フォレンジック調査とは「コンピューターやその他の電子機器に保存されているデジタルデータの収集、分析、解析を行う調査」のことであり、特にCPUに保存されるメモリを対象にしたフォレンジック調査を「メモリフォレンジック」と呼びます。
メモリには、マルウェアの実行痕跡などが保存されており、これら情報を分析することで、マルウェアの種類や侵入経路、被害状況を特定することができます。
この記事では、メモリを保全・解析するフォレンジックの一手法・メモリフォレンジックの特徴や出来ること、作業の流れについて解説します。
\相談から最短30分でWeb打ち合わせを開催/
目次
メモリフォレンジックとは
メモリフォレンジックとは、コンピュータのメモリ上の揮発性データを解析するフォレンジック技術です。揮発性データとは、電源を切ると消失するデータのことです。
メモリには、OSやアプリの実行状態、ユーザーの操作履歴、ネットワーク通信の履歴など、コンピュータの動作に関する情報が一時的に保存されており、これらの情報を分析することで、他の調査方法では取得できない情報を取得することができます。
ただし、メモリに保存されるデータは揮発性であるため、保全・解析にあたって、電源のオンオフは推奨されません。メモリは、コンピューターやその他の電子機器のハードウェアに組み込まれており、電源が供給されている間はデータを保持することができますが、電源が切れると、メモリのデータは消去されてしまいます。
そのため、メモリフォレンジックで不正行為やハッキングなどの痕跡を収集する場合、シャットダウンせず、コンピュータの電源が入った状態で、迅速に行う必要があります。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
ストレージドライブに痕跡を残さないマルウェアが増え、活用が広がった
最近では、ストレージドライブに痕跡を残さない「ファイルレスマルウェア」が増加し、その活用が広がっています。このようなマルウェアは通常のファイルシステムにファイルを書き込まず、メモリ内で実行されるため、従来のフォレンジック調査では検出が難しい傾向があります。
そこで、この問題に対処する手段としてメモリフォレンジックが注目されています。メモリフォレンジックでは、システムのメモリ内に存在する情報を分析し、マルウェアの実行痕跡や不正なアクティビティに関する情報を取得することが可能です。これにより、ファイルレスマルウェアによる攻撃の痕跡を見つけ出し、適切な対応を講じることができます。
また被害を最小限に抑え、迅速な対応を実施する手段として、素早く効果的にデジタル証拠を収集・分析する「ファストフォレンジック」があり、その必要性も年々高まっています。
従来のフォレンジック調査との違い
従来のフォレンジック調査では、ストレージドライブからデータを取得して解析します。
一方、メモリフォレンジックは、コンピュータの物理メモリからデータを取得して解析します。大きく分けると次のような違いがあります。
項目 | メモリフォレンジック | 従来のフォレンジック調査 |
---|---|---|
対象となるデータ | コンピュータの物理メモリ | ストレージドライブ |
調査のタイミング | コンピュータをシャットダウンする前に | コンピュータの異常を検知した後に |
調査の難易度 | より高度な専門技術と知識が必要 | 専門的な技術と知識が必要 |
なお、メモリフォレンジックは、専門的な知識や技術を必要とする複雑な作業です。そのため、フォレンジック調査を行う場合は、資格や経験を有するフォレンジック専門家に依頼することが望ましいです。
弊社では、高度な解析によって官公庁・上場企業をはじめ、法人・個人問わず幅広いインシデントの実態解明を行っています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\サイバーセキュリティ専門家へ24時間365日無料相談/
調査が必要なときは、メモリフォレンジックの専門業者へ依頼する
セキュリティインシデントの被害を最小限に抑えるためには、正確な調査と迅速な対応が必要不可欠です。
