サイバーインシデントによる被害範囲や感染経路を究明する際には、攻撃の痕跡を消さずに調査することが重要ですが、そのためには高いスキルを持った専門家によるフォレンジック調査を行う必要があります。Kaspersky Labのリサーチャーが個人的に開発した、シンプルなオープンソースのBitscoutを利用することで、重要な証拠データを改変や消失のリスクを冒すことなくリモートから収集することができます。
~ 証拠データの改変や消失のリスクを防ぎ、リモートから情報収集および分析が可能 ~
[本リリースは、2017年7月6日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
サイバーインシデントによる被害範囲や感染経路を究明する際には、攻撃の痕跡を消さずに調査することが重要ですが、そのためには高いスキルを持った専門家によるフォレンジック調査を行うことが必要になります。このたびKaspersky Labのリサーチャーが個人的に開発した、シンプルなオープンソースのデジタルフォレンジックツール「Bitscout(ビットスカウト)」を利用することで、重要な証拠データを改変や消失のリスクを冒すことなくリモートから収集することができます。
マルウェア感染などのサイバー攻撃による被害の疑いがある場合は、被害範囲や感染経路を特定するためにセキュリティ専門家の支援が必要となります。専門家はデジタルフォレンジック調査の過程で、感染したコンピューターからマルウェアのサンプルや攻撃の痕跡といった重要な証拠データを収集するために現地で作業を行う必要がありますが、コストがかさみ時間もかかることが被害組織側の悩みとなっています。遠隔地からのフォレンジック調査という方法もありますが、その場合には高価なフォレンジックツールとそのツールを操作するための専門知識が必要になります。また、証拠データをコンピューターからコンピューターへ転送する際には、データの改変や消失のリスクが懸念されます。
この問題を解決するため、Kaspersky Labのグローバル調査分析チーム(GReAT)※1のアジア太平洋地域ディレクター、ヴィタリー・カムリュク(Vitaly Kamluk)は、デジタルフォレンジック調査をリモートから実行できるだけでなく、ネットワークまたはローカルデバイスに接続されたストレージの完全なディスクイメージの取得と、インシデントハンドリングの遠隔支援を実現するオープンソースのツール「Bitscout」※2を自ら開発しました。Bitscoutは、コンテナ技術をベースとした信頼性の高い隔離技術により、調査対象となるデータストレージを元の状態に保ったまま、証拠データをリモートまたはローカルから確認し、分析することができます。
■ Bitscoutの主な特徴
- ディスクイメージの取得。トレーニングを受けていないスタッフでも実施が可能
- 取得したデータ断片を、詳細調査を実施するリサーチ部門にリモート転送可能
- ローカル側で共有ビュー機能を利用することで、リモートから実行される調査作業を確認でき、かつ学習できる
- ルートキットなどへ対応するために必要な外部ツール(アンチウイルスやYara)を用いてスキャンが可能
- レジストリキーの検索と表示(例:Autorunやサービス実行、USBメモリの接続履歴の検索など)
- リモートからのファイルカービング実施(削除されたファイルの復元)
- リモートからのシステム修復(所有者からアクセスを許可された場合のみ)
- リモートからネットワーク上の他端末をスキャン探索が可能
図:Bitscout ユーザー向けメインウィンドウ
Kaspersky Labのリサーチャーは、世界各国の法執行機関と緊密に連携しながら、サイバー空間における捜査において技術協力をしています。この経験から、非常に複雑かつ高度な最新のサイバー犯罪と闘う法執行機関の捜査員たちには、捜査の内容に応じた機能や規模を変えられるツールが必要だということを理解しています。そのためBitscoutは、特定のニーズに合わせた機能の追加や、カスタムソフトウェアを使用した機能強化やアップグレードが可能です。当ツールはオープンソースのソリューションをベースとした、完全に透過的なツールです。Bitscoutを使用することで、サードパーティ製のクローズドなツール類に依存することなく、デジタルフォレンジック調査を行う上での万能なツールを作成することが可能です。
ヴィタリー・カムリュクは次のように述べています。「サイバー犯罪者の技術がさらに高度化し、秘密裏に活動するようになっているため、サイバーセキュリティインシデントを可能な限り効率的かつ速やかに分析することが、ますます重要になっています。しかし、速ければいいというものでもなく、証拠データが改変されていないことを保証する必要があります。そうすることで調査自体の信頼性を高め、また裁判所での要求に応じた場合に、調査結果として認定されるような品質となるのです。しかし、これらすべてを無償かつ容易に実現できるツールが無かったため、自ら開発することにしました」
- Bitscoutは、オープンソースのフォレンジックツールで、カスペルスキー製品ではありません。
- Bitscoutは、GitHubからご利用いただけます。
- Bitscoutの詳細は、カスペルスキー公式ブログKaspersky Daily「Bitscout:リモートからデジタルフォレンジックを実施可能な無料ツール」をご覧ください。
※1 Global Research and Analysis Team(GReAT、グレート)
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
※2 BitScoutは、General Public License v3.0で配布しています。