フォレンジックハッシュ検証.

フォレンジックイメージとソースメディアに対し暗号学的ハッシュ (通常 MD5 と SHA-256) を計算・比較し、証拠の完全性を立証する実務手法。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

フォレンジックイメージとソースメディアに対し暗号学的ハッシュ (通常 MD5 と SHA-256) を計算・比較し、証拠の完全性を立証する実務手法。

フォレンジックハッシュ検証は、デジタル証拠に対して MD5、SHA-1、SHA-256 などの暗号学的ハッシュを計算し、各工程で照合することで証拠が改ざんされていないことを立証する基本的な実務手法です。取得段階では、ハードウェア/ソフトウェア書き込みブロッカーや、FTK Imager、Guymager、'dd' などのツールがソースメディアと生成されたイメージのハッシュをそれぞれ計算し、両者は一致しなければなりません。解析端末での再ハッシュ、および移送・復元のたびに行う再計算は、すべて証拠保全記録に記載します。NIST SP 800-86、SWGDE ベストプラクティス、ISO/IEC 27037 などの標準では、MD5 が衝突耐性を喪失したことを踏まえ、二重ハッシュ (MD5 + SHA-256) を要求しています。NIST NSRL などのハッシュセットは、既知の正当ファイルのフィルタリングにも役立ちます。

フォレンジックハッシュ検証 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: 証拠ハッシュ, イメージハッシュ検証, フォレンジックハッシング。