読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

雑談:本日はAVTOKYO JPの開催日

雑談(無駄話)

渋谷に行くのは何年ぶり?最近は乗り換えでしか降りた記憶がないのですが、正直方向感覚が強い方ではないので会場に時間通りたどり着けるかが心配です(笑)*1

パネルのテーマと内容が広いので、話が発散してしまい愚痴だけに終わる危険性が高い気がしてますので、愚痴は慎むという点だけは注意しようと心に固く誓っているわけですが、脱線したら愚痴ってますよと教えてください。

 

さて、論点としてはマルウェア対策またはマルウェアによる侵害対応を考えた際に、デジタル調査(Degital Investigation)の役割と、マルウェア解析者への検体橋渡しの部分で課題になっている点について議論する事になるのではないかと考えています。

対象範囲の決定⇒デジタル調査の実施⇒検体の選別⇒マルウェア解析者への納品

まず、量的な問題ですが、これまでのような数台レベルのお話ではなく、千台や一万台といった規模感での対応を考慮した場合に、従来手法では当然時間とコスト含め課題がありますので、この点でまず壁を打ち破る必要があります。(仮にコストを無視したとしても時間が現実的でない部分をまずは解決する必要があるかもしれません)

現在の手法をサンプルに、どこが無駄な工程で、どう改善する事ができそうか?といった色々な意見を伺ってみたいと個人的には考えています。

 

大量の実行ファイル等が存在し、どれが未知のマルウェアに関連したものか絞り込めない⇒絞り込めない理由はなぜか?⇒正規または既知ファイルとの区別がつかない⇒区別できない理由はなぜか?*2

※ファイルシステムとメモリイメージでは、なぜの経路が異なる?

 

調査・解析にかかるコストについては、ちょうどファイア・アイの三輪さんがコラムを公開されその中で言及されていますので引用させていただきます。

 

自社SOC運用の課題:企業のIT・経営・ビジネスをつなぐ情報サイト EnterpriseZine (EZ)

ところがそんな社内のSOCの悩みはコストです。コストの多くは人件費であり、人件費の多くは調査や分析に投じられています。この調査や分析を効率的に行えないか、という課題があるのです。調査や分析を効率的に行うことによって、限られた人的リソースでより早く、より正確に脅威を発見、防御することができるようになるからです。

 

ここでの調査や分析はもう少し広い意図で書かれている部分かもしれませんが、内容の一部としてはマルウェア解析に伴う調査・分析が含まれていると思います。

データの収集などを行うインフラは、比較的整備しやすいのではないかと思いますが、問題はそれらから集まる情報をどう処理するか、材料は大量にあるが工場の処理が間に合わないという部分が出ている状況でしょうか。そもそも材料が大量にあるという点からすでに在庫という視点では間違っているのかもしれないと感じますが。

 

解析の効率化まで話が到達できるか、時間的な心配もありますが、せっかくメモリ・フォレンジックの第一人者がいらっしゃいますので、1000台やるのに効率化をどうするべきか?というのは質問したいと考えています。もう少し分解すると、一度に1000台は無理だとしても、どう工程を組めば1000台という問題を解決できるのか?という事になるでしょうか。*3

この段階においては、そもそも偽装とかされていたらその工程は破たんするのでは?という司会からの突っ込みが十分予想される箇所かもしれません(笑)

そして、会場からもきっと「もっとこう隠せるからその手法は、無駄無駄無駄ぁぁぁ」という声も聞こえてきそうな気がしていますが、「なるほど、対案としてはどうなりますか?」と意見を伺いたい部分も出てくるかもしれませんね。

 

まぁ、最終的には、たかし無双により敵はすべて撃破されて終わるはずですので、よろしくお願いいたします。

 

*1:そもそもBlog書いたりしてないでチケット印刷とか準備しないといけない気がしてます。オープニングから参加する予定ですが、毎度のことながら名刺とか持っていく予定がないので手ぶらでの参加ですね

*2:ゆえに~というをつけて考えるのがまだできていないですね、問題解決を5段で考えるの難しい

*3:1000台は材料にすぎず、材料が多すぎなのだとすれば、どう材料を絞り込むのか?