Entry № 474
フォレンジックイメージング
フォレンジックイメージング とは何ですか?
フォレンジックイメージング保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
フォレンジックイメージングはソース媒体(ディスク、パーティション、外部メディア)の正確な複製を、未割当領域やスラックを含めて取得し、EWF/E01、AFF4、Raw DD などのフォレンジックコンテナへ書き出します。原本はハードウェアまたはソフトウェアのライトブロッカで保護し、イメージは SHA-256(互換性のため MD5/SHA-1 併記)で検証して改変を検知可能にします。実務は ISO/IEC 27037 と NIST SP 800-86 に従い、取得前後のハッシュ値と使用ツールのバージョンを記録します。主なツールは FTK Imager、Guymager、dc3dd、EnCase、X-Ways。これにより原本を変更せず、再現可能な解析が可能になります。
● 例
- 01
Tableau ライトブロッカ越しに FTK Imager で疑わしい SSD の E01 イメージを取得。
- 02
現地対応で RAID ボリュームの AFF4 イメージを取得。
● よくある質問
フォレンジックイメージング とは何ですか?
保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
フォレンジックイメージング とはどういう意味ですか?
保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
フォレンジックイメージング からどのように防御しますか?
フォレンジックイメージング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
フォレンジックイメージング の別名は何ですか?
一般的な別名: ビットストリームイメージング, ディスクイメージング。