Endpoint Forensics

エンドポイントフォレンジック（Endpoint Forensics）とは、PC、サーバー、モバイルデバイスなどのエンドポイント端末から、セキュリティインシデントに関連するデジタル証拠を科学的かつ体系的に収集・保全・分析するプロセスです。インシデントの根本原因の特定、攻撃者の行動の再現、被害範囲の確定、そして法的手続きに耐えうる証拠の確保を目的としています。

エンドポイントフォレンジックでは、ディスクイメージの取得、メモリダンプの解析、レジストリ・ログファイルの調査、タイムライン分析、マルウェアの特定と解析など、多岐にわたる技術を駆使します。特に揮発性データ（メモリ上のプロセス情報、ネットワーク接続状態など）は電源を切ると消失するため、迅速な証拠保全が極めて重要です。フォレンジック調査は「証拠の連鎖（Chain of Custody）」を維持し、証拠の改ざんがないことを証明できる厳格な手順に従う必要があります。

近年、ファイルレスマルウェアやLiving off the Land（環境寄生型）攻撃の増加により、従来のディスクフォレンジックだけでは攻撃の痕跡を十分に捉えられないケースが増えています。そのため、メモリフォレンジック、EDRテレメトリの活用、さらにはクラウドフォレンジックとの連携が不可欠となっており、エンドポイントフォレンジックの範囲と技術は急速に進化しています。

ディスクフォレンジック

ディスクフォレンジックは、ハードディスクやSSDのビットレベルのイメージ（フォレンジックイメージ）を取得し、ファイルシステム、削除されたファイル、未割り当て領域、スラック領域などを解析する手法です。EnCaseやFTK（Forensic Toolkit）、オープンソースのAutopsyなどのツールが使用されます。

フォレンジックイメージの取得には書き込みブロッカー（Write Blocker）を使用し、原本のデータを一切変更しないことが鉄則です。取得したイメージのハッシュ値（MD5/SHA-256）を記録し、解析中にデータが改ざんされていないことを証明します。NTFS、ext4、APFSなどのファイルシステム固有のアーティファクト（MFTエントリ、ジャーナルログなど）から、ファイルの作成・変更・アクセスの履歴を詳細に再構築できます。

メモリフォレンジック

メモリフォレンジックは、端末のRAM（物理メモリ）の内容をダンプし、実行中のプロセス、ネットワーク接続、ロードされたDLL/カーネルモジュール、暗号鍵、パスワード、マルウェアのインジェクション痕跡などを解析する手法です。Volatility Frameworkが代表的な解析ツールとして広く使用されています。

メモリフォレンジックは、ファイルレスマルウェアやプロセスインジェクション、ルートキットの検出に特に有効です。ディスク上に痕跡を残さない攻撃であっても、メモリ上には必ず実行の痕跡が残ります。ただし、メモリは揮発性データであるため、端末の電源が切られる前にWinPmemやDumpItなどのツールで速やかにダンプを取得する必要があります。

タイムライン分析

タイムライン分析は、エンドポイント上の様々なアーティファクトからタイムスタンプ情報を抽出し、時系列順に整理して攻撃の進行を再構築する手法です。ファイルシステムのタイムスタンプ（MACB: Modified, Accessed, Changed, Born）、イベントログ、レジストリの変更履歴、ブラウザ履歴、プリフェッチファイルなどを統合的に解析します。

Plaso（log2timeline）やZIRCOLITEなどのツールを使用して、数百万件のイベントからタイムラインを自動生成し、攻撃者の初期侵入、横展開、データ窃取、永続化の各フェーズを時系列で可視化します。これにより、MITRE ATT&CKフレームワークのテクニックに対応した攻撃者の行動パターンを特定できます。

Windowsアーティファクト解析

Windows環境のフォレンジックでは、多数の固有アーティファクトが調査の鍵となります。イベントログ（Security.evtx、System.evtx、PowerShell Operationalなど）からはログオン/ログオフ、プロセス実行、特権操作の記録を取得できます。

• Prefetchファイル：過去に実行されたプログラムの実行回数と最終実行日時を記録
• Amcache / ShimCache：プログラムの実行履歴とファイルパスを記録
• USBデバイス接続履歴：レジストリのUSBSTORキーに外部デバイスの接続履歴が残存
• ジャンプリスト・LNKファイル：最近アクセスしたファイルやフォルダの記録
• $MFT / $UsnJrnl：ファイルの作成・削除・リネームの詳細な履歴を保持

証拠の連鎖（Chain of Custody）

証拠の連鎖とは、デジタル証拠の収集から保管、解析、法廷提出に至るまで、証拠の取り扱い記録を厳密に維持することです。誰が、いつ、どこで、なぜ証拠にアクセスしたかを文書化し、証拠の完全性と信頼性を担保します。

証拠の連鎖が崩れると、法的手続きにおいて証拠が無効とされるリスクがあります。フォレンジック調査者は、証拠取得時のハッシュ値記録、解析環境の分離、作業ログの詳細な記録、証拠保管庫のアクセス管理など、厳格なプロトコルに従う必要があります。ISO/IEC 27037は、デジタル証拠の識別・収集・取得・保全に関する国際標準ガイドラインを提供しています。

• 01
  フォレンジック対応計画の事前策定：インシデント発生時のフォレンジック調査手順を事前に文書化し、証拠保全の優先順位、使用するツール、連絡体制、外部フォレンジック業者との契約を整備してください。定期的な訓練でインシデント対応チームのフォレンジックスキルを向上させましょう。
• 02
  EDRによる継続的なテレメトリ収集：全エンドポイントにEDR（Endpoint Detection and Response）を導入し、プロセス実行、ファイル操作、ネットワーク接続、レジストリ変更などのテレメトリデータを常時収集・保管してください。事後のフォレンジック分析において、これらのデータが攻撃の全容解明に不可欠な証拠となります。
• 03
  ログの一元管理と長期保存：エンドポイントのイベントログ、セキュリティログ、アプリケーションログをSIEMに集約し、最低1年間（法規制に応じてそれ以上）保存してください。ログが端末上にのみ存在すると、攻撃者によるログ消去で証拠が失われるリスクがあります。
• 04
  揮発性データの迅速な保全体制：インシデント検知時にメモリダンプを迅速に取得するための手順とツール（WinPmem、DumpItなど）を事前に各端末またはリモートアクセス可能な環境に準備してください。電源遮断前のメモリ保全が、ファイルレス攻撃の解析において決定的な証拠となります。
• 05
  証拠の連鎖（Chain of Custody）の厳格な維持：証拠の取得から保管・解析・報告に至るすべてのプロセスで、取り扱い者、日時、手順を記録するChain of Custodyフォームを使用してください。フォレンジックイメージのハッシュ値を複数アルゴリズムで記録し、完全性を証明可能にしましょう。
• 06
  フォレンジックツールキットの整備と検証：EnCase、FTK、Autopsy、Volatilityなどのフォレンジックツールを最新バージョンに維持し、定期的に検証環境でテストしてください。ツールのライセンス管理、フォレンジック用USBブートメディアの作成、書き込みブロッカーの動作確認など、いつでも調査を開始できる状態を維持しましょう。