ディジタルフォレンジックス・HDD【情報処理安全確保支援士試験 平成31年度 春期 午後2 問1 設問2】

【問合せ用PCの調査】
 状況の報告を受けたR課長は、問合せ用PCの調査を指示した。P君は、決められたインシデント対応手順に従い、まず問合せ用PCのHDDのコピー(以下、複製HDDという)を作成した。コピーは①ファイル単位ではなくセクタ単位で全セクタを対象とした。原本であるHDDはそのまま保全した。次に、予備のD-PCを新たな問合せ用PCとして設定して、問合せメールへの回答業務を継続できるようにした。

【感染経路の調査】
 P君が、複製HDDの中に残っていた直近6か月分の問合せメールについて調査したところ、本文にURLが記載されたメールが幾つかあった。その全てのURLのサイトを調査したが、どのサイトも改ざんの報告はなく、閲覧したとしてもマルウェアに感染するおそれがないサイトだった。
 問合せメールによるマルウェア感染がC&Cサーバとの通信の原因である可能性は低いと考えたP君は、調査方針をW主任に相談し、複製HDD内のログ及び関連機器内のログを調査することにした。その結果、図2の調査結果が得られた。


 この調査結果から、P君は、攻撃者がBさんの利用者IDとパスワードを入手し、それらを利用して無線LAN経由で問合せ用PCに不正にログオンしたと判断した。
 そこで、W主任は、不正なPCをW-APに接続させないための対策として、IEEE 802.1X認証の方式をEAP-TLSに変更する案を提案した。
 また、複製HDDの分析を続けたところ、マルウェアと思われるファイルが残っており、実行されていた痕跡があった。


設問2 本文中の下線①について、P君がこのようにコピーしたのは、何をどのような手段で調査することを想定したからか。調査する内容を20文字以内で調査の手段を25文字以内で具体的に述べよ。


HDDとは、ハードディスクドライブのことで、PCやデジタルデバイスにおいてデータを保存するために使う主要なストレージデバイスです。

HDDはデータの永続的な保存と大容量ストレージが必要な場合に便利ですが、高速なデータアクセスが求められる場合や携帯性が必要な場合には、SSD(ソリッドステートドライブ)などの他のストレージテクノロジーが選択肢として考えられます。


下線部①には、「ファイル単位ではなく、セクタ単位で取得する」とあります。

セクタとは、データをストレージデバイス上に区切り、管理するための単位です。

データを消去した時、ファイルシステムのインデックス(目次のようなもの)が削除されます。

もし、ファイル単位でコピーしていた場合、特定のファイルが削除されると、そのファイルのインデックスが削除され、そのファイルがファイルシステム内での場所が示されなくなります。


そのため、ユーザーは一般的な手法ではアクセスできなくなります。調査時もファイルが見つかりません。


ですが、実際はインデックスが削除されただけなので、データの物理的な削除は行われていないのです。

セクタ単位でコピーしていたら、削除したデータの物理データを保持しているため、復元が可能です。

実際、HDDやSDDといった物理データを保存するストレージデバイスの最小管理単位はセクタです。
通常のファイル削除操作では、ファイルのインデックスが削除され、ユーザーからはアクセスできなくなりますが、物理的なデータはまだ残っている可能性があります。そういったデータも管理するために、HDDやSDDはセクタ単位で管理するのです。

ちなみに、コンピュータはクラスタ単位でデータを扱います。

クラスタはセクタが複数個集まった単位です。

「内容」:削除されたファイルの内容

「手段」:セクタの情報から削除されたファイルを復元する。