仮想計算機モニタを用いた電子データの操作履歴と法的証拠の改ざん検出を行うシステム

2012 Fiscal Year Annual Research Report

• Project/Area Number: 23700095
• Research Institution: Toyota National College of Technology
• Principal Investigator: 平野 学 豊田工業高等専門学校, 情報工学科, 准教授 (50390464)
• Keywords: ディジタルフォレンシックス / 仮想計算機モニタ / セキュリティ / ハードディスク / 解析 / 分析

Research Abstract

本研究は仮想計算機モニタを拡張して Computer Forensics 分野へ適用を試みる課題であった。本研究により組織内のコンピュータを効率的に管理することが可能となり、紛争時や犯罪発生時の電子的な証拠資料としての活用が期待できる。
本研究は２年間にわたり実施した。まず、初年度の平成２３年度は Linux のファイルシステムである ext4 の Digital Forensics 解析手法について検討した。平成２４年度（最終年度）は仮想計算機モニタにディジタルフォレンシックス機能を組み込んだ。開発を進めるうち、監視段階ではディスクへの入出力データをそのまま記録し、解析時に既存のフォレンシックスツールを用いるか、既存OSにマウントさせるほうが多くのファイルシステムに対応でき、応用性が高いことが判明した。加えて、近年のクラウドコンピューティングの広がりを受け、仮想計算機モニタとして BitVisor ではなく Xen を採用することとした。ただし、開発したプログラムは、Xen 依存の実装を避けているため、BitVisor への移植が容易となる設計とした。
最終年度に、仮想計算機モニタ Xen の BlkTap と呼ばれるディスク入出力を補足するデバイスドライバを拡張してディジタルフォレンシックスの機能を実装した。時系列で仮想計算機モニタで動作するゲストOSのすべてのディスク入出力を記録することができるようになった。記録したデータは解析段階でシステムに日時を指定することで、タイムマシンのように、指定したディスクの状態をリードオンリーの状態として再現（OS上にマウント）できるようになった。このシステムを用いて、複数の日時の状態を持つディスクを次々と再現（マウント）していき、ファイルの差分をとることで、アクセスログの改ざん日時を特定するシステムを開発し実証実験をおこなった。

Research Products

• [Presentation] Use of Role Based Access Control for Security-purpose Hypervisors (2013)
  • Author(s): Manabu Hirano, David W Chadwick, and Suguru Yamaguchi
  • Organizer: The 5th IEEE International Workshop on Security in e-Science and e-Research (ISSR 2013)
  • Place of Presentation: Rydges on Swanston, Melbourne, Australia
  • Year and Date: 20130715-20130718
• [Presentation] 仮想計算機モニタを利用したコンピュータフォレンジックスのための補助記憶装置のデータの保全と回復のシステム (2013)
  • Author(s): 小川拡、平野学
  • Organizer: 情報処理学会 第154回DPS・第60回CSEC合同研究発表会
  • Place of Presentation: 東京電機大学 千住キャンパス
  • Year and Date: 20130314-20130315
• [Remarks] 公開ソフトウェア（研究成果のソースコードの一般公開）
  • URL: http://133.85.142.2/wiki/projects/hiranolaboratory/Hirano_Laboratory.html