モバイル デジタル フォレンジックのガイド

セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、マイクロソフト セキュリティ製品マーケティング マネージャーのNatalia Godylaが、 Cellebrite のデジタル インテリジェンス担当シニア ディレクターであるHeather Mahalikと対談しています。このブログ投稿では、Heather がモバイル フォレンジックに特に焦点を当てて、技術的なガイダンスから雇用のベスト プラクティスまで、デジタル フォレンジックについて語っています。

ナタリア: デジタル フォレンジックとは何ですか? なぜ重要なのですか?

Heather : サイバーセキュリティは、予防、保護、および防御に関するものです。デジタル フォレンジックは対応であり、通常はインシデントによってトリガーされます。 「いやいや、積極的にやっている」という人もいます。たとえば、誰かが外国に旅行していて、自分のモバイル デバイスに何かが着陸するかどうかを知りたいとします。以前にそのデバイスで事前にスキャンまたはフォレンジックを実行してから、変更後の変更を確認することができます。これはまれな状況ですが、通常はインシデントが発生し、誰かが来て片付けをする必要がある場合です。

ナタリア: モバイル フォレンジックは、他の形態のフォレンジックとどう違うのですか?

Heather : モバイル フォレンジックは動きが速いです。 モバイル デバイスの会社は、デバイスとオペレーティング システムを常に更新しています。私たちが依存しているアプリケーションは更新されています。私がデジタル フォレンジック全体 (コンピューター、PC、macOS) を行ったとき、アップデートはモバイルの場合と同じではありませんでした。私たちを締め出すレベルと暗号化もあり、それらはすべてのモバイルデバイスで異なります.

2002 年にフォレンジックを学んだとき、それは次のようなものでした。このようにデータが配置されます。これは、毎回期待できることです。」モバイル フォレンジックでは、毎回同じことを期待することはできません。取り組むすべてのケースで、何か新しいことを学ぶ必要がある差異があります。飽きないから好きだけど、もどかしい。 「OK、私はマスターになりました」と言うのはとても難しいです。あなたは決してモバイル フォレンジックの達人ではありません。

ナタリア: モバイル フォレンジックのワークフローはどのようなものですか?

Heather : 私はいつも、ゆりかごから墓場までのフォレンジックという用語を使用しています。最初に開始したときにそれを取得し、レポートでそれを停止します。最初から最後まで行う場合は、目の前にあるモバイル デバイスから始めます。考慮すべきことの 1 つは、リモート アクセスです。これには、良い面と悪い面があります。サードパーティのアプリケーションの中には、情報を抽出するためにデバイスをネットワークに接続する必要があるものがありますが、これはフォレンジックについて読むすべてに反します。ネットワークから隔離します。保護されていることを確認してください。デバイスへの接続がありません。

次のフェーズは、デバイスからデータを取得することです。これを行うには、さまざまなツールと方法があります。徹底的な分析を行うには、バックグラウンドですべてのログが必要になるため、そのファイル システムにできるだけ多くアクセスする必要があります。

その後、トリアージをお勧めします。誰が、何を、どこで、いつ、なぜ、どのように解決するかを検討します。そのデバイスからすぐに得られる手がかりはありますか?次に、フォレンジック ツールと分析ツールを使用してさらに深く掘り下げます。

ナタリア: 調査にアプローチする最善の方法は何ですか?

Heather : 同じケースで人々にさまざまな方法で取り組んでもらった研究がありました。ある人にはケースのシナリオ全体が与えられました — 「これは私たちが起こったことだと思います」 — そして別の人は特定の質問だけ — 「これらのものを見つけてください.」真ん中が最高です。「私たちは X について解こうとしています。これらは、X にたどり着くのに役立つと思われる質問です。答えていただけますか?」

他の人があなたのレポートに穴を開け始めた場合、追加の証拠が必要になり、通常はそれが検証を強制します。誰かがそのレポートを見て、それと戦っていない場合、それはそれが真実であることを知っているからです.

