出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32432
原題: How to collect memory-only filesystems on Linux systems, (Wed, Oct 29th)
Linuxのメモリ上ファイルシステムからのフォレンジックデータ収集手法
Linuxのtmpfsやramfsなどのメモリ上ファイルシステムは、物理ディスク上に存在せず揮発性のため、通常のディスクフォレンジックとは異なる特別な収集手法が必要です。本記事では、これらのファイルシステムから信頼性の高いフォレンジックデータを取得するための方法を解説します。
主要なポイント
- メモリダンプの取得: LiMEやAVMLなどのツールを用いてシステムのRAM全体をダンプし、メモリ上のファイルシステム情報を含む全データを取得します。
- メモリダンプ解析: VolatilityやRekallなどのメモリフォレンジックフレームワークでtmpfsやramfsのメタデータやファイル内容を抽出。カーネルバージョンに応じた専用プラグインが必要です。
- ライブシステムからの直接抽出: /dev/shmなどのマウントポイントから直接ファイルをコピーする方法。ただし揮発性のためタイミングが重要で、root権限とシステム状態への影響を考慮します。
- カーネルモジュールやデバッグツールの活用: カーネル内部構造をダンプするモジュールやftrace、perfなどの動的解析ツールを用いて情報を取得する手法もあります。
- inodeメタデータの先行収集: ファイル内容の収集前にinodeのメタデータ(作成日時やアクセス権など)を取得し、タイムスタンプの更新を防ぐことが重要です。
技術的な詳細や背景情報
Linuxのtmpfsやramfsは、物理ディスクを介さずメモリ上に展開されるファイルシステムであり、ブロックデバイスが存在しません。そのため、ddコマンドなどの従来のディスクイメージ取得手法は利用できません。代わりに、システムのRAM全体をダンプし、メモリ内のカーネルデータ構造からファイルシステムの情報を抽出する必要があります。
具体的には、以下のような手順が推奨されます。
- メタデータ収集: findコマンドでtmpfsのマウントポイント(例:/dev/shm)を走査し、statコマンドでinode情報を取得。作成日時(birth time)など一部の情報は古いcoreutilsでは取得困難なため、最新の環境や補正処理が必要です。
- ファイル内容収集: メタデータ収集後にtarコマンドでファイルを圧縮しながらまとめて取得。ssh経由でリモートに送信し、ハッシュ値を計算して整合性を確認します。
- タイムスタンプ保護: inode情報を先に取得することで、ファイル内容を読む際のアクセス日時の更新を防ぎ、証拠の信頼性を高めます。
この手法はLinuxだけでなく、FreeBSDやSolarisなど他のUnix系システムでも応用可能であり、多数の実績があります。
影響や重要性
近年、攻撃者は/tmpfsや/dev/shmなどのメモリ上ファイルシステムを利用してマルウェアやツールを隠蔽し、検知を回避するケースが増えています。これらの領域は揮発性のため、迅速かつ正確な収集が求められます。
従来のディスクフォレンジック手法ではこれらの領域を取得できないため、メモリダンプと専用解析ツールを活用した新たなアプローチが不可欠です。適切な手順を踏むことで、攻撃者の痕跡を見逃さず、インシデント対応や証拠保全に大きく貢献します。
まとめ
Linuxのメモリ上ファイルシステムからのフォレンジックデータ収集は、揮発性の特性とブロックデバイス非対応という特殊性から、メモリダンプの取得と解析が中心となります。inodeメタデータを先に収集し、その後にファイル内容を取得する手順が信頼性を高める鍵です。
LiMEやAVMLなどのメモリ抽出ツール、VolatilityやRekallなどの解析フレームワーク、そしてfindやstat、tarといったLinux標準コマンドを組み合わせて活用することで、効果的な証拠収集が可能です。攻撃者の隠蔽技術に対抗するためにも、これらの手法を理解し迅速に対応できる体制を整えることが重要です。
