにアクセスできないようにし、リモートで消去されないようにします。 4デジタル・フォレンジック・ラボに証拠を輸送する。

ラボでは、以下のような流れになります：

1安全なコンテナからデジタル証拠品を回収する。 2 証拠品のフォレンジックコピーを作成します： フォレンジックコピーを作成するには、元のデータを変更しないようにするための高度なソフトウェアが必要です。 3デジタル証拠品を安全な容器に戻す： あなたはコピーで作業することになります。コピーを破損した場合は、いつでも新しいコピーを作成することができます。 4フォレンジックワークステーションでコピーの処理を開始する。

上記の手順は、Guide to Computer Forensics and Investigations, 6th Editionから引用したものです。

より一般的には、国防省コンピュータ・フォレンジック研究所の元所長であるKen Zatykoによると、デジタル・フォレンジックには以下のようなものがあります：

・適切な検索権限： 調査員は、適切な法的権限なしに調査を開始することはできません。 ・保管の連鎖（Chain of Custody）： 誰がいつ証拠を手にしたかを追跡するために必要なものです。 ・数学による検証： ハッシュ関数と呼ばれる特殊な数学的関数を用いて、ファイルが変更されていないことを確認することができます。 ・検証されたツールの使用 デジタル・フォレンジックに使用するツールは、正しく動作することを確認するためにバリデーション（対象がその仕様や文法などに照らして適切に記述・構築されているか否かを検証）を行う必要があります。例えば、ディスクのイメージを作成する場合、フォレンジック・イメージがディスク上のデータと同一であることを確認する必要があります。 ・再現性： デジタル・フォレンジックの結果は、適切なスキルとツールがある限り、再現することができます。 ・報告すること デジタル・フォレンジックの調査は、発見された事件に関連する証拠を示す報告書をもって終了します。

問題

法廷で認められる証拠を確保するためには、誰がどの時点でそれを扱っているかを把握することが不可欠です。それを立証するための書類の名称は？ →chain of custody（サンプルの書類フォルダの名前。Sample Chain of Custody Formだからfoamも入れるのかと思った）

[Y-R0]

task3 Practical Example of Digital Forensics

スマートフォンからパソコンまで、デジタルデバイスで行うことはすべて痕跡が残ります。これをその後の捜査にどう生かすか、見ていきましょう。

飼い猫のガドが誘拐された。誘拐犯は、MS Word Documentのフォーマットで、彼らの要求を記した文書を送ってきました。そこで、この文書をPDF形式に変換し、MS Wordファイルから画像を抽出し、便宜を図りました。

添付ファイルをローカルマシンにダウンロードして閲覧することも可能ですが、便宜上、AttackBoxにファイルを追加しています。AttackBoxでターミナルを開き、以下のように/root/Rooms/introdigitalforensicsのディレクトリに移動します。以下のターミナル出力で、ケースファイルが入っているディレクトリに変更しました。

ドキュメントメタデータ

テキストファイル（TXT）を作成すると、ファイルの作成日や最終更新日など、いくつかのメタデータがオペレーティングシステムによって保存されます。しかし、MS Wordなどの高度なエディターを使用すると、ファイルのメタデータに多くの情報が保存されます。ファイルのメタデータを読むには、さまざまな方法があります。公式のビューア/エディタでファイルを開くか、適切なフォレンジックツールを使用します。なお、ファイルをPDFなどの他の形式にエクスポートすると、使用するPDFライターによりますが、元の文書のメタデータがほとんど維持されます。

PDFファイルから何がわかるか見てみましょう。pdfinfoというプログラムを使って、メタデータを読んでみることができます。pdfinfoは、タイトル、サブジェクト、著者、作成者、作成日など、PDFファイルに関連する様々なメタデータを表示します。(AttackBoxには既にpdfinfoがインストールされていますが、Kali Linuxを使用していてpdfinfoがインストールされていない場合は、sudo apt install poppler-utilsでインストールすることができます。) pdfinfo DOCUMENT.pdfを使用した以下の例を考えてみましょう。

PDFのメタデータには、2018年10月10日にMS Word for Office 365を使用して作成されたことが明記されています。

問題

pdfinfoを使用すると、添付されたPDFファイルの作者を調べることができます。 →