自衛隊調達巡り(158)サイバー防衛隊 攻勢への布石 部外教育受講(デジタル・フォレンジング)
提出期限:令和3年8月16日
防衛省統合幕僚監部
部外教育受講(デジタル・フォレンジング)
https://www.mod.go.jp/js/Supply/open_bid/c20210815_01.pdf
自衛隊指揮通信システム隊の隊員に、その業務遂行に必要な知識を習得させるためのものとある。フォレンジングとは日本語では法医学などと訳されることもあり、犯罪の痕跡を捜査することだ。
この仕様書の教育内容をみると、こちらのものを、そのまま利用したようである。サイバー戦態勢は、ハイハイ歩きで、歩み出したばかりということだろう。赤ん坊も人まねで、成長するのだから仕方ない。
スペシャリスト育成コース デジタル・フォレンジック デジタル・フォレンジックコース~侵害調査の基礎訓練~
https://www.lac.co.jp/service/education/digitalforensic.html
まあ無理もないだろう。余程の知識がなければ仕様を決めるのは困難である。
ここでは「ウイルス対策ソフトによるフルスキャン”といった対応手順では、攻撃者が設置した遠隔操作マルウェアなどを発見できない事案が増加傾向」しており「初動対応を行うことにより、被害拡大の防止、影響範囲の確認、情報漏洩を判断する基礎的な手法について演習形式で学ぶ」ということである。
教育内容は、1、プロキシログ解析、2.マルウェアの手動探索、3. プログラム実行痕跡調査、4 ファイルシステムのログ調査及び5 削除ファイルから構成されている。
1、プロキシログ解析については、次の3つの内容からなる。
11 遠隔操作マルウェアとC2サーバとの通信
1.2 マルウェアによる通信の特徴
1.3 マルウェアによる不正通信の調査演習
プロキシは、内部ネットワークとインターネット間の通信を中継する役割をするから、プロキシ解析は悪意のあるものが侵入した形跡を探すことをいう。マルウェアは、コンピュータ・ウイルスのような悪さをするものの総称で、C2サーバは、マルウェアを送って乗っ取ったサーバーを操るサーバーのことだ。送り込まれたマルウェアは、C2サーバの指示を受けるから、そのやり取りを調べるのである。マルウエアは、C2サーバと定期連絡を取ろうとするらしいが、その繰り返しや、マルウエアが行う探索やダウンロードなどのイベントの遷移のパターンの繰り返しを行ったりする。これを攻撃者行動遷移というそうだ。その痕跡を調べるということだろう。「侵害されている機器を特定し影響範囲を確認」するために行うらしい。
2.マルウェアの手動探索については次の3つの内容からなる。
2.1 マルウェアの特徴と自動起動の手口(TTPS)
2.2 マルウェアを発見する3つの観点
2.3 ツールを利用したASEP(自動開始拡張ポイント)の調査演習
「ウイルス対策ソフトでは検知できない遠隔操作マルウェアを探し出す」のが目的だそうだ。TTPは、Tactics, Techniques and Proceduresの略で、戦術、技術及び手順が訳語となる。要するにマルウエアの戦術、技術及び手順などの手口の説明だろう。
手口や発見する観点を知って、自動的に起動するソフトウェアがどこ(Autostart Extensibility Points)にあるかを探すようだ。マルウェアがASEPを悪用するからだそうだ。
- プログラム実行痕跡調査は次のとおりである。
3.1 プリフェッチファイルを利用した侵害確認
3.2 フェッチファイルの可視化と調査
3.3 侵害範囲調査演習
「横展開や情報漏洩などの影響について確認し、被害拡大防止に必要となるIOC(Indicator of Compromise)情報を収集」が目的である。要するに攻撃痕跡情報を調べるわけである。
プリフェッチというのは、使用するソフトが起動するときに、どんな実行ファイルが起動するのかを記憶し、予めメモりに読み込んでおく、ハードディスクから読み出すより高速に処理が行えるようにすることで、あり、その機能を悪用している状況を調査するようだ。
ハードディスクなどの外部記憶装置の読み出し速度は遅いから、内蔵メモリやキャッシュメモリという中央処理装置内のメモリに、頻繁に使用するものを映しておくことは、コンピュータの一般的な動作だ。
このようなメモリーは揮発性メモリーだから電源を落とすと消えてしまうが、痕跡は残るのだろうか。特に高速読み出しのメモリーは静電気で記憶しているに過ぎないから放電すればアウトだろう。
