ネットワーク・フォレンジック

ネットワーク・フォレンジック（英語: Network forensics）は、デジタル・フォレンジックの一分野である。

概要

ネットワーク・フォレンジックは法科学の比較的新しい分野である。家庭でのインターネット使用人口の増加により、計算はネットワークが中心となり、今やデータはディスクの外側でデジタル証拠を入手できるようになった。ネットワーク・フォレンジックはそれ単体で独立して調査を行うことができるし、コンピュータ・フォレンジクス解析のお供にもなる（デジタルデバイスとの相互の関連性を明らかにして、どのようにして犯罪が行われたかを再構築するのに使われる）^[1]。

情報収集や法的証拠、侵入検知のために、コンピュータ・ネットワークの転送を監視し、解析することに関わる^[2]。他のデジタルフォレンジックの分野とは違って、ネットワークの調査は変わりやすく動的な情報を扱う。ネットワークの転送は、送信されたのちになくなってしまう。すなわち、ネットワーク・フォレンジックはしばしば、先を見越した能動的な調査となる ^[1]。

ネットワーク・フォレンジックは一般的に2通りの用途がある。 1つ目の用途はセキュリティに関わるもので、何者かの通信のためにネットワークを監視し、攻撃を特定する。攻撃者は、感染したホスト端末のすべてのログファイルを消すことができる。このとき、ネットワーク・フォレンジックは、フォレンジック解析において、証拠を確保できる唯一の方法となる ^[3]。 2つ目の用途は、法執行機関に関わるものである。このケースでは、保存したネットワークの通信から転送したファイルを再構築し、キーワードを探し、そしてメールやチャットのセッションなど人のコミュニケーションを追跡する。どちらの用途でも、一般的にネットワークのデータを集める。総当たりで「できる限り保存」する方法と、より賢く「立ち止まって耳を傾ける」方法を用いる。

マーカス・レイナム（英語版）はネットワーク・フォレンジックを、「セキュリティ攻撃のソースか他の問題のインシデントを発見するために、ネットワークのイベントを保存し、記録し、解析すること」と定義している ^[4]。

証拠が常にディスクに保存されるコンピュータ・フォレンジクスと比較して、ネットワークのデータはより消えやすく、すぐに変化してしまう。パケットフィルター、ファイヤーウォール、そして侵入検知システムからセキュリティへの侵入が想定された場合にも、調査官はしばしば調査するための唯一の材料を確保することになる^[1]。

フォレンジクスに使用するネットワークのデータを集めるための方法は2種類ある。 ^[5]。

「できる限り保存する」方法 - あるポイントでのパケットを全て保存し、ストレージに保存する。そして、バッチを使って解析する。このアプローチは大容量のストレージを必要とする。
「立ち止まって耳を傾ける」方法 - 記憶媒体に将来の解析のために保存したある情報を、基本的な方法で解析する。このアプローチは、入力される通信を維持できるだけの早いプロセッサが必要になる。

解析の種類

イーサネット

イーサネットのレイヤーの適切な全てデータから、さまざまなイベントを検索して抽出することができる。解析のツールを使用すると、暗号化されてない通信であれば、ウェブサイトのページやメールの添付ファイル、他のネットワークの通信を再構築することができる。このデータを集める利点は、ホストに直接接続していることである。例えば、あるホストのIPアドレスやMACアドレスがわかっていれば、このIPアドレスやMACアドレスの受信する、または送信するすべてのデータを抽出することができる。

IPアドレスとMACアドレスの対応を確認するために、補助的なネットワーク・プロトコルをよく見ることが有用である。アドレス解決プロトコル（ARP）の対照表は、IPアドレスに一致するMACアドレスをリストアップする。

このレイヤーのデータを得るために、ネットワークカードをプロミスキャス・モードに変える必要がある。そうすることで、通信を記録するホストに送受信される通信だけでなく全ての通信が、ホストのCPUを通過することになる。

しかし、もし侵入者や攻撃者が盗聴されているということを知っていれば、侵入者や攻撃者は安全に接続するために暗号化するかもしれない。暗号化を破ることはほぼ不可能であるが、ほかのホストに対する疑わしい接続が常に暗号化されていれば、そのホストは共犯の疑いがあるということを示唆する。

TCP/IP

ネットワークレイヤーでは、インターネット・プロトコル（IP）は主に、TCPの通信によってパケットが生成される（例：インターネット）。発信元と受信先の情報は、ネットワーク中のルーターで使用される。 GSMのような携帯のデジタルパケットのネットワークは、IPとよく似たプロトコルを使用しており、IPと同じような方法が使われている。

