McAfee Avert Labs Blog
COFEE Break Turns Messy」より
November 20,2009 Posted by Francois Paget

 様々なサイバー犯罪捜査に共通する課題は,関与したパソコンの電源を切られたり再起動されたりする前に分析しなければならないことだ。動いているシステム・プロセスの情報やネットワークにかかわるデータは失われやすく,パソコンの電源が切れると消えてしまう。そこで,捜査官たちは極めて短い時間内でのデータ収集に使える犯罪捜査用ツールを探し求めていた。このような背景から,米マイクロソフトと全米ホワイトカラー犯罪センター(NW3C)は2009年10月,NW3Cが米国初の「Computer Online Forensic Evidence Extractor(COFEE)」配布組織になると発表したのだ(訳注:COFEEは,マイクロソフトが開発し,世界各地の犯罪捜査機関に配布しているUSBメモリーに入ったソフトウエア・ツール。捜査対象のパソコンに挿すことで,さまざまなデータを取得できる)。

 先ごろCOFEEのソフトウエアがインターネットに流出したらしい。「DrWeird of Eti.in」という偽名を使う人物が11月10日,関連文書と実際に動くソフトウエア(Version 1.1.2)をオンライン公開したのだ。

 今回は入手したCOFEEのマニュアルを参考にして,ポイントをいくつか詳しく説明しよう。

 COFEEは「Windows XP」に対応しており,大きく分けて(1)捜査官が使うGUI,(2)捜査対象パソコンで実行するコマンドライン・アプリケーション,(3)COFEE自体とコマンドライン・アプリケーションの管理下にある各種ツールという三つの要素で構成される。マニュアルの解説によると,実行手順は(1)ツール生成,(2)データ取得,(3)報告書作成の3フェーズに分かれている。

 ツール生成フェーズでは,IT犯罪分析の専門家が各犯罪の要件を勘案して捜査対象パソコンで動かすツールを選ぶ。実行するツール(スイッチを含む)の選択は,設定済みプロファイルを選んだり,自分でプロファイルを作ったりして行う。

 ツール生成作業の負担を軽減するため,設定済みプロファイルが2種類用意してあった。一つ目は「Volatile Data Profile」で,情報収集を実行できる。関連するプログラムは,どれも捜査対象ファイル・システムに直接データを書き込むことはない。二つ目の「Incident Response Profile」は,捜査対象パソコンで分析ツールを実行できない場合に使うツールだ。捜査するファイル・システムに与える影響をできるだけ抑えるように作られている。

 ツール実行の準備が整ったら,捜査官がパソコンのUSBポートにCOFEEを挿す。するとデータ取得フェーズが始まり,集めたデータをすべてUSBメモリーに保存する。

 データ収集を終えた捜査官は,自分のパソコンのGUIコンソールに情報を読み込ませて報告書作成フェーズを開始し,報告書を書く。

 筆者が以前指摘したように,犯罪捜査機関が捜査用ツールを作ると,今のご時世なら間違いなく悪者の手にわたってしまう。悪者たちは喜んでツールを解析し,自分たちの目的に再利用する。COFEE本来の検出ポリシーや現在持っている機能,今後リリースされる可能性のある改良版については,まだまだ議論が続いている。今回流出したソフトウエアは大して重大なものでなく,以前から広く使われている既知のツールをまとめただけのものだった。ただし,この流出事件のおかげで,一つの同じツールが全く違う動機や目的に使えるということを思い出した。


Copyrights (C) 2009 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「COFEE Break Turns Messy」でお読みいただけます。