4 ファイルシステムのログ調査については次のようになっている。
4.1 ファイルシステムのログを利用した侵害確認
4.2 NTFS USNジャーナルの可視化と調査
4.3 USN ジャーナルによる攻撃痕跡調査演習
目的は「該当機器における影響範囲や、被害拡大防止に必要となるIOC情報を収集」することと書いてある。
NTFSは、Windows NT系ファイルを管理する仕組みである。Windows 9x系以前ではFATが使われていた。
USN ジャーナルとは、ファイルやフォルダーに対する変更処理を記録している情報のことだ。バックアップ/アンチウイルス等の処理の高速化のために使われているものだそうだ。削除を検索すると削除されたログを確認できるらしい。またフォルダーのパスも調べることができるようだが、フォルダーが既に削除されているとエラーになるそうである。
最近は、マルウェアがUSNジャーナルを削除処理するものが登場しているようだ。
5 削除ファイルの調査については、次のとおりである。
5.1削除ファイルの状態遷移
5.2削除ファイルの復元手法「カービング」
5.3攻撃者の隠蔽口を模したファイル探索演習
「該当機器における影響範囲や、被害拡大防止に必要となるIOC情報を収集」
を目的とするようである。
NTFSなどの、ファイルシステムにはファイル名、作成日、更新日時など(METAデータと言われる物)が格納されている。ゴミ箱から削除されたファイルはMETAデータの文字列を消したに過ぎず、データそのものは残っている。METAデータが指し示したページを復旧する方法がカービングである。
ヘッダとフッタのフラグを利用し、記憶されていたデバイスからファイルを抽出するようだ。
その後、抽出したファイルを、ファイルシステムやログファイルなどのタイムスタンプ情報を元に、過去の事象を時系列に整理して、痕跡を調査したり、セクタ情報の文字コードについて、キーワードを入力し、ハードディスクの未使用(である筈の)領域などを対象に文字コード検索を行い、過去にMETAデータが削除されたデータの存在痕跡やデータ内容を確認する。
これらによって隠ぺい、破壊されたデータの復元、操作履歴の復元や調査、パスワードの解析などに利用できるわけだ。
サイバー攻撃の痕跡を見つけ、攻撃者を追跡したり、その証拠を得ることもできるし、コンピュータを確保できれば、様々な情報を得ることができる。
下のサイトも参考になる。
通信挙動に基づくマルウェア種別分類手法 Malware Type …
https://webcache.googleusercontent.com/search?q=cache:ZDdU3VQ2t50J:https://ipsj.ixsq.nii.ac.jp/ej/%3Faction%3Drepository_uri%26item_id%3D187324%26file_id%3D1%26file_no%3D1+&cd=3&hl=ja&ct=clnk&gl=jp
これだけの専門的な内容を2日間だけで行うとあるが、かなりコンピュータに詳しくないと理解するのは難しそうだ。受講人数は4名だ。サイバー防衛隊要員と調整するとあるから、スペシャリストための教育なのだろう。
(151)で紹介した、海曹士専修科情報セキュリティ課程部外委託教育は、守りに徹している内容であるが、今回の調達は攻勢的な内容と言える。保全監査隊の任務がそうなのだろう。
陸上自衛隊通信学校による(121)高度サイバー基礎集合教育(セキュアコーディング技術、ペネトレーションテスト用ツール作成技術及び不正通信検知回避技術についての実習)については下のとおりである。
これの教育内容が上のURLからは現在観ることができないが、下のURLで見ることができる。
教育項目は下の様なものだが、Cの部分が同じような内容を含んでいるようだ。
a) セキュアコーディング技術(基準)
b) ペネトレーションテスト用ツール作成技術(基準)
c) 不正通信検知回避技術(基準)
陸上自衛隊通信学校は、あくまで教育のためのものだから、部隊の任務に供するために、様々なニーズに対応できるようにしていると思う。
情報本部の(103)デジタル通信関連情報保証要員の教育では、デジタルフォレンジックも含んでいるが、総花的で、ありとあらゆるものを含めている。もっとも人員も別々に、それぞれの教育を受けるものとなっている。実務者向けというよりは、情報活動のための必要知識という感じだ。
