フォレンジックと IR
メモリフォレンジック
別称: RAM フォレンジック, 揮発性メモリ解析
定義
システムの揮発性 RAM を取得・解析し、稼働中プロセス、ネットワーク接続、注入コード、メモリ上の痕跡を明らかにする領域。
メモリフォレンジックは電源断で消える揮発性データを対象にし、ディスクフォレンジックでは届かない証拠—メモリ常駐型マルウェア、解凍済みペイロード、暗号鍵、ブラウザセッション、平文資格情報、ルートキットの隠蔽手法—を明らかにします。取得には WinPmem、DumpIt、AVML、あるいは仮想化基盤のスナップショットを用い、RAW ダンプや VMware の vmem ファイルを生成します。Volatility 3 や Rekall などの解析フレームワークは OS 構造を解析してプロセス、DLL、ソケット、レジストリ、コードインジェクションを列挙します。ファイルレスマルウェアや APT の調査に不可欠で、NIST SP 800-86 に沿った DFIR でディスク・ネットワーク解析を補完します。
例
- Volatility 3 の malfind プラグインでメモリイメージ内の注入シェルコードを検出。
- Windows RAM ダンプから攻撃者が実行した Mimikatz の出力を復元。
関連用語
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
DFIR(デジタルフォレンジックとインシデントレスポンス)
デジタル証拠調査とインシデント対応を統合し、サイバー事象の検知・封じ込め・根絶・教訓化を行う複合的な領域。
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
Malware Analysis
Malware Analysis — definition coming soon.
ディスクフォレンジック
HDD・SSD・USB などの不揮発性ストレージを解析し、ファイルシステム・アプリ・OS のアーティファクトを復元・解釈する分野。
Evidence Acquisition
Evidence Acquisition — definition coming soon.