専門的なノウハウを持たない中で、個人ないし自社のみで調査を行うと、実態を正確に把握できない可能性が高まるだけでなく、取引先や行政等へ報告が必要な場合、 自社調査のみだと信憑性が疑われ、さらなる信用失墜につながる危険性があります。
もし組織や社内でサイバーインシデントが発生した際、調査の実施が未確定の場合でも、まずは信頼性の高いフォレンジック業者に一度相談することをおすすめします。
私たちデジタルデータフォレンジックは、官公庁、上場企業、捜査機関等を含む累計3.9万件の対応経験があり、サイバー攻撃経路や漏えいしたデータを迅速に特定します。
緊急性の高いサイバー攻撃被害にも迅速に対応できるよう、24時間365日体制で相談、見積もりを無料で受け付けておりますので、お電話またはメールでお気軽にお問い合わせください。
法人様は最短30分でWeb打ち合せ(無料)を設定
メモリフォレンジックのメリット
メモリフォレンジックのメリットは、次のとおりです。
- 迅速なインシデント対応(インシデントレスポンス)が可能
- ストレージドライブに痕跡を残さないマルウェアによる攻撃を特定できる
- データ漏えいの調査に有効
- アクセスの調査に有効
- 改ざんに強い
- オフラインでも分析できる
迅速なインシデント対応(インシデントレスポンス)が可能
メモリフォレンジックは通常、システムのメモリ情報を解析するだけであり、大容量のディスク上のデータを取り扱う必要がありません。このため、リソースの使用が比較的軽量であり、高速に処理できます。
ストレージドライブに痕跡を残さないマルウェアによる攻撃を特定できる
マルウェアの中には、ストレージドライブに痕跡を残さずに活動する「ファイルレスマルウェア」などがあります。このようなマルウェアによる攻撃を特定するためには、メモリフォレンジックが有効です。メモリフォレンジックにより、マルウェアのコードやデータ、実行状態などを収集することで、マルウェアの特定や活動の解析を行うことができます。
データ漏えいの調査に有効
データ漏えいの調査において、どのデータがどこに送信されたのかを特定することが重要です。どのデータが漏えいしたかを特定することで、対処の優先順位を適切に設定できます。たとえば重要なデータや機密情報が漏えいした場合、それに対する優先的かつ迅速な対処が求められます。
メモリフォレンジックにより、ネットワーク通信の情報やアクセスしたファイルやデータを収集することで、データ漏えいの経路や目的を特定することができます。
アクセスの調査に有効
不正アクセスなどのインシデントが発覚時、ユーザーのアクセス履歴やプロセスの実行状態など、誰が、いつ、どのようなアクセスを行ったかを特定することが重要です。メモリフォレンジックにより、プロセスやスレッドの状態、ネットワーク通信の情報などを収集することで、アクセスの詳細を特定することができます。
改ざんに強い
ストレージドライブ上のファイルは、改ざんされる可能性があります。これは、ファイルが書き換えられる可能性があるためです。改ざんされる可能性がある理由はいくつかあります。たとえば、ユーザーが誤ってファイルを上書きしたり、悪意のあるソフトウェアがファイルを変更したりする可能性があります。
一方、メモリは揮発性データであるため、改ざんされる可能性が低くなります。そのため、フォレンジック調査では、メモリからデータを収集することが重要です。メモリから収集したデータは、ストレージドライブ上のファイルよりも改ざんされる可能性が低いため、より正確な調査を行うことができます。
オフラインでも分析できる
メモリフォレンジックでは、コンピュータの電源が入った状態でメモリダンプ(コンピュータのメモリ上に格納されている情報を一括して保存した記録)を取得します。
メモリダンプを取得した後はコンピュータの電源を切ってオフラインで分析することができるため、調査を外部機関に委託する際にも、メモリフォレンジックを行うことができます。
メモリフォレンジックで出来ること
メモリフォレンジックで出来ることは主に次のとおりです。
- インシデントの原因究明・システムの復旧
- マルウェア感染・不正アクセスの経路
- 社内サーバー・内部ネットワークへのハッキング痕跡
- メールの送受信履歴、閲覧履歴の把握
- 社内ネットワークを悪用した情報漏えい調査