(102)部外教育受講(CND(Certified Network Defender))は、同じく防衛省統合幕僚監部のもので、仕様書も自衛隊指揮通信システム隊であるが、こちらは、その名称どおり防御的な内容だ。自衛隊指揮通信システム隊は個別に専門性を求めているようだ。
比較してみると、サイバー戦に対する役割分担のようなものが朧気に見えてくるようだ。サイバー防衛隊は、やはり戦闘というところを射程に置いているのだろう。
教場の範囲は市ヶ谷基地・駐屯地から8㎞以内だとしている。JR亀戸駅、JR潮見駅、臨海高速鉄道東京テレポート駅、京急新馬場駅、東急武蔵小山駅、東急山下停車場、東京メトロ南阿佐ヶ谷駅、西武鷺ノ宮駅、東武ときわ台駅、JR東十条駅、舎人ライナー扇大橋駅、京成千住大橋駅及び東京メトロ押上駅の辺りになる。
(151)では市ヶ谷基地・駐屯地最寄り駅から30分以内という指定だった。やや、こちらの方が内側になっている。もちろん(151)では線路間だと8㎞より内側になる。もし駅から近いところなら20分強、線路から離れれば40~50分はかかるのではないだろうか。
軍事問題研究会関連資料販売 注文はこちらへ
(資料番号:21.7.25-1)「国家のサイバー攻撃とパブリック・アトリビューション:ファイブ・アイズ諸国のアトリビューション連合とSolarWinds事案対応」『NIDSコメンタリー』(防衛研究所)第179号(2021年7月15日)
正会員複写代 \700円(15頁×\40円+送料・手数料\100円)
(資料番号:21.5.14-4)「次期サイバーセキュリティ戦略 骨子」(2021年5月13日)
正会員複写代 ¥1,540円(36頁×¥40円+送料・手数料¥100円)
(資料番号:21.6.17-3)「サイバー行動に適用される国際法に関する日本政府の基本的な立場」(2021年5月28日 外務省)
正会員複写代 ¥460円(9頁×¥40円+送料・手数料¥100円)
(資料番号:20.9.23-5)「サイバー空間での規範形成に向けた取組の現状と展望に関する実験的考察―自由主義陣営と権威主義陣営が繰り広げる『両性の闘い』に着目して―」『安全保障戦略研究』(防衛研究所)第1巻第1号(2020年8月)掲載
正会員複写代 \820円(18頁×\40円+送料・手数料\100円)
(資料番号:20.8.16-3)「武力攻撃未満のサイバー攻撃に対する対応とその法的根拠」(防衛研究所平成28年度基礎研究成果報告書)
正会員複写代 ¥820円(18頁×¥40円+送料・手数料¥100円)
(資料番号:20.6.12-1)「『情報安全保障』としてのロシアのサイバー戦」『鵬友』2019年7月号掲載
正会員複写代 \660円(14頁×\40円+手数料・送料\100円)
(資料番号:20.6.5-1)「複雑化するサイバー規範プロセスの動向」『NIDSコメンタリー』(防衛研究所)第118号(2020年6月2日)
正会員複写代 ¥340円(6頁×¥40円+送料・手数料¥100円)
(資料番号:20.5.28-1)「『陸上自衛隊のサイバー戦の具体化に関する研究』研究成果(終了報告)について(報告)」(研本研第48号 26.4.25)
正会員複写代 \1,000円(161頁。送料・手数料込み)
(資料番号:20.5.26-1)「自衛隊、米国軍等のサイバー攻撃対処能力の強化」『レファレンス』(国立国会図書館調査及び立法考査局)2020年5月号掲載
正会員複写代 \1,100円(25頁×\40円+送料・手数料\100円)
(資料番号:20.3.9-3)「各国におけるサイバー攻撃への対応に係る法的課題と対策の方向性」(防衛研究所平成27年度特別研究成果報告書)
正会員複写代 ¥1,980円(47頁×¥40円+送料・手数料¥100円)
(資料番号:19.12.26-1)「サイバー研究所の分析」『海幹校戦略研究』(海上自衛隊幹部学校)第9巻第1号(2019年7月)掲載
正会員複写代 \1,020円(23頁×\40円+送料・手数料\100円)
(資料番号:19.9.9-4)「研究開発ビジョン~多次元統合防衛力の実現とその先へ~解説資料『サイバー防衛の取組』」(2019年8月30日 防衛装備庁)
正会員複写代 \820円(18頁×\40円+送料・手数料\100円)
(資料番号:19.6.25-1)「サイバー攻撃にミサイルで応酬―イスラエルのハマス・サイバー工作員攻撃を受けて―」(海上自衛隊幹部学校戦略研究会 コラム139 2019/06/18)
