フォレンジックと IR
フォレンジックイメージング
別称: ビットストリームイメージング, ディスクイメージング
定義
保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
フォレンジックイメージングはソース媒体(ディスク、パーティション、外部メディア)の正確な複製を、未割当領域やスラックを含めて取得し、EWF/E01、AFF4、Raw DD などのフォレンジックコンテナへ書き出します。原本はハードウェアまたはソフトウェアのライトブロッカで保護し、イメージは SHA-256(互換性のため MD5/SHA-1 併記)で検証して改変を検知可能にします。実務は ISO/IEC 27037 と NIST SP 800-86 に従い、取得前後のハッシュ値と使用ツールのバージョンを記録します。主なツールは FTK Imager、Guymager、dc3dd、EnCase、X-Ways。これにより原本を変更せず、再現可能な解析が可能になります。
例
- Tableau ライトブロッカ越しに FTK Imager で疑わしい SSD の E01 イメージを取得。
- 現地対応で RAID ボリュームの AFF4 イメージを取得。
関連用語
Evidence Acquisition
Evidence Acquisition — definition coming soon.
ライトブロッカ
ストレージへの読み取りを許しつつ、証拠を改変しうる書き込みを阻止するハードウェアまたはソフトウェアツール。
ディスクフォレンジック
HDD・SSD・USB などの不揮発性ストレージを解析し、ファイルシステム・アプリ・OS のアーティファクトを復元・解釈する分野。
Preservation of Evidence
Preservation of Evidence — definition coming soon.
証拠保全の連鎖(チェーン・オブ・カストディ)
押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。