【Forensics入門編】ディスク・メモリ・ネット・ログ4領域の地図｜CTF思考フレームワーク #41

広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。

フォレンジックって、CSIみたいなやつ？ハッカー版ってこと？🔍

そうですね。ただし対象はディスク・メモリ・ネットワーク通信・ログの4領域。攻撃者が残した痕跡を集めて『誰が・いつ・何をしたか』を再構成する技術です。インシデント対応の核心スキル。

デジタルフォレンジック（Digital Forensics）は、サイバー攻撃発生後の調査技術。ディスク（HDD/SSD）、メモリ（RAM）、ネットワーク（pcap）、ログ（Sysmon/auditd/Event Log）の4領域から痕跡を集め、攻撃のタイムラインを再構築します。捜査・訴訟・組織内インシデント対応の必須スキル。

4領域もあるんだ…どこから手をつければいいの？

この記事は、CTF思考フレームワーク第41回。フォレンジック入門編として、ディスク・メモリ・ネット・ログ4領域の役割と特徴を整理し、初心者がどの順で学ぶべきか・どんなツール（Volatility・Autopsy・Wireshark）が定番かを解説します。

🔍 デジタルフォレンジックは「事件現場の指紋を集める仕事」をデジタル世界でやる学問です。ディスク、メモリ、ネットワーク、ログ。どこに何の痕跡が残るかを地図化するのが第一歩。

CTFのForensicsカテゴリも、業務のIRも、出発点は同じ「観察対象を絞り、痕跡の鮮度を理解する」こと。Volatile（揮発性）の高いものから取得する原則が支配的です。

Forensicsは「事件の残骸から真相を再構成する」仕事。地図を持ってないと迷うよ🗺️

👀 観察フェーズ：まず何を見る？

まず「何が起きたか不明」な状態から始まる。最初の観察が捜査の方向を決めます🔍

インシデント発生時にまず確認するのは「観測のスナップショット」。揮発性の高い順に、メモリ→プロセス→ネットワーク接続→ディスク→バックアップで証拠を積み上げます。

「いつ・誰が・何を・どこから」を答えるために、複数領域を組み合わせるのが鉄則だね💡

• メモリ：物理メモリイメージ（LiME / WinPMem）
• プロセス・接続：ps / netstat / Volatility
• ディスク：MFT・$LogFile（NTFS）、ext4 inode・journal
• ログ：Sysmon / Event Log / auditd / journald
• ネット：pcap・NetFlow・DNSログ・Proxyログ
• バックアップ・スナップショット・クラウド監査ログ

Forensicsの基本仮説は4方向。

🤔 仮説フェーズ：攻撃者は何を考える？

💾 仮説①：ディスクに残る痕跡

MFT/ファイルシステムログ/シャドウコピーから「何が作成・変更・削除されたか」のタイムラインが組める。

🧠 仮説②：メモリだけが知る真実

実行中プロセス・暗号鍵・伸長された圧縮ペイロード・ネット接続中のセッションはメモリでしか取れない。電源断する前に取得。

🌐 仮説③：ネット通信の動かぬ証拠

pcapやNetFlowで通信先・量・時刻が一目瞭然。C2通信の特定に必須。

📋 仮説④：ログは横断統合で力になる

OSログ単体ではノイズだらけ。アプリ・FW・プロキシ・EDRログを横断して初めて全体像が見える。

🕶️ 攻撃者は「揮発性の高い証拠から消える」ことを知っています。なのでメモリ常駐・ファイルレス・タイムスタンプ改ざん（timestomp）を多用。逆にDFIR側は「いつ何が起きたか」を多ソースで突き合わせて、改ざんされにくい時系列を組み立てます。

4領域の「クロスチェック」こそForensicsの本質だね💪

🔬 検証フェーズ：どうやって確かめる？

実機が動いていたらメモリ→ネット→ディスクの順で取得！揮発性が高い順が原則です🧪

検証はラボ環境で。Order of Volatility（RFC 3227）に沿って、CPUレジスタ＞メモリ＞ネットワーク状態＞ディスク＞リモートログ、の優先順で取得します。

