ICDF2008 2日目
http://www.ifip119-kyoto.org/doku.php
1日目の様子はこちら。さて2日目の内容から気になったものを以下にピックアップしてみる。
"Emerging Cyber Threats"
FBIのShawn HenryさんによるKeynote Lecture。ワシントンからテレカンファレンスによる講演だった。
サイバー犯罪の現状についての全体的なお話。組織犯罪やテロリストなどの様々脅威や、各国の法執行機関と連携した協力体制などの紹介。話の中で、NCFTA(National Cyber-Forensics & Training Alliance)についても少し触れていた。迂闊にもこれまでNCFTAのことは知らなかった。
"Hash-Based Classification of Data"
Session 5: Evidence Analysis and Management Techniquesから。"class-aware similarity hashing"という手法の提案なのだが、発表内容だけからは内容がよく理解できず(こちらの英語力が未熟なため)。あとで資料を確認する。
発表内容と直接は関係しないのだが、イントロでFBIのレポートからの引用があった。内容はフォレンジックで調査対象とするストレージ(主にHDDだと思われる)の1件あたりのデータ量が2003年は平均して80GB、それが2006年は平均して250GBに増加しているというもの。調べてみると、Regional Computer Forensic Laboratory(RCFL)の2006年のAnnual Reportのデータに基づくものらしい。発表内容よりこちらに興味がいってしまった。
"Fusion of Multi-Class Steganalysis Systems Using Bayesian Model Averaging"
Session 6: Application of Bayesian Techniquesから。
ステガノグラフィを使ったファイルから、どのようにして隠されたデータを見つけるか。複数の検出方法をうまく組み合わせている。ただしその方法の詳細はよく理解できず。ベイジアンモデルの部分がわからなくて困った。
"Data Hiding and Recovery in Windows CE Based Handheld Devices"
Session 7: Portable Electronic Device Forensics IIから。
WindowsCEベースのPDAに、どのようにデータを隠すか、また隠されたデータをどのように検出するか。どうもROM(firmware)の slack spaceにデータを隠すことが可能らしい。これを検出するにはベンダーが提供する正規のfirmwareのバイナリイメージと比較したり、Steganalysisの技術を利用したり。
"Cryptographic Protection and Recovery of Railroad Event Recorder Data"
Session 8: Event Data Recorder Forensicsから。ちなみにこのセッションはなかなかおもしろかった。対象がPCじゃなくて、鉄道とか自動車だし。
まずはUSのFederal Railroad Administration(FRA)から鉄道のデータレコーダーの話。USでは鉄道事故の原因解明のため、NTSBが鉄道にもボイスレコーダーを搭載するように勧告。ただし乗務員のプライバシー問題などデータの取り扱いは慎重に行う必要がある。そのためこれらの記録されたデータは暗号化してあり、復号するには2つの鍵が必要。鍵を所有しているのはGoverment, Management, Laborの三者。これは秘密分散法のひとつで、Shamir's Secret Sharingを利用している。
"Automobile Event Data Recorder Forensics"
同じくSession8から。自動車のデータレコーダー(EDR: Event Data Recorder)の話。
EDRの例として、GMの場合では Sensing and Diagnostic Module (SDM)がドライバーの座席の下にある。他の自動車メーカーにも同様のものがある。またEDRからデータを収集するツールはあまり公開されておらず、入手可能な商用ツールは Bosch/Vetronix Crash Data Retrieval (CDR) Systemだけらしい。特殊なケーブルでEDRに接続してデータを抽出する。
ただしフォレンジックの観点からこの方法にはいろいろな問題がある。例えば、記録されているデータの信頼性や、調査によるオリジナルデータの改変など。これらはEDRのハードウェア上の制約や、CDRソフトウェアに起因するもの。
また別の問題として、日本やEUの自動車メーカーはこうした手段をそもそも提供しておらず、データも公開していないらしい。なにか対応できない理由があるのだろうか?
"Using Data Mining to Detect Remote Exploits"
Session 9: Advanced Investigative Techniquesから。Remote Exploitを検出して防止するための手法の提案。
既存の検出アプローチは以下の3つ。
- Signature-based
- Anomaly Detection
- Machine-code analysis
このうち Machine-code analysisを発展させて data miningを組み合わせることで検出精度をあげる。著者らは Machine-code analysisの手法として Sigfreeというものを以前に発表している。
まず最初のステップではデータをDisassembleし、可能性のある instruction codeの中から有効なものを選択する。次に以下の3つの指標をもとにしてデータ中にExploit Codeが含まれているかどうかを判定するという仕組み。
- Useful Instruction Count (UIC)
- Instruction Usage Frequencies (IUF)
- Code vs Data Length (CDL)
metasploitのexploit生成エンジンを利用して多数のテストコードを作成し、これと正常なトラフィックの双方を入力として学習を行っている。
"Digital Image Background Matching for Identifying Suspects"
同じくSession9から。画像解析の話。
デジタル写真の背景情報だけを比較する方法について。これは例えば犯罪現場の識別なんかに役立つ。
既存の特徴点抽出アルゴリズム
- Scale Invariant Feature Transform (SIFT): 特徴点と近傍の特徴ベクトルを抽出する方法。画像の拡大縮小などに対してロバストな性質を持つ。論文がこのへんにある。
- Speeded Up Robust Features (SURF): SIFTの特徴点抽出プロセスを高速にしたもの。論文がこのへんにある。
これらのアルゴリズムをそのまま適用すると比較すべき特徴点が多すぎるので、これを減らす工夫をしているらしい。