メモリフォレンジックとは?仕組みやメリットデメリット、価格について徹底解説

ランサムウェアのようなマルウェアは、バイナリ形式の実行ファイルとして感染することがほとんどであり、直接ソースコードを見て分析することは困難です。このような場合、実際に実行ファイル動作させた状態で、メモリの使われ方などを分析する方法がとられることがあります。これが「メモリフォレンジック」です。

今回はメモリフォレンジックの仕組みやメリットデメリットなどについて徹底解説します。

メモリフォレンジックとは

メモリフォレンジックとは揮発性情報であるメモリ上のデータを解析する技術のことです。メモリフォレンジックの前にインシデントレスポンスについて説明しましょう。

インシデントレスポンスの一環であるメモリフォレンジック

情報セキュリティの世界では「インシデントレスポンス」が重要であるとされています。インシデントレスポンスとはマルウェアの感染などのインシデントの発生時に、原因の特定やシステムの復旧、さらに関係者との連絡調整などのインシデントへの対応を指す言葉です。

メモリフォレンジックを行うことで、コンピュータ上でどのようなプログラムが動作しており、どのような相手と通信していたのかなどの情報を得ることができます。これらの情報により、不具合の原因や対策方法を考えることができます。つまりメモリフォレンジックはインシデントレスポンスの一環として実施されます。

侵入を前提とした対策が主流となり活用が広がった

特に最近のマルウェアは巧妙に作られているものが多く、中にはセキュリティ対策ソフトを導入していても、感染を防ぐことが困難なものもあります。そのため「侵入を前提」とする対策が呼びかけられているという事情もあり、その対策の一つとしてメモリフォレンジックが活用されている現状があります。

メモリフォレンジックの歴史

フォレンジックとは「法廷の」「法医学の」「科学捜査の」などの意味を持ち、メモリフォレンジックを含めたコンピュータを対象としたフォレンジック全体のことを「デジタルフォレンジック」と呼ぶことがあります。従来のデジタルフォレンジックはコンピュータに搭載されている、ハードディスクの中身やログファイルの分析が主でした。

しかしサイバー攻撃の高度化に伴い、マルウェアの中にはハードディスクに情報を残さず、さらにログや自分自身を削除するようなものが登場し始めました。

そのため調査対象のプログラムを動作させておき、メモリの使用状態を時系列に記録するという分析方法が使われるようになりました。どのようなプログラムも、動作している時は必ずメモリ上にプログラム本体や使用しているデータの読み書きをしています。つまりメモリの状態を調べることで、プログラムのリアルな状態を知ることができます。

ハードディスクはコンピュータの電源をオフにしてもデータが残る不揮発性の記憶装置であることに対し、メモリはコンピュータの電源をオフにすると、保存しているデータが消えてしまう揮発性の記憶装置です。そのため、コンピュータが起動している状態で調査対象のプログラムとメモリ情報取得ツールを動作させ、時系列にメモリのダンプイメージを取得する方法が使われるようになりました。

メモリフォレンジックの仕組み

メモリフォレンジックでは、調査対象のコンピュータを動作させてプログラムを実行し、コンピュータに搭載されているメモリの全領域をダンプします。そして得られたメモリのダンプイメージに対して分析ツールなどを使って分析します。

メモリ情報の取得

もう少し詳しく見ていきましょう。まずはメモリ情報の取得からです。これにはMagnet RAM CaptureFTK Imager Liteなどのツールを使います。

取得したダンプイメージの解析

続いて取得したダンプイメージの解析です。これにはオープンソースのVolatility Frameworkが有名です。Volatility Frameworkのプラグインであるtimelinerを導入することで、プロセス、スレッド、ソケット通信などのイベントログを時系列に取得できます。

メモリのダンプイメージを分析する過程で、悪意のあるプロセスや通信を発見するまでがメモリフォレンジックの流れです。

参照Magnet RAM Capture
参照FTK Imager Lite
参照Volatility Framework

メモリフォレンジックのメリット

メモリフォレンジックのメリットを紹介します。

メモリフォレンジックは改ざんに強い

巧妙なマルウェアにはハードディスク上のデータを削除したり、改ざんしたりすることで痕跡を消すものがあります。しかしそのようなマルウェアでもメモリ上には何らかのデータを残しているケースがあります。あるいは初めからメモリ上にしか痕跡を残さないものもあります。このようなマルウェアを分析する場合に、メモリフォレンジックが有効に機能します。

オフラインでも分析できる

メモリフォレンジングでは予め取得していたメモリのダンプイメージをオフラインの環境でも分析できます。またダンプイメージの分析は何度でも可能であり、調査対象のコンピュータとは別のコンピュータを使って分析することもできます。

メモリフォレンジックのデメリット

メモリフォレンジックにはいくつかの専用の解析ツールが使われることがありますが、これらツールを使いこなすためには高度な知識や技能が求められます。またツールの使い方だけでなく、コンピュータやメモリの構造についても熟知していることが求められます。最近では初心者でも比較的容易に操作できる解析ツールも普及していますが、メモリフォレンジックはまだまだ専門家が求められる領域です。

メモリフォレンジックの価格

メモリフォレンジックを無料で行える分析ツールがいくつか公開されています。またセキュリティ企業などにメモリフォレンジックを依頼すれば、調査を実施してくれる企業もあるでしょう。どのような調査をどの程度実施するかにより、費用が変わってくるので、まずはヒアリングをしっかりしてくれる企業を探しましょう。

またメモリフォレンジックには高度な知識が要求されるため、専用のトレーニングセミナーなどが開催されています。このようなセミナーに参加すれば、プロフェッショナルからメモリフォレンジックの技術や解析ツールの使い方を学ぶことができます。費用はまちまちですが、おおよそ数万円から数十万円程度が一般的です。

メモリフォレンジックの注意点

メモリフォレンジックにはいくつかの注意点もあります。

メモリのダンプイメージを取得する対象への影響を最小限にする

メモリフォレンジックではツールを使用してメモリのダンプイメージを取得します。コンピュータが動作している時にツールを実行しますが、その際に調査対象のコンピュータへの影響を最小限にすることが重要です。ツールを動作させるためのコマンドなどに注意を払い、取得したダンプイメージの保存先も外部のハードディスクなどに設定する必要があります。

メモリのダンプイメージは取得したタイミングでの情報に過ぎない

メモリフォレンジックで取得できたダンプイメージは、あくまでも取得したタイミングでの情報に過ぎません。ダンプとダンプの間にも、実際にはメモリの状態は常に変化しています。このためメモリフォレンジックに必要な情報を取得するためには、ダンプの実行回数やタイミングを調整することが必要です。

まとめ

メモリフォレンジックの概要について紹介してきました。ハードディスクに痕跡を残さないマルウェアの検知や分析に対して、メモリフォレンジックは強力に機能します。例えば、もしマルウェアの被害に遭遇しても、電源を切らなければ、そのままメモリフォレンジックによる調査が実行でき、メモリのデータを取得することができ、問題の早期解決につながるからです。

技術の進歩により、マルウェア対策の方法も進化してきています。メモリフォレンジックを含めたデジタルフォレンジックに最も重要なことは環境を保全することです。もしコンピュータに何らかのトラブルが発生したら、闇雲に操作せずに、落ち着いて専門家に分析を依頼するようにしましょう。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?