注目集めるフォレンジック
最後に,最近不正アクセスに立ち向かう新たなる術として注目を浴びつつある「フォレンジック」について説明する。
フォレンジック(Forensic)は,聞き慣れない言葉である。直訳すれば「法廷で用いる」となるが,筆者はコンピュータ・セキュリティ上のフォレンジックを「不正アクセスを証明するための分析作業」と理解している。
これまで説明したように,不正アクセスを受けたコンピュータには,それを示すさまざまな情報が残っているはずである。それらを正しく集めることができれば,いったい何者がそれらの行為を行っているのか,そしていったいコンピュータ上で何が起こっているのかを知ることができるだろう。
しかし,いったい何の情報を集めればよいのか,そしてそれらの優先順位などは誰もが知っているわけではない。また,情報を正確に集めるには,人手による作業よりもコンピュータが機械的に行う方がはるかに効率的である。
フォレンジックでは,記憶装置上に残っているデータの欠片に注目している。コンピュータのメモリ上には以前実行していたプロセスの一部が残っている可能性がある,ハード・ディスクなども同様に,削除されたファイルやデータの一部が残っている可能性がある。それらのデータを集めて調査することにより,不正アクセス者の行動を追跡するのである。
このような機能を提供する代表的なツールに「TCT(The Coroner's Toolkit)」がある。TCTは,COPSやSATAN,そしてTCP-Wrappers,Postfixなど数々の優れたコンピュータ・ソフトウェアの作者でもあるDan Farmer氏とWietse Venema氏の二人によって開発された。
TCTは以下の四つの要素から構成される。
(1)grave-robber
grave-robberは,コンピュータ上にある不正アクセスを調査するために必要となる情報を可能な限り集める機能を持ったプログラムである。特にファイル・システム,プロセス,ネットワークの情報を自動的に収集する。本記事で紹介した作業すべてが自動的に実行されるものと考えてよい。
(2)unrmとlazarus
このプログラムにより,ディスク装置に残されたデータの断片を発掘することができる。削除されたデータを再生できる可能性もある。ディスク装置に残されたデータを詳しく調査することで,コンピュータ上で過去に起こった出来事を推測できるかもしれない。
(3)mactime
このプログラムは,ある条件下において有益である。ディスク上に記録されているファイルには,活動状況を示すctime,atime,mtimeの三つの時刻情報が記録される。このプログラムは(1)grave-robberにより収集されたデータを基に,これらの時刻情報をリストアップする。これらの情報を基にして,ファイルに発生した異常を知ることができる。
 |
| 表5●フォレンジックやTCT(The Coroner'sToolkit)について説明した主なサイト |
(4)ils,icat,pcat,fileなどのツール群
これらはC言語で書かれたツールである。主にgrave-robberから呼び出されるが,もちろん単体でも実行することができる。いずれのツールもファイル・システム内の調査を行う重要なツールである。
TCTはとても強力なツールである。しかし,同時に両刃の剣でもある。無知な利用者によって使われれば,不正アクセスを示す重要な痕跡までも破壊してしまうだろう。もちろん,注意して使用すれば不正アクセス者にとって脅威のツールになる。興味があれば表5[拡大表示]のサイトを参照するか,TCTについて解説した書籍などを参照してほしい。
|
渡辺 勝弘 |