正会員複写代 \260円(4頁×\40円+送料・手数料\100円)
(資料番号:19.5.28-4)「武力攻撃としてのサイバー攻撃―2プラス2発表を受けて―」(海上自衛隊幹部学校戦略研究会 コラム136 2019/05/16)
正会員複写代 \260円(4頁×\40円+送料・手数料\100円)
(資料番号:19.3.22-2)「『サイバー「防衛」外交』の視点―日ASEAN協力を事例として」『NIDSコメンタリー』(防衛研究所)第94号(2019年3月14日)
正会員複写代 \340円(6頁×\40円+送料・手数料\100円)
(資料番号:18.8.26-1)「グローバル・コモンズ(サイバー空間、宇宙、北極海)における日米同盟の新しい課題」(平成25年度外務省外交・安全保障調査研究事業(調査研究事業))
正会員複写代 \3,705円(103頁×\35円+送料・手数料\100円)
(資料番号:17.10.6-2)「サイバー戦入門(2)―サイバー戦の概念と作戦―」『波涛』2017年1月号
正会員複写代 \900円(20頁×\40円+送料・手数料\100円)
(資料番号:17.10.6-1)「サイバー戦入門―サイバー攻撃の仕組みと技術的対策―」『波涛』2016年7・10合併号
正会員複写代 \1,100円(25頁×\40円+送料・手数料\100円)
(資料番号:17.9.1-2)「中国のサイバー能力の現状」『鵬友』2016年11月号、2017年1月号連載
正会員複写代 \1,580円(37頁×\40円+送料・手数料\100)
(資料番号:17.6.22-1)「サイバー空間を通じた監視活動の法的評価―間諜行為、主権侵害と人権法(プライバシーの侵害)の観点から―」『防衛研究所紀要』第19巻第2号(2017年3月)掲載
正会員複写代 \940円(21頁×\40円+送料・手数料\100円)
(資料番号:17.6.15-2)「米国におけるサイバーセキュリティに関する政策及び、議論の動向」(防衛研究所平成25年度基礎研究成果報告書)
正会員複写代 \1,420円(33頁×\40円+送料・手数料\100円)
(資料番号:15.8.24-1)「陸上自衛隊のサイバー戦(仮称)の在り方(終了報告)」(陸研本研秘第25-12)
正会員複写代 \500円(161頁。送料・手数料込み)
(資料番号:15.3.24-2)「サイバー空間のガバナンスをめぐる論争」『NIDSコメンタリー』(防衛研究所)第43号(2015年3月20日)
正会員複写代 \300円(5頁×\40円+送料・手数料\100円)
(資料番号:14.8.28-1)「サイバー戦の将来―ルビコン川を渡ったサイバー戦は、何処へ向かうのか―」『陸戦研究』2014年5~6月号連載
正会員複写代 \1,660円(39頁×\40円+送料・手数料\100円)
(資料番号:14.2.24-4)「情報セキュリティ技術とサイバー攻撃手法の動向調査」(航空自衛隊幹部学校研究部 2012年3月)
正会員複写代 \3,705円(103頁×\35円+送料・手数料\100円)
(資料番号:14.2.10-2)「海上自衛隊サイバー攻撃等対処要領について(通達)」(海幕指通第2999号 25.3.27)
正会員複写代 \1,660円(39頁×\40円+送料・手数料\100円)
(資料番号:14.1.29-2)「平成24年度作戦法規巡回講習―無人機の運用及びサイバー攻撃に関する国際法上の論点―」(海自幹部学校研究部第3研究室)
正会員複写代 \1,000円(全文45頁。送料・手数料込み)
(資料番号:13.10.23-1)「サイバー攻撃対処に係わる主要国の対応」(防衛研究所平成23年度特別研究成果報告書)
正会員複写代 \1,420円(33頁×\40円+送料・手数料\100円)
(資料番号:13.10.21-3)「サイバー・セキュリティとタリン・マニュアル」『防衛研究所ニュース』(防衛研究所)2013年10月号(通算180号)
正会員複写代 \260円(4頁×\40円+送料・手数料\100円)
(資料番号:13.6.20-1)「サイバー攻撃に係わる法的問題―各論点をめぐる議論の状況―」(海上自衛隊幹部学校戦略研究グループ コラム044 2013/06/04)
正会員複写代 \700円(15頁×\40円+送料・手数料\100円)
(資料番号:13.5.27-1)「日米サイバー対話共同声明」(2013年5月10日)
正会員複写代 \220円(3頁×\40円+送料・手数料\100円)
