出典: SANS Internet Storm Center – https://isc.sans.edu/diary/rss/32432
原題: How to collect memory-only filesystems on Linux systems, (Wed, Oct 29th)
Linuxシステムにおけるメモリ専用ファイルシステムの収集方法
Linuxのメモリ専用ファイルシステム(tmpfs)は、攻撃者がツールを隠したりデータを持ち出すために悪用されることが増えています。しかし、これらのファイルシステムはブロックデバイスを持たないため、従来のイメージ取得方法が使えません。この記事では、ジム・クラウジング氏が提案するtmpfsのフォレンジックデータ収集手法を解説します。
主要なポイント
- tmpfsの特徴と課題:tmpfsはメモリ上にファイルシステムを構築するため、物理的なブロックデバイスが存在せず、ddコマンドなどのイメージ取得が不可能。
- メタデータの先行取得:ファイルのinode情報(メタデータ)を先に収集し、その後にファイル内容を取得することで、タイムスタンプの更新を防止。
- statコマンドの活用:findコマンドとstatコマンドを組み合わせ、ファイルの詳細情報をbodyfile形式で収集。これにより、The Sleuth Kitのmactimeでタイムライン解析が可能。
- ファイル内容の安全な収集:メタデータ収集後にtarコマンドでファイル内容を圧縮し、ssh経由で安全に転送。進捗確認やハッシュ値管理も実施。
- 多様な環境での適用実績:Linuxだけでなく、FreeBSDベースのJuniperルーターやSolaris 9でも有効な手法として実証済み。
技術的な詳細や背景情報
tmpfsはLinuxカーネルが提供するメモリ上の仮想ファイルシステムで、/dev/shmや/tmpなどにマウントされることが多いです。物理的なストレージデバイスを介さず、RAM上にファイルを保持するため、従来のブロックデバイスベースのイメージ取得ツールは利用できません。
ジム・クラウジング氏は、まずfindコマンドで対象のtmpfsを走査し、statコマンドでinodeのメタデータを取得します。statのフォーマット指定子(%N, %i, %A, %u, %g, %s, %X, %Y, %Z, %W)を用いてファイル名、inode番号、アクセス権、所有者情報、サイズ、アクセス・修正・変更・作成時刻を抽出。sedコマンドで古いstatバージョンの互換性も確保しています。
メタデータ収集後、ファイル内容はfindで通常ファイルのみをリストアップし、tarコマンドで圧縮しつつ標準出力に展開。ssh経由でリモートシステムに転送し、証拠保全を行います。これにより、ライブシステムの状態をできるだけ正確に保存可能です。
影響や重要性
攻撃者がtmpfsを利用してマルウェアやツールを隠すケースが増加している中、本手法はインシデントレスポンスやフォレンジック調査において重要な役割を果たします。従来のイメージ取得が不可能な環境でも、証拠保全を適切に行うことで、攻撃の全容解明や法的証拠としての信頼性を確保できます。
また、この方法はLinuxだけでなく、FreeBSDやSolarisなど他のUnix系OSにも応用可能であり、幅広い環境での調査対応力向上に寄与します。さらに、The Sleuth Kitのような既存のフォレンジックツールと連携できるため、分析作業の効率化にもつながります。
まとめ
Linuxのメモリ専用ファイルシステム(tmpfs)は攻撃者に悪用されやすく、従来のイメージ取得手法が使えないため、特殊な収集方法が必要です。ジム・クラウジング氏の提案する「メタデータ先行取得+ファイル内容後追い収集」手法は、信頼性の高い証拠保全を実現し、多くのシステムで実績を持ちます。今後のインシデントレスポンスにおいて、tmpfsのフォレンジック調査は必須のスキルとなるでしょう。
より詳細な技術や実践的なテクニックは、FOR577講義やDFIRConなどの専門イベントで学ぶことができます。Linux環境のセキュリティ対策・調査に携わる方は、ぜひ注目してください。
