"Hypothesis-Based Investigation of Digital Timestamps"

Session 10: Security and Integrity Techniquesから。
コンピュータに設定されているクロックは実際の時間（時刻）と当然同じではなく、あくまでも時間の関数に過ぎない。ずれたり、変更されたりする。そこでタイムスタンプを生成するイベントの相互の依存性に着目して、クロックについての仮説を検証する手法を提案。ここでいうクロックの仮説というのは、時刻のずれなどを表現した非連続な関数のこと。

仮説検証の方法

• イベントの整合性をチェック(Consistency)
• イベント間の因果関係をチェック（Causality）。例としてNTFSのMFTエントリの割り当て。MFTの再割り当てが発生しても、Sequence Numberは増加するので、その順序関係は明確。
• アクションとタイムスタンプ間の依存関係のチェック。ひとつのアクションが複数のタイムスタンプに影響を与えるのが普通。同じくNTFSの例では、Accessed Timeは Created TimeやModified Timeよりも常に新しいか、または同じでなければおかしい。

もっとも例に挙げているようなNTFSのタイムスタンプなどは簡単に変更できてしまうため、外部から不正侵入があった場合などでは、このような信頼できないタイムスタンプを利用した検証は難しいように思う。

"A Time-Analysis Comparison of Hard Drive Imaging Tools"

Session 11: Forensic Toolsから。
2つのディスクイメージ作成ツールの比較。大学でこのような機器の購入を決裁申請するために、コストパフォーマンスを明確にする必要があったとか。

比較したのは以下の2つ

• ImageMASSter Solo III Forensics Unit (ICS) => Read: 3GB/min, Cost: $2000
• Talon Forensics Unit (Logicube) => Read: 4GB/min, Cost: $3000

IDEとSATAの2種類のHDDで、80/120/250GBの3つのサイズについてコピーの速度を比較。Talonのほうがいずれも早いが、IDEではサイズが大きくなるほど差は縮まるのに、逆にSATAでは差が拡がるという結果。それだけ。

ちなみにこのImageMasster Solo、日本ではUBICが取り扱っている。Talonはよくわからない。あとはYECのImageBlasterという選択肢もあり。

"A Virtual Digital Forensics Laboratory"

同じくSession11から。
インターネット経由で利用できるフォレンジックラボ環境の話。調査をする技術者や法律家による利用を想定。ロールベースでのアクセス制御と2要素認証を行う。システム構成としては、VMware ESXで仮想環境を利用者に提供。ストレージはSAN（X ServerのRAID）。

日本でもこのような環境を構築する動きはあるのだろうか？

"Real Time Detection of Criminal Activities by Monitoring Suspicious Employee Behavior"

Short Paper Sessionから。大半は日本からで、正直あまり印象に残っるものがなかったのでひとつだけ。

内部犯行を検出するための手法を提案。以下の2つの情報を利用する。

• 身体的な情報 (Heart Beat)
• 行動の変化 (周りを気にする視線の変化)

実験環境でどのような変化が起こるかを確認している。Heart Beatは被験者に測定装置を取り付け、視線の変化についてはカメラで確認。

Heart Beatなどの身体情報を簡単に取得できるようになれば現実味が増すかも。ただし心理的抵抗を減らす工夫は必要。またはたしてこのような行為が法的に許可されるものになるのかどうか、という疑問は残る。

全体の感想

いろいろと収穫は多かった。今後も機会があれば積極的にこうしたカンファレンスに参加したい。デジタル・フォレンジックは世界的に見てもまだまだこれからの分野。日本でもより多くの人が関わっていくようになると思う。力を発揮する余地も大きい。

Technorati: デジタル・フォレンジック, Digital Forensics