デジタル・フォレンジック 概要
デジタル・フォレンジックはもとは、犯罪捜査や法的紛争において法執行機関などが、デジタル情報の証跡・間接的証拠を明らかにするための科学的調査手法のことを示すものでした。
最近では、サイバーセキュリティにおけるインシデント対応を含め、被害および加害シス
テムの調査技術や技法全般のことを言うことが多いです。
IT技術の進歩に伴い、ジャンルの細分化もされつつあります。
これがログ解析などと異なるのは、考え方がシステムの低層(ハードディスクやSSDなど)から高層(ファイル)に対してアプローチする点にあります。
デジタル・フォレンジック 背景と事例
そもそも、コンピュータ犯罪が認められたのは、1978年米国フロリダ州のコンピュータ犯罪法からです。
この時には、システム上におけるデータ改ざんや削除に関するもののみが認められたという物でした。
現在のようなコンピュータ犯罪に関する法律が制定されたのは、1980年代からのことで、1983年にカナダ、1986年に米国がそれぞれ法律を制定しました。
デジタル・フォレンジックは、サイバー攻撃被害への解析を指す用語の1つとして扱われていますが、もともとはデジタル証拠の手続きを指す言葉でした。
対象の拡大を伴いないつつ、デジタル証拠を取り扱うためのガイドラインが各国で整理されつつあるというのが現状です。
高度標的型攻撃/APT 概要
昨今の報道に上がるサイバー攻撃の多くはこの種のもので、特定の組織や個人をターゲットに継続的に行われるというものです。
攻撃者は標的を事前調査することによって、攻撃の成功率を高めています。
その後、攻撃メールを利用して、標的ユーザーのPCへ侵入を試みるという攻撃です。
高度標的型攻撃/APTの手順
- 偵察 標的組織・個人を調査
- 武器化 攻撃コードの選定・標的型メール・マルウェアを準備
- デリバリ メール送信やUSBメモリなどにより、サイバー攻撃を実施
- エクスプロイト マルウェアをインストールし、遠隔操作
- 横展開(ネットワーク深部へ侵入)
- 情報窃取
高度標的型攻撃/APT 背景と事例
2005年、米国と英国のCERTより高度標的型攻撃に対しての報告がありました。
2010年にSymantec社に行われたStuxnetを利用しイランの原発の施設を狙ったとされる攻撃は代表的なAPTと言えるでしょう。
同じ頃、米Mandiant社がAPT1という攻撃キャンペーンを報告しています。
国内では、2008年前後から政府や防衛産業などが攻撃被害を受けており、その多くが中国からの攻撃であると推測されています。