読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

例題「電子メールに添付されたマルウェア」に感染を分解する

例えばトレーニングで「電子メールに添付されたマルウェアに感染」したケースを説明しなければいけないとします。

受講者が事前に学習する必要がある項目には何があるのでしょうか?、関連する技術要素として、どこまで事前に知っている必要があるのか?という点を考えてみたいと思います。

受信した電子メールには圧縮ファイルが添付されていました。この圧縮ファイルにはパスワードが設定されており、展開ツールを使ってファイルを取り出す際にパスワードが求められるようになっており、ウイルス対策ソフトは中身を確認する事ができない仕組みになっています。

圧縮ファイルのパスワードは電子メール本文に書かれており、本文内に書かれたパスワードを入力する事でファイルを取り出す事ができます。取り出されたマルウェアプログラムが人間により“実行”される事でコンピュータがマルウェアに感染する事になりました。

この例を理解し調査する為には、どの程度の知識が必要になるか?を把握したいわけです。まずは、理解が必要な技術的な要素に分解してみます。(項目によっては更に詳細に分割できる項目もありますが、まずは大き目に分解してみます)

項目によっては必須の項目・別に知らなくても困らない項目もあると思います。分解した項目に対して、更に必須項目を絞り込んでいく必要があります。(事前に知っているべき事柄と、上記例題を説明していく際に、何を理解いただくのかは分離して考える必要がありますが)

 

■電子メール関連

  1. SMTPプロトコル(TCP、IP、MACアドレス、ルーティング)
  2. DNS MXレコード(ドメイン名とMXの関係)
  3. メールの配信(MUAとMTAの関係、配信経路、時刻情報)
  4. メールサーバのログ(SMTPログ、時刻情報)
  5. メールアカウント(Userと認証、容量制限、ログイン日時、etc)
  6. メールボックス(POP・IMAPプロトコル、Web経由のアクセス、転送)
  7. メールヘッダ(日付、配信、各種ヘッダ)
  8. メールアドレス(TO、CC、BCC、From)
  9. メールソフトウェア(MUA)
  10. メールソフトウェア毎のメールボックス形式
  11. メールの保存形式(Mbox、PST、EML、etc)
  12. メールボックスの所在(ファイルシステム上のパス又はCloud)
  13. メールボックス内のメタデータ(MAPI情報、作成・更新、フラグ etc)
  14. メールのソースデータ(オリジナルのデータ)
  15. メールを開いた(読んだ)日時
  16. 文字コード(ISO-2022-JP、UTF-8、etc)
  17. 添付ファイル(ファイル名、エンコード形式、MIMEエンコード)
  18. 添付ファイルのタイムスタンプ
  19. 電子メールソフトウェアでの添付ファイルの取り扱い(一時フォルダ)
  20. 添付ファイルをオープン(取り出し)した日時
  21. オープンされた添付ファイルが持つファイルシステム上のタイムスタンプ

■ファイル形式

  1. ファイル名と拡張子(データ内容)、拡張子の種類
  2. ファイル名の長さ、文字コード
  3. 拡張子の表示
  4. 拡張子とアプリケーションの関連付け
  5. ファイル形式(実行ファイル、圧縮ファイル、etc)
  6. 圧縮ファイルとその種類
  7. 圧縮ファイルの作成・展開ツール
  8. 圧縮ファイルのパスワード設定、暗号化
  9. 圧縮ファイル内ファイルのタイムスタンプ
  10. 圧縮ファイル自体のファイルシステム上でのタイムスタンプ(作成・更新)
  11. 圧縮ファイルを展開した際のファイルタイムスタンプ
  12. 実行形式ファイル(OSやアーキテクチャによる違い)
  13. 実行形式ファイル内のタイムスタンプ
  14. 実行ファイルのファイル名偽装方法
  15. 実行ファイルのアイコン偽装

■プログラム実行

  1. プログラムの実行の仕組み(実行方法)
  2. プログラムの権限
  3. プログラムの実行痕跡
  4. マルウェアプログラムの特性
  5. マルウェアの感染痕跡
  6. マルウェアの追跡(発見)

 

前提としてWindowsを想定していますが、スマートフォンを含めていくと更に項目が増えていきますね。