ナタリア: 科学捜査官が犯しがちな過ちは何ですか?

Heather : 私が目にする最大の間違いは、証拠を検証せずにフォレンジック ツールの報告を信頼することです。あなたの電話について考えてみてください。ルームメイトが使用しているコンピューターからアーティファクトを同期し、今はあなたの電話に入れていますか?検索ブラウザに入力しているときに推奨されるような提案ですか?編集していない共有ドキュメントですか?証拠がどのようにそこに到達したかについて、これらすべての考慮事項があります。電話の抽出から報告に進むべきではありません。間に大きなピースがあります。レポートに含める前に、複数の方法とツールを使用して検証および検証してください。

ナタリア: 通常、フォレンジック調査チームは社内ですか、それともコンサルタントですか?

Heather : 両方あるかもしれません。それは、あなたが誰かを必要とする頻度によって異なります。私は、 インシデント対応サービスを提供する大企業のコンサルタントを務めてきました。通常、彼らはモバイル インシデントを目にすることはありません。 1 人を採用する場合、その人がモバイル、macOS、PC、およびネットワーク セキュリティの達人であることを期待しないでください。

インシデント対応の調査を行っている場合は、インシデント対応、メモリ フォレンジック、およびネットワーク フォレンジックの経験を持つ人が必要です。私がいた環境では、デッド ディスク フォレンジックの経験が必要です。そのため、PC、macOS、およびモバイルのマスターである人が必要です。収集されるのは通常、保存されているデータだからです。ランサムウェアやハッキングよりもテロリズムや犯罪の方が多いのです。調査対象がテロリズム/犯罪、ランサムウェア/ハッキングのすべてである場合は、フォレンジック チームが必要です。なぜなら、人々がそのスペクトルの両方の側にいて、両方に本当に優れていることはめったにないからです。

ナタリア: フォレンジック チームの採用と管理を検討しているセキュリティ リーダーに、どのようなアドバイスをしますか?

Heather : 人を雇うときは、彼らが何を知っているかを疑いましょう。私は採用チームに所属していた多くの場所で働いてきましたが、誰かが「X 認定資格を持っていれば、次のレベルにスキップできます」と言うでしょう。資格を持っていないからといって、それを知らないわけではありません。また、誰かがどのように得点したかもわかりません。私たちがフォレンジックで行っていることでは、遭遇したことのいくつかを乗り越えるためにチームメイトに頼る必要があるため、それが文化的にも適切であることを確認してください.

スキル構築に関しては、SANS Institute などのベンダーが提供する無料の Capture the Flag でプレイするようチームに勧めることをお勧めします。雇い主は、人々を集めて、「3 人で一緒に働いて様子を見てほしい」と言うかもしれません。従業員にインスピレーションを与え、学び続けたいと思わせるトレーニングを受けさせることが重要です。

ナタリア：役の難しさについて言及してくれてありがとう。捜査官としてのメンタルヘルスの課題について率直に話し合うことが重要です。調査で見つかった情報をどのように処理しますか?また、DFIR レビューなどのツールはどのように役立ちますか?

Heather : 私は同僚によく頼っています。特に、行方不明者、裁判にかけられる人、失業者などの大きな事件の場合は、大きなプレッシャーになります。そのプレッシャーを理解し、それを忘れる手助けをしてくれる人が必要です。

Digital Forensics and Incident Response (DFIR) のレビューは、約 2 年前に発表されました。私は自分のホワイトペーパーと研究の多くをより深いレビュー プロセスにかけました。なぜなら、それはあなたの仕事を検証する他の専門家のグループだからです。これにより、多くの組織が快適に感じるようになります。 「私は、このデバイスが X 日に消去され、Heather が論文を書き、査読を受け、ゴールド シールを取得したため、誰かが痕跡を隠そうとしたことを知っています。」それは多くのプレッシャーを和らげます。

もっと詳しく知る

サイバーセキュリティ戦略とアーキテクチャの構築と実装に役立つ Microsoft の技術ガイダンスをご覧ください。

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。