ハッシュを取って改ざんされていない証明を作るのも重要なんだね📜

# Linux: メモリ取得（LiME）
insmod lime.ko "path=/case/mem.lime format=lime"

# Windows: メモリ取得（WinPMem）
winpmem.exe -o C:casemem.raw

# ディスクイメージ（dd / FTK Imager）
dd if=/dev/sda of=/case/disk.img bs=4M conv=noerror,sync
sha256sum /case/disk.img > /case/disk.sha256

攻撃者が「捜査を妨げる」典型はこの3つ。

⚔️ 攻撃フェーズ：実際の手口

攻撃者は痕跡を消すか、ノイズに紛れさせる。timestomp（NTFSの$STANDARD_INFORMATIONを書き換え）、ログ削除、Recycle Bin迂回のSDelete、メモリ常駐型マルウェアなど。

# timestomp検出：$STANDARD_INFOと$FILE_NAMEの時刻差
# AnalyzeMFT / MFTECmd で MFT を解析
MFTECmd.exe -f "$MFT" --csv out

# 削除ファイル復元：ext4はjournalから一部復元可能
extundelete /dev/sda1 --restore-all

クラウド時代はEBSスナップショット・S3バージョニング・CloudTrailが「消せない証拠」になり、DFIRの主戦場が変わってきています☁️

Forensics能力を「平時から育てる」3つ！🛡️

🛡️ 防御フェーズ：どう守る？

「事故が起きてから」では遅い。Forensicsは平時の備えがすべて💪

DFIR運用の基本は「証拠保全（Chain of Custody）」「ハッシュ整合性」「再現性」。WORM（書込一回・読出多数）ストレージへの即時複製と、解析作業の完全ログ化が肝心。

• メモリ・ディスク取得直後にSHA-256で整合性を確定
• Chain of Custody書類で取得者・時刻・経路を記録
• Sysmon・auditdは事前展開（事件後では遅い）
• ログはWORM/SIEMに即時転送、ローカル消去耐性を確保
• バックアップ・スナップショットの保持期間を見直し（最低90日）
• NTPで時刻同期、UTC統一でタイムライン断絶を防ぐ

🛡️ 今日からできる対策ツール

フォレンジックと同じくらい大事なのが「そもそも侵入されない」こと。🛡️ ソースネクストのセキュリティツールなら、買い切りで使えるタイプも多いので、「サブスク疲れ」している人に人気です。

PR / 広告

※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。

⚠️ よくある落とし穴

1. メモリ取得を忘れて電源を切り、揮発性証拠を全損
2. ライブハンドリング（電源ON状態の操作）でアーティファクトを上書き
3. タイムゾーンを揃えず、複数ソースの相関でズレる
4. ハッシュを取らずに作業し、証拠能力を失う
5. クラウドAPI監査ログを「ベンダ管轄だから」と取り損ねる
6. 法的相談（社内法務・LE）を後回しにして証拠連鎖が切れる

🧰 ツール早見表

🎓 本気で学びたい人へ

インシデントレスポンスやフォレンジックを職業として目指したい方へ。🎓 ササエルはインフラとセキュリティの両輪で学べるスクールです。

PR / 広告

📚 もっと深く学びたい人へ

実際に手を動かして攻撃手法を体で覚えたいなら『7日間でハッキングをはじめる本 TryHackMe』がおすすめ📚

📚 次に読みたい

• 検知回避・痕跡消去編｜CTF思考フレームワーク #40
• ディスクForensics編｜CTF思考フレームワーク #42
• 永続化編｜CTF思考フレームワーク #39
• メモリForensics編｜CTF思考フレームワーク #43

✍️ 学んだことを発信する

検証記録やレポートをオンラインでまとめるなら、ConoHa WINGのWordPressが手軽で便利です。

PR / 広告

⚖️ 大事なお約束