【Forensics入門編】ディスク・メモリ・ネット・ログ4領域の地図｜CTF思考フレームワーク #41

こんにちは、アンペンです！

ここから新章、Forensics(フォレンジック)に入ります。インシデントが起きた後に、何が起きたのかを証拠から読み解いていく分野です。

今回はその入門編。フォレンジックの4つの領域(ディスク・メモリ・ネット・ログ)の地図を整理し、どこで何が分かるかを掴みましょう。

『フォレンジック』ってドラマでよく聞くけど、ITだとどんな作業？

事件後の現場を、ディスク・メモリ・ネット・ログという4つの『記録物』から再構成する作業だよ。それぞれ得意な時間範囲と情報が違うんだ。

ここから新しい章——フォレンジックです。これまでは『攻撃と守り』の話でしたが、ここからは視点が変わって『事件が起きた“後”、何が起きたのかを証拠から解き明かす』探偵の仕事になります。刑事ドラマの鑑識班を思い浮かべてください。あの“現場検証”のIT版が、今日からのテーマ。まずは全体地図——どこに、どんな証拠が眠っているのかを押さえましょう。

フォレンジックは『時間と場所の証拠』を集める

インシデント対応では、『誰が・いつ・どこから・何をしたか』を明らかにする必要があります。フォレンジックは、その問いに対する『証拠物件』を集めて分析する作業です。

証拠の入手元は4つ。ディスク・メモリ・ネット・ログ。それぞれ性質が違うため、調査内容に応じて優先順位や手順が変わります。

この4つ、なぜ分けて考えるかというと、それぞれ“得意な証拠”と“残っている時間”がまるで違うからです。メモリは『今この瞬間、何が動いているか』に強いけれど、電源を切れば消える。ディスクは『過去に保存されたもの』を長く保つけれど、リアルタイムの動きは映らない。ネットは『どこと通信したか』、ログは『いつ何が起きたか』。一つだけ見ても全体は分からない。4つを重ねて、初めて事件の輪郭が浮かびます。

図解：4領域の役割マップ

4領域それぞれが得意とする情報と、残っている時間範囲を見ると、どこを優先的に保全すべきかが見えてきます。

ここで覚えておきたいのが『揮発性』という考え方。要は“消えやすさ”です。メモリの中身は、電源を落とした瞬間にすべて消えてしまう——いちばん儚い証拠です。一方、ディスクに書かれたファイルは、何年も残ることがある。だから初動では、消えやすいものから順に確保するのが鉄則。火事の現場で、まず燃え尽きそうなものから運び出すのと同じ発想です。

『保全』は、フォレンジックの“いの一番”に来る、最重要の作法です。証拠は、触った瞬間に変わってしまう。たとえば慌ててファイルを開いただけで、最終アクセス日時が今に書き換わり、“いつ攻撃者が触ったか”という大事な手がかりが消えるかもしれません。だから、調べる前にまず“そのままの姿”をコピーして凍結する。料理する前に証拠写真を撮るようなものですね。この初動を雑にすると、せっかくの証拠が裁判でも使えなくなってしまいます。

4領域それぞれの役割

では、4つの領域を一度に見渡してみましょう。ざっくり言うと——『ディスク＝過去の保管庫』『メモリ＝今の実況中継』『ネット＝外とのやりとりの記録』『ログ＝出来事の日記』。この4つの“役割の違い”さえ頭に入れれば、「この事件なら、まずどこを見るべきか」の見当がつくようになります。

ディスク / メモリ / ネット / ログ

• ディスク：長期保管されたファイル、削除済みファイル、ジャーナル(MFT・ext journal)、レジストリ
• メモリ：実行中プロセス・ネットワーク接続・LSASS内の認証情報・Fileless攻撃の痕跡
• ネット：パケットキャプチャ(pcap)、フロー記録(NetFlow)、DNSログ、Proxyログ
• ログ：OS Event Log・アプリログ・EDRログ・クラウド監査ログ(CloudTrail等)

メモリは電源を切ると消えるため、優先的に保全する必要があります。一方、ディスクは長期保管される反面、容量が大きく時間がかかります。最近はクラウド監査ログのような『元から外部にある』ものも重要になっています。

この『揮発性が高い順に集める』は、現場での優先順位そのものです。消えやすいメモリを真っ先に、次にネットの一時的な記録、それからログ、最後に時間のかかるディスク——という順番。よくある失敗が、慌てて感染端末を“とりあえず再起動”してしまうこと。それだけで、メモリ上にあった攻撃の決定的な証拠が、まるごと消えてしまいます。「落ち着いて、消えやすいものから」——これが初動の合言葉です。

この章は“手を動かしてナンボ”です。今日の練習は、4領域それぞれから1つずつ証拠を取ってみること。難しい解析は要りません。「ディスクってこうやってイメージ化するんだ」「メモリってこんな中身なんだ」と、触って感触をつかむのが目的。もちろん対象は自分のVMやCTFだけ。他人のPCから無断で証拠を採るのは、たとえ善意でも厳禁です。

CTFでやってみよう：4領域それぞれを触ってみる

ここで、守る側にとって一番大事な“逆説”をお伝えします。

フォレンジックって、事件が起きてから始める作業でしょ？

そう思いがちだけど、実は勝負の大半は“事件が起きる前”に決まってるんだ。だって、ログを残していなければ、後から「誰が何をした」なんて調べようがない。防犯カメラを設置していない店で、後から映像は出てこないよね。だから守る側の本当の仕事は、平時にちゃんと“証拠が残る仕組み”を作っておくこと——ログを外に転送し、監査記録を有効にし、初動の手順を決めておく。事件後の探偵の腕より、事件前の準備のほうが、ずっと結果を左右するんだよ。

守る側なら、「平時の保全準備」が9割

フォレンジックは、インシデント発生後に始めるのでは遅いことが多いです。平時にどれだけ準備していたかで、調査の精度と速度が大きく変わります。

『起きてから集める』じゃなくて『普段から残しておく』が肝なんだね。

そう。事件後の証拠の質は、事前準備で決まる。次回からは4領域を1つずつ詳しく見ていくよ。

ここまでをひと言で言うと、フォレンジックは『4つの証拠を重ね、平時に備える』。ディスク・メモリ・ネット・ログ、それぞれの得意を知って組み合わせ、消えやすいものから保全する。そして何より、“証拠が残る仕組み”を平時から用意しておく。探偵の推理力も大事ですが、その推理を支えるのは、現場に残された証拠の質なんです。

まとめ：『4領域+平時準備』がフォレンジックの基本

今日の持ち帰りは『証拠は、起きてからでは間に合わないことがある』です。フォレンジックと聞くと“事後の解析”をイメージしますが、その成否は平時の準備で決まります。ログを残し、外に逃がし、初動を決めておく。いざという時に“見られる記録”があるかどうか——それが、真相にたどり着けるかの分かれ目になります。

次回は4領域の最初、ディスクフォレンジックを扱います。MFTとタイムラインで侵入の足跡をたどる手法を見ていきましょう。

次に読みたい記事

参考資料