セキュリティを楽しく学ぶ、触れる。セキュリティごった煮ブログ

ネットエージェント
セキュリティごった煮ブログ

2010/07/09 コース:元祖こってり

「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。

ファイルシステムとフォレンジックの話

松本隆
 

みなさんはじめまして、ネットエージェント株式会社の松本隆と申します。私はフォレンジックエバンジェリストという肩書きで活動しておりまして、デジタル・フォレンジック技術の研究と啓発活動が主な業務となっています。
 私からはデジタル・フォレンジックに関わる、主に技術的な内容について、なるべく分かりやすい形でお話させていただければと思っておりますので、どうぞよろしくお願いいたします。
 今回はフォレンジックの第一回目ということで、基本の「ファイル」と「ファイルシステム」、それと「フォレンジック」の関係について少しお話させていただければと思います。

-----

 

今、あなたがこのブログを読んでいる環境は何であろうか。会社のデスクもしくは自宅に据え付けられたPCかもしれないし、もしかしたら移動途中の電車から携帯端末でアクセスしているかもしれない。ブラウザの設定にもよるが、基本的には一旦ハードディスクのテンポラリ(一時作業)領域にキャッシュされ、キャッシュファイルがコンピュータのメモリに読み込まれ画面に表示される。
 このキャッシュファイルはユーザによる明示的な操作や、ブラウザのキャッシュ管理ポリシーに従って、決められた手続きに従ってファイルシステムを操作することにより、削除状態となる。

 ファイルシステムとは「記憶装置に記録されているデータの管理方式」である。おおまかに言えば、ファイルシステムに管理されるいくつかのデータブロックの集合がファイルである。分かりにくいと思われる方は、手近な本を手にとってもらえないだろうか。
 あなたが手にした本は立派な表紙とカバーで装飾され、タイトルと作者が分かりやすく記載されていることだろう。裏表紙やオビには本の概要が書かれており、一目でこれがどのような内容の本かを判断することができる。
 中をめくるとページ番号が振られており、目次ページには章ごとのタイトルやページ番号が振られている。試しにその番号までページを進めてみると、目次に記載されていた通りの内容を発見することができるだろう。

 先ほどのファイルとファイルシステムを本で例えるとすれば、本全体がファイルシステムであり、ページの集合である章がファイルであるといえる。本は表紙や目次などの索引と、ページを意味のある順番に並べることによってページを管理している。言い換えれば、各ページは本によって適切に並べられ管理されることによって、はじめて読み手にとって意味のあるデータのかたまりになるのだ。

 だがもし、この本を裁断したうえでページ番号を削除し、順番をメチャクチャに並び替えてしまったらどうなるだろうか。あなたは大量の紙の中から、何の手がかりもないままページを元の状態に並べなくてはならなくなる。もしかしたら裁断の際に誤って大切なページを紛失しているかもしれないが、異変に気づくのはおそらくずっと後、全てのページを並べ終えてからになるだろう。

 フォレンジックの作業は、図書館の中で目的の本や、特定の項目が記載されたページを探すのに似ている。図書館には膨大な本があり、科目ごとに分類され、書架に整理されている。ただし目的の本は手違いで(もしくは意図的に)別の棚に紛れているかもしれないし、別の図書館に移動されているかもしれない。最悪の場合、既に廃棄されて本が存在しない可能性だってある。もし運よく発見できたとしても、悪質なユーザによって大切なページが破られているかもしれない。

 しかしそのような状況であっても、実はあなたにやれることはたくさんある。図書館のデータベースを検索することによって、過去に目的の本が存在していた事実を確認することは可能であるし、最終貸出者の名前や貸出日時をチェックすることだってできる。
 また、データベースからタイトルと出版社、版番号が特定できれば、もしかしたら同じ内容の本を入手することだってできるかもしれない。廃棄された本がまだゴミ置き場に存在するなら、急いで確保することによって可能な限り復元することもできるだろう。

 ただ、あなたが無事に目的のデータを確保できたとして、ひとつだけ気をつけて欲しい点がある。フォレンジック調査で最も重要なのは、ファイルやファイルシステムをハッキングして調査の手がかりを得ることではなく、いかに証拠を汚染せずに取り扱うかであるということだ。
 図書館で目的の本を発見できたとしても、調査をするあなた自身が誤ってページを破ってしまったり、別の本と取り違えてしまったり、ラボに持ち帰る手続きの中で、最終貸出者と最終貸出日付欄を上書きしてしまっては目も当てられない。

 電磁的証拠の適切な取り扱いに関しては、特定非営利活動法人デジタル・フォレンジック研究会の「証拠保全ガイドライン 第1版」が非常に参考になる。
 このガイドラインは海外の関連ガイドラインを参考に、わが国の独自性などを反映させた内容になっており、賛否はあるだろうが現場で証拠を取り扱う際に準備すべきもの、留意すべきポイントなどの一つの指標になるだろう。

< 前の記事 | 次の記事 >
メルマガ読者募集 採用情報 2020年卒向けインターンシップ

月別