ICDF2008 1日目

forensics conference

http://www.ifip119-kyoto.org/doku.php
昨日から京都大学で開催されているICDF2008に参加している。これは、IFIP Working Group 11.9 on Digital Forensicsが毎年開催しているカンファレンスで今年で4回目になる。

参加者は全部で70人くらい。うち1/3が日本から、1/3がUSから、残りは中国、韓国、オーストラリア、などなど。日本開催ということでアジアからの参加が多いようだ。

プログラムの詳細は上記サイトにある。初日の発表からいくつか気になった内容をピックアップしてみる。

"Dealing with Emerging Risks in Critical Information Infrastructures"

山口先生によるKeynote Lecture。
あちこちで似たような講演をされているので、以前聞いたことのある内容と重複もかなりあった。テーマはCritifal Information Infrastructure(CII)のリスクについて。昨年のANAのオンライン予約システムの障害の事例などを出しながら、CIIの保護をどのようにすすめるべきか、その課題などについて話されていた。またTVやHDDレコーダーなど目に見えないコンピュータがネットワークにつながっていくこれからの時代は"tangible networking"が必要とのこと。モニタリングシステムをいれるなどしてきちんと見えるようにするということ。ただしパフォーマンスの低下とコンプライアンス(プライバシーなど)とのトレードオフが課題になる。「情報収集」「調査・分析」「課題抽出」「改善」のプロセスは、インシデントが発生した後にだけ必要になるのではなく、通常のプロセスとしても有効。DF分野の知見をCIIの領域にも生かせればという期待。

"Application of Traditional Forensic Taxonomy to Digital Forensics"

Session1: Themes and Issuesから。
これまでにForensic Science(科学捜査)の分野で得られた知見をDigital Forensics(DF)にも活かそうという話。DFの調査では技術面に偏ってしまうことが多い。特定のツールに依存しすぎたり、必要以上の調査をしすぎたり。そうした課題にどう取り組むか。

科学捜査における2つの原則と4つのプロセスを紹介。これは以下の本の内容から引用している。
Principles and Practice of Criminalistics: The Profession of Forensic Science (Protocols in Forensic Science)

2つの原則

  • Divisible matter
  • Transfer (Locard's Exchange Principle)

4つのプロセス

  1. Identification: 証拠を識別する
  2. Classification/Individualization: 証拠を区分する(比較する、特定する)
  3. Association: 容疑者との関連性や証拠同士の関連性を明確にする
  4. Reconstruction: いつ、なにが、どのように起こったのかを明らかにする

DFの調査を計画する段階で、"forensic questions"を明確にすること。この調査で答えなければならない、明らかにしなければならない質問はなにかを考えることが大事。


(追記)
"Locard's Exchange Principle"はフォレンジックでよく引用される科学捜査の原則。例えば犯罪現場に調査のためにはいると、証拠を収集できると同時にその調査によるなんらかの痕跡を現場に残してしまう。接触による影響は一方向ではなく、必ず双方向になるという原則のこと。

"Using Sensor Dirt for Toolmark Analysis of Digital Photographs"

Session 2: Portable Electronic Device Forensics I から。
デジタル写真の解析についての話。同じデジタル一眼レフカメラ(DSLR)から撮影された画像を比較する方法。どのようにして同じカメラだということを特定できるか?画像を格子状に区切って、その特徴(sensor dirt)を比較する。画像では小さなごみみたいに見える。

発表者のサイト

"Timely Rootkit Detection During Live Response"

Session 3: Forensic Techniquesから。
Rootkitをどのように検出するかという話。Live Responseで利用される様々なツールをバッチで起動して、システム情報をまとめて収集し、その結果を比較することによってRootkitを検出する。UserlandのRootkitにはそれなりに有効。Kernel Rootkitでは難しそう。

"Evidence Collection Using Google Desktop Search"

Session 4: Evidence Collectionから。
Google Desktop Search(GDS)を利用してデータを効率的に収集しようという話。調査対象のHDDからGDSのIndexデータをコピーしてデータ解析に利用する。GDSはOSやプログラムは無視してユーザーデータだけを検索できる。タイムラインもわかる。GDSのAPIを使って独自アプリも開発しているもよう。

その他、1日目の感想

口頭発表の持ち時間が1人30分と少し短め。発表内容の(技術的な)レベルはDFRWSなどと比べると若干落ちる感じがするが、どうなんだろうか。あと学会の内容とは全く関係ないが、今回は食事がかなり充実している。2日目以降も期待できそう?

Technorati: ,