フォレンジック支援システム

システム概要

 組織内の端末がWebを介しマルウェアに感染した結果,情報の漏洩や金銭の要求,不正に遠隔操作されるなどの,インシデントの報告が増加している.インシデントが発生すると,その影響を最小限にするために対応する必要がある.インシデントによる被害を最小限に抑えるために行われるあらゆる行動をインシデント対応と言う.インシデント対応は,大きく初動対応,チーム編成,調査,修復の4つに分けられる.初動対応はインシデントの検知から始まり,その情報源の見極めやログの保全など,後の調査につながる要件を抑える.チーム編成では,初動対応で得られた情報から,その後の調査・修復を主導するチームを編成する.調査の段階では,初動対応で保全したログなどを基に,被害の対象や侵入経路,影響の範囲などのより詳細な情報の調査・分析を行う.修復の段階では,調査で得られたインシデントの情報を基に,被害の修復やセキュリティ体制の改善案の策定などを行う.インシデントによっては,対外情報開示計画の立案なども行う.インシデント対応では,その根絶や復旧,再発予防の観点から,インシデントとそれに関する事象の正確な把握が求められる.これを行うために,調査の段階では初動対応で得られた情報を基に,調査する期間,対象,項目などが決定され,調査する項目について明確な回答を得ることを目的に調査が行われる.このとき,フォレンジックの技術を用いて調査が進められる.フォレンジックとは,情報の完全性を保持しながら,収集や検査・分析を行うことである.これを速やかに実行するには,常日頃から端末等でログなどを記録しておき,初動対応や調査の段階で容易に取り出せるようにしておくことが望ましい.しかし,端末で履歴を記録していない,または消去・攪乱されるとインシデント発生当時の事柄の全容を把握できない場合がある.当時何が行われたかがわからないと,インシデント発生の原因が判明しなかったり,インシデントで発生した被害の復旧が遅れたりすることが考えられる.

 そこで本研究では,Webを介した攻撃によるインシデントの調査活動の支援を目的に,通信パケットの記録からWebを介した攻撃の振る舞いを再現するフォレンジック支援システム(以下,本システム)を開発した.本システムは,調査を行う期間の通信パケットの記録からHTTPリクエストとそれに対応するレスポンスを抽出し,そのリクエストとレスポンスの対応を表として管理する.リクエストとそのレスポンスの対応を基に,受信したリクエストに対応するレスポンスを返送するサーバを作成することで通信パケットの記録から当時のメッセージフローを再現する.インシデント発生当時の環境を模した再現端末上で再現するメッセージフローを選択するとロガーを自動起動し,復元したWebサイトに対して自動的にアクセスを開始する.これにより,当時発生したWebサイトに対して自動的にアクセスを開始する.これにより,当時発生したWebクライアントなどの挙動が再現される.このシステムにより,インシデント発生当時の端末の挙動を再現することができ,当時発生した事象を改めて観測・記録することができる.

 本システムは,インシデント対応における調査活動を支援するため,通信パケットの記録からWebを介して行われる攻撃を再現する.本システムは,Webを介して攻撃を再現するために,通信パケットの記録から当時アクセスされたWebサイトを復元する.復元したWebサイトに対し,改めてアクセスすることで,当時アクセスされたWebサイトの挙動を再現し,Exploitやマルウェアなどの設置のためのWebサーバは短期間で消滅することが多く,インシデント検知後に調査を実施しようとしてもできない場合がある.本システムはインシデント対応における調査活動において用いることで,当時行われたWebを介した攻撃が再現でき,それによって当時発生した事象の再観測と行われた攻撃の概要の把握を支援する.なお,本研究における通信パケットの記録とは,ファイアウォールなどの境界で収集したrawパケットをPCAP形式で保存したものを示す.