(資料番号:12.12.21-2)「『指揮命令と情報共有』及び『サイバー攻撃対処』に関する基礎研究」(24.4.19 海上自衛隊幹部学校第1研究室)
正会員複写代 \700円(25頁×\40円+送料・手数料\100)
(資料番号:12.9.19-2)「防衛省・自衛隊によるサイバー空間の安定的・効果的な利用に向けて」(2012年9月 防衛省)
正会員複写代 \340円(6頁×\40円+送料・手数料\100円)
(資料番号:12.6.20-2)「サイバースペースにおける世界の動向と日本―日本におけるサイバー戦等対処を考える―」『陸戦研究』2012年3月号掲載
正会員複写代 \1,620円(38頁×\40円+送料・手数料\100円)
(資料番号:12.6.3-2)「中国のサイバー戦争の活用:スパイ活動と戦略的抑止力」『Journal of Strategic Security』Volume IV Issue 2(2011年)掲載
正会員複写代 \980円(22頁×\40円+手数料・送料\100円)
(資料番号:12.6.3-1)「China’s Use of Cyber Warfare: Espionage Meets Strategic Deterrence」『Journal of Strategic Security』Volume IV Issue 2(2011年)掲載
正会員複写代 \1,060円(24頁×\40円+送料・手数料\100円)
(資料番号:12.5.26-2)「中国は軍事的競争力を飛躍的に高めるためにサイバー攻撃をどのように利用するか」(Culture Mandala, Vol.8, No.1(2008年10月)掲載)
正会員複写代 \3,540円(86頁×\40円+送料・手数料\100円)(資料番号:
(資料番号:12.5.26-1)「HOW CHINA WILL USE CYBER WARFARE TO LEAPFROG IN MILITARY COMPETITIVENESS」(Culture Mandala, Vol.8, No.1, October 2008)
正会員複写代 \2,220円(53頁×\40円+送料・手数料\100円)
11.11.22-4)「防衛情報通信基盤及びこれに接続する情報システムにおけるサイバー攻撃等対処要領について(通達)」(運情第3668号 20.3.25)
正会員複写代 \260円(4頁×\40円+送料・手数料\100円)
(資料番号:11.10.25-1)「主要国におけるサイバー攻撃への取り組みの動向に関する調査研究」(平成22年度防衛省委託研究)
正会員複写代 \9,865円(279頁×\35円+送料・手数料\100円)
(資料番号:11.9.5-1)「サイバー脅威の動向と主要国のサイバーセキュリティ政策の現状と課題」(平成22年度防衛省委託研究)
正会員複写代 \7,310円(206頁×\35円+送料・手数料\100円)
(資料番号:11.7.19-1)「Department Of Defense Strategy Strategy for Operating in Cyberspace」(JULY 2011)
正会員複写代 \860円(19頁×\40円+送料・手数料\100円)
『軍事民論』第502号(2011年9月5日発行)〈特集〉「サイバー攻撃と自衛権―防衛省委託研究が提起する「自衛権行使の条件」
頒価:1部\200円(A4判×9頁。PDFファイル)
(資料番号:12.7.6-1)「情報セキュリティ2012」(2012年7月4日 情報セキュリティ政策会議)
正会員複写代 \3,060円(74頁×\40円+送料・手数料\100円)
(資料番号:12.6.6-5)「防衛省情報セキュリティ報告書」(2012年5月 防衛省)
正会員複写代 \1,020円(23頁×\40円+送料・手数料\100円)
(資料番号:12.5.30-1)「平成23年防衛省情報セキュリティ月間における活動の実施について(通達)」(統幕指運第10号 23.1.31)
正会員複写代 \300円(5頁×\40円+送料・手数料\100円)
みのごり@自動収益で100万円稼ぐノウハウ無料公開中
https://7-floor.jp/l/c/uAI904Zm/wtMHDJW1/
少ないフォロワー数でもガンガンに稼げる唯一無二のノウハウ ツイブラ
https://7-floor.jp/l/c/xFMWkzsy/wtMHDJW1/
にほんブログ村