2012 Fiscal Year Annual Research Report
仮想計算機モニタを用いた電子データの操作履歴と法的証拠の改ざん検出を行うシステム
| Project/Area Number |
23700095
|
|---|
| Research Institution | Toyota National College of Technology |
|---|
Principal Investigator |
平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
|
|---|
| Keywords | ディジタルフォレンシックス / 仮想計算機モニタ / セキュリティ / ハードディスク / 解析 / 分析 |
|---|
| Research Abstract |
本研究は仮想計算機モニタを拡張して Computer Forensics 分野へ適用を試みる課題であった。本研究により組織内のコンピュータを効率的に管理することが可能となり、紛争時や犯罪発生時の電子的な証拠資料としての活用が期待できる。
本研究は2年間にわたり実施した。まず、初年度の平成23年度は Linux のファイルシステムである ext4 の Digital Forensics 解析手法について検討した。平成24年度(最終年度)は仮想計算機モニタにディジタルフォレンシックス機能を組み込んだ。開発を進めるうち、監視段階ではディスクへの入出力データをそのまま記録し、解析時に既存のフォレンシックスツールを用いるか、既存OSにマウントさせるほうが多くのファイルシステムに対応でき、応用性が高いことが判明した。加えて、近年のクラウドコンピューティングの広がりを受け、仮想計算機モニタとして BitVisor ではなく Xen を採用することとした。ただし、開発したプログラムは、Xen 依存の実装を避けているため、BitVisor への移植が容易となる設計とした。
最終年度に、仮想計算機モニタ Xen の BlkTap と呼ばれるディスク入出力を補足するデバイスドライバを拡張してディジタルフォレンシックスの機能を実装した。時系列で仮想計算機モニタで動作するゲストOSのすべてのディスク入出力を記録することができるようになった。記録したデータは解析段階でシステムに日時を指定することで、タイムマシンのように、指定したディスクの状態をリードオンリーの状態として再現(OS上にマウント)できるようになった。このシステムを用いて、複数の日時の状態を持つディスクを次々と再現(マウント)していき、ファイルの差分をとることで、アクセスログの改ざん日時を特定するシステムを開発し実証実験をおこなった。
|
