フォレンジックデータ

ウイルス、マルウェア、ランサムウェアは、データを盗んだり改ざんしたりするなどの悪質なアクティビティを行います。これらのアクティビティの調査が必要になる場合がありますが、調査が可能なのはデジタル痕跡が残されている場合に限られます。しかし、ファイルやアクティビティのトレースなどデジタル痕跡の一部が削除されていたり、悪意のあるアクティビティの影響を受けたマシンが利用できなくなったりしている場合があります。

フォレンジックデータを伴うバックアップでは、調査担当者が、通常のディスクバックアップには含まれてないディスク領域を分析できます。[フォレンジックデータ] というバックアップオプションを使用すれば、フォレンジック調査に使用できるデジタル痕跡として、未使用のディスク領域のスナップショット、メモリーダンプ、実行中のプロセスのスナップショットを収集することができます。

フォレンジックデータが含まれているバックアップでは、自動的に公証が行われます。

[フォレンジックデータ] オプションを使用できるのは、以下のオペレーティングシステムを搭載したWindowsマシンのマシン全体のバックアップのみです。

  • Windows 8.1、Windows 10
  • Windows Server 2012 R2~Windows Server 2019

以下のマシンでは、フォレンジックデータを伴うバックアップを利用できません。

  • VPN経由でネットワークに接続していて、インターネットに直接アクセスすることができないマシン
  • BitLockerで暗号化されたディスクを持つマシン

バックアップモジュールを有効にした保護計画をマシンに適用した後は、フォレンジックデータの設定を変更することはできません。別のフォレンジックデータ設定を使用する場合は、新しい保護計画を作成してください。

フォレンジックデータを伴うバックアップは、以下のロケーションに保存することができます。

  • クラウドストレージ

  • ローカルフォルダ

    USBで接続した外付けハードディスクの場合のみ、ローカルフォルダのロケーションがサポートされます。

    ローカルダイナミックディスクは、フォレンジックデータのバックアップロケーションとしてはサポートされていません。

  • ネットワークフォルダ

フォレンジックバックアップのプロセス

フォレンジックバックアップのプロセスでは、システムが以下の処理を実行します。

  1. 未処理のメモリダンプを収集し、実行中のプロセスのリストを作成します。
  2. ブータブルメディアで自動的にマシンを再起動します。
  3. 占有済みの領域と未割り当ての領域の両方を組み込んだバックアップを作成します。
  4. バックアップしたディスクの公証を行います。
  5. ライブのオペレーティングシステムで再起動して、計画を引き続き実行します(レプリケーション、保持、ベリファイなど)。

フォレンジックデータの収集を構成するには

  1. サービスコンソールで [デバイス] > [すべてのデバイス] に進みます。あるいは、[計画] タブで保護計画を作成することも可能です。
  2. 対象のデバイスを選択して、[保護] をクリックします。
  3. 保護計画で [バックアップ] モジュールを有効にします。
  4. [バックアップの対象][マシン全体] を選択します。
  5. [バックアップオプション][変更] をクリックします。
  6. [フォレンジックデータ] オプションを見つけます。

  7. [フォレンジックデータの収集] を有効にします。システムが自動的にメモリダンプを収集し、実行中のプロセスのスナップショットを作成します。

    フルメモリダンプには、パスワードなどの機密データも含まれている可能性があります。

  8. ロケーションを指定します。
  9. [今すぐ実行] をクリックして、フォレンジックデータのバックアップをすぐに実行するか、スケジュールに沿ってバックアップが作成されるのを待ちます。
  10. [ダッシュボード] > [アクティビティ] に進み、フォレンジックデータのバックアップが正常に作成されていることを確認します。

バックアップにフォレンジックデータが組み込まれるので、そのデータを抽出して分析できるようになります。フォレンジックデータが含まれているバックアップには、そのことを示すマークが付くので、[バックアップストレージ] > [ロケーション] で、[フォレンジックデータのみ] オプションを使用すれば、フィルタリングによって他のバックアップと区別して表示できます。

バックアップからフォレンジックデータを抽出する方法

  1. サービスコンソールで [バックアップストレージ] に進み、フォレンジックデータが含まれているバックアップのロケーションを選択します。
  2. フォレンジックデータのバックアップを選択し、[バックアップの表示] をクリックします。

  3. フォレンジックデータのバックアップの [復元] をクリックします。

    • フォレンジックデータだけを抽出する場合は、[フォレンジックデータ] をクリックします。

      フォレンジックデータが含まれているフォルダが表示されます。メモリダンプファイルや他のフォレンジックファイルを選択して、[ダウンロード] をクリックします。

    • フォレンジックバックアップ全体を復元する場合は、[マシン全体] をクリックします。起動モードなしでバックアップが復元されます。その結果、ディスクが変更されていないことを確認できるようになります。

サードパーティ製のフォレンジックソフトウェアでメモリダンプを分析することも可能です。例えば、メモリを詳しく分析するためのVolatility Framework(https://www.volatilityfoundation.org/)などがあります。