通信を正確に中継するために、途中の全てのルーターは、パケットを次にどこへ転送すればいいのか知るためのルーティングテーブルを持たなければならない。これらのルーティングテーブルは、サイバー犯罪を調査して攻撃者を追跡するための最もよい情報源の一つとなる。そのために、攻撃者のパケットを辿って、送信したルートを逆走して、どこからパケットが来たのか（例：攻撃者）を探し当てる。

暗号化された通信の解析

インターネットにおけるTLS暗号化の蔓延に従い、2021年4月にマルウェアの半数がTLSを侵入探知に使用していることが推定された ^[6]。暗号化された通信の解析は、通常、一般的ではないネットワークに接続する、TLSの特徴の疑わしい組み合わせから探すことにより、暗号化された通信がマルウェアから由来しているのか、他の脅威から由来しているのかを特定するために調査する ^[7] 。暗号化された通信を解析する他の方法は、生成された指紋のデータベースを使う方法である。しかし、これらのテクニックはハッカーによって簡単にバイパスされてしまい^[8]^[9]、正確ではないと批判を受けている。

インターネット

インターネットはデジタル証拠に富むソースとなりうる。インターネットには、ウェブのブラウジングや、メール、ニュースグループ、同期式のチャット、Peer to Peerの通信が含まれる。例えば、ウェブサーバーのログは、いつ容疑者が犯罪の活動にかかわる情報に接続したかを示すのに使われる。メールアカウントはしばしば有用な証拠が含まれる。しかし、メールのヘッダーは容易になりすますことができ、そのためにネットワーク・フォレンジックは証拠資料の正確な出所を証明するのに使われる。ネットワーク・フォレンジックは、ネットワークの通信からユーザー・アカウント情報を抽出することで、特定のコンピュータを誰が使用しているかを突き止めるためにも使用できる ^[10]。

ワイヤレス・フォレンジック

ワイヤレス・フォレンジックは、ネットワーク・フォレンジックの一分野である。ワイヤレス・フォレンジックの主な目的は、法廷で有効なデジタル証拠として提出できる（ワイヤレス）ネットワークの通信の収集と、分析に必要な方法論とツールを供給することである。収集された証拠は、平文なデータに対応することもあれば、特にワイヤレスでの幅広い利用により、VoIP（Voice-over-IP）技術による音声会話を含むこともある。

無線ネットワーク・トラフィックの解析は、有線ネットワークの解析と同様に、無線セキュリティ対策を考慮する必要がある。

脚注

^ ^a ^b ^c Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4
^ Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, August 7 – 8, 2001, Page(s) 27–30
^ Erik Hjelmvik, Passive Network Security Analysis with NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer Archived 2012-02-23 at the Wayback Machine.
^ Marcus Ranum, Network Flight Recorder, http://www.ranum.com
^ Simson Garfinkel, Network Forensics: Tapping the Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html
^ Gallagher, Sean (2021年4月21日). “Nearly half of malware now use TLS to conceal communications” (英語). Sophos News. 2021年4月29日閲覧。
^ (英語) Encrypted Traffic Analysis (Part 1): Detect, Don't Decrypt, オリジナルの2021-12-20時点におけるアーカイブ。 2021年4月29日閲覧。
^ Rinaldi, Matthew (2020年11月3日). “Impersonating JA3 Fingerprints” (英語). Medium. 2021年4月29日閲覧。
^ “JA3/S Signatures and How to Avoid Them” (英語). BC Security (2020年4月16日). 2021年4月29日閲覧。
^ "Facebook, SSL and Network Forensics", NETRESEC Network Security Blog, 2011

外部リンク

『ネットワークフォレンジック』 - コトバンク

[casey-1] Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4

[2] Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, August 7 – 8, 2001, Page(s) 27–30

[3] Erik Hjelmvik, Passive Network Security Analysis with NetworkMiner http://www.forensicfocus.com/passive-network-security-analysis-networkminer Archived 2012-02-23 at the Wayback Machine.

[4] Marcus Ranum, Network Flight Recorder, http://www.ranum.com

[5] Simson Garfinkel, Network Forensics: Tapping the Internet http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html

[6] Gallagher, Sean (2021年4月21日). “Nearly half of malware now use TLS to conceal communications” (英語). Sophos News. 2021年4月29日閲覧。

[7] (英語) Encrypted Traffic Analysis (Part 1): Detect, Don't Decrypt, オリジナルの2021-12-20時点におけるアーカイブ。 2021年4月29日閲覧。

[8] Rinaldi, Matthew (2020年11月3日). “Impersonating JA3 Fingerprints” (英語). Medium. 2021年4月29日閲覧。

[9] “JA3/S Signatures and How to Avoid Them” (英語). BC Security (2020年4月16日). 2021年4月29日閲覧。

[10] "Facebook, SSL and Network Forensics", NETRESEC Network Security Blog, 2011

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]