フォレンジックと IR
ライトブロッカ
別称: フォレンジックライトブロッカ, 読み取り専用ブリッジ
定義
ストレージへの読み取りを許しつつ、証拠を改変しうる書き込みを阻止するハードウェアまたはソフトウェアツール。
ライトブロッカは取得作業の中核で、対象のディスクや USB メモリ、メモリカードがイメージング中にビット単位で変化しないことを保証します。ハードウェア型(Tableau、WiebeTech、CRU など)は被疑媒体と解析機の間に直列接続し、SATA、NVMe、USB、SAS、M.2 などの読み取り専用インタフェースを提供します。ソフトウェア型(Linux の blockdev、USBWriteBlocker、Windows のレジストリポリシなど)は同等の保護を解析機側で実現します。NIST の CFTT プログラムが検証結果を公開しています。ISO/IEC 27037 は証拠の完全性を保つために、ライトブロッカの使用を求めています。
例
- 疑わしい外付けドライブのイメージング時に Tableau T8u USB 3.0 ハードウェアライトブロッカを使用。
- udev ルールと blockdev を用いて誤書込みを防止する Linux 解析機。
関連用語
フォレンジックイメージング
保存媒体のビットレベルの完全コピーを作成し、暗号学的ハッシュで検証して解析および法廷証拠として用いる手法。
Evidence Acquisition
Evidence Acquisition — definition coming soon.
証拠保全の連鎖(チェーン・オブ・カストディ)
押収から最終処分まで、証拠に関わったすべての人物・場所・作業を時系列で記録した連鎖的な書面記録。
ディスクフォレンジック
HDD・SSD・USB などの不揮発性ストレージを解析し、ファイルシステム・アプリ・OS のアーティファクトを復元・解釈する分野。
Preservation of Evidence
Preservation of Evidence — definition coming soon.
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。