Black Hat Japan 2006 Briefings 潜入レポート（1）カーネル内でのWindowsフォレンジック分析を排除する

2006年10月5日、6日に新宿で開催され盛況のうちに幕を閉じた、国際セキュリティ会議 Black Hat Japan 2006 Briefings には、世界各国及び日本国内から、著名なコンピュータセキュリティのエキスパートが集結、世界トップクラスの研究成果と、知識・経験が発表されました

特集特集

2006.10.25 Wed 16:15

2006年10月5日、6日に新宿で開催され盛況のうちに幕を閉じた、国際セキュリティ会議 Black Hat Japan 2006 Briefings には、世界各国及び日本国内から、著名なコンピュータセキュリティのエキスパートが集結、世界トップクラスの研究成果と、知識・経験が発表されました。

会期中は、多数の入場者が訪れたばかりか、その選りすぐられた講師陣が海外でも話題を呼び、ヨーロッパ等国外からの参加者も多数来日しました。

同会議には今年も昨年に引き続き、日頃SCANに寄稿いただいている専門技術者の方が、レポーターとして、参加しました。「Winny」「カーネル内でのWindowsフォレンジック分析」「イントラネットへの外部からの攻撃」「AJAXウェブアプリケーションへの攻撃」等、BHJ2006 のハイライトの一部を紹介します。

──────

2006年のBlackhat Japanの最後を飾ることになった本講演では、Windowsシステムを対象としたフォレンジックのライブイメージ取得における問題の提示が行われた。

本講演は、フォレンジックに関する基礎知識があるという前提で進められたが、フォレンジックは日本ではまだ認知度が低く、内容をよく知らない方も少なくないだろう。このため、筆者の方で必要に応じて適時補足しながらレポートを進めてゆくので、あらかじめご了承いただきたい。

■フォレンジックとは

フォレンジック（forensic）という言葉自体は一般的に利用される言葉であるが、IT業界でフォレンジックといえば、“コンピュータフォレンジック”の事を指すと思って間違いない。

コンピュータフォレンジックは、大まかにいえば「不正侵入を受けたコンピュータに残された証拠の保全・分析を行い、その攻撃元の特定や被害状況のアセスメントを行う作業」ということになる。

特に欧米圏では、それらの結果を法廷に持ち込んで攻撃相手を起訴することが最終目的になる場合が多い。

■フォレンジックにおけるライブイメージ取得の位置づけ

現実世界の犯罪捜査がそうであるように、コンピュータフォレンジックにも一定の作法がある。

そしてその第一段階として必ず行われるのが…

【執筆：NTT東日本セキュリティオペレーションセンタ　日吉龍】
URL : http://www.bflets.dyndns.org/
著作物 :不正侵入検知［IDS］入門 ――Snort＆Tripwireの基礎と実践
http://www.gihyo.co.jp/books/syoseki.php/4-7741-1985-7

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec