フォレンジックと IR
ディスクフォレンジック
別称: ストレージフォレンジック, ハードディスクフォレンジック
定義
HDD・SSD・USB などの不揮発性ストレージを解析し、ファイルシステム・アプリ・OS のアーティファクトを復元・解釈する分野。
ディスクフォレンジックはデジタルフォレンジックの中核的分野で、ビット単位のイメージ上で、ファイルシステム(NTFS、APFS、ext4、FAT)やジャーナル、メタデータ、スラック、未割当領域を手掛かりに活動を再構成します。MFT、USN ジャーナル、$LogFile、Prefetch、ジャンプリスト、ショートカット、ブラウザの記録、Windows イベントログ、ShellBag などを解析してタイムラインを構築します。Autopsy/Sleuth Kit、EnCase、X-Ways、FTK、Plaso/log2timeline などが解析とタイムライン生成を自動化します。現代の課題には全ディスク暗号化(BitLocker、FileVault、LUKS)、SSD の TRIM/ガベージコレクション、クラウド同期コンテンツがあり、NIST SP 800-86 や ISO/IEC 27037 のベストプラクティスで対処します。
例
- Autopsy を用いて NTFS の未割当領域から削除ドキュメントを復元。
- Prefetch と ShimCache を解析して悪性バイナリの実行を裏付ける。
関連用語
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
フォレンジックイメージング
保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
File Carving
File Carving — definition coming soon.
タイムライン分析
ファイルシステム、レジストリ、ログ、アプリケーションの各アーティファクトのタイムスタンプを突き合わせ、システムイベントを時系列に再構成するフォレンジック手法。
Artifact Analysis
Artifact Analysis — definition coming soon.
Windows Registry Analysis
Windows Registry Analysis — definition coming soon.