このように、メモリフォレンジックでは、インシデントの侵入経路を理解し、今後のセキュリティ対策を行うのにも役立ちます。
ただ、ここで留意しておきたいのは、メモリフォレンジックは、通常のセキュリティとは異なり、ネットワークの「防衛」を目的としていないことです。あくまでメモリフォレンジックは、事後調査や対策に活用できる手段であることを押さえておきましょう。
インシデントの原因究明・システムの復旧
実際にインシデントが発覚した場合、国が定める企業のコンプライアンス対応(特に個人情報保護法)にのっとり、早急な原因究明と問題解決を行う必要があります。
そこで有効なのが「メモリフォレンジック」です。メモリフォレンジックでは、複数台のネットワーク機器を調査し、挙動の怪しい端末など被害範囲を絞り込んだ上で関係するシステムの隔離・再構築といった復旧作業を効率的におこなうことができます。
ただし、フォレンジック調査を行う場合、専門技術が必要となり、自社のみで対応するのが困難であるため、フォレンジック専門家と提携して調査することをおすすめします。
フォレンジック専門家は、インシデントの原因や範囲を特定するとともに、第三者の調査機関として公的に使用できる調査報告資料を作成することもできます。
\相談から最短30分でWeb打ち合わせを開催/
マルウェア感染・不正アクセスの経路
メモリフォレンジックでは、通信データやログを分析することで、マルウェア感染や不正アクセスの経路を特定し、不正アクセスの原因となる脆弱性を修正することで、将来の攻撃を防止する事前対策を効率的に行うことができます。
社内サーバー・内部ネットワークへのハッキング痕跡
メモリフォレンジックでは、内部ネットワークへのアクセスログを詳細に分析します。具体的には、不正アクセスされたファイルやディレクトリ、アクセス日時などハッキングの痕跡を追跡し、どのデータやシステムが侵害されたのかを特定します。
メールの送受信履歴、閲覧履歴の把握
メモリフォレンジックでは、メールサーバーのログを詳細に分析し、大量の機密データを送信した形跡や、外部への不審な送受信履歴を時系列で把握することが可能です。
社内ネットワークを悪用した情報漏えい調査
従業員が機密データや知的財産を外部に送信していた、もしくはその疑いがある場合、メモリフォレンジックで、外部接続に利用された通信ログを収集・再構成し、どのデバイスやアカウントが不正通信に関与したかを詳細に確認することができます。
メモリフォレンジックで収集できるデータ例
メモリフォレンジックで収集できるデータは、インシデントの種類や調査の目的によって異なります。例えば、不正アクセスの調査であれば「OSやアプリケーションの状態」「実行中のプログラムのコード」「ネットワーク通信の情報」などを収集するのが一般的です。
メモリフォレンジックで収集できるデータ例として、以下のようなものが挙げられます。
OSやアプリケーションの状態
- OSのバージョンやパッチ適用状況
- アプリケーションの実行状況
- プロセスやスレッドの状態
実行中のプログラムのコードやデータ
- プログラムのソースコード
- プログラムの実行状態
- プログラムがアクセスしたファイルやデータ
ネットワーク通信の情報
- 送受信したパケットのヘッダーやデータ
- 通信先のIPアドレスやポート番号
- 暗号化された通信の解読
これらの情報は、侵入の手口を特定したり、攻撃の被害を特定したりと、セキュリティインシデントを調査するのに役立ちます。ただ、電源を切るとメモリ(RAM)の内容が消去されてしまうため、インシデントが発生した際は、電源を落とさずに、メモリ内のデータを維持した上で、専門業者まで対応を依頼することを検討しておきましょう。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しておりますので、お気軽にご相談ください。
弊社では緊急の現地調査が必要な場合も、調査専門の技術員が迅速に駆け付けます。(駆け付け場所によっては出張費をいただく場合があります)
\相談から最短30分でWeb打ち合わせを開催/
メモリフォレンジックの手順
メモリフォレンジックは、基本的に以下の流れで行います。また弊社での調査期間は最短数日~。駆け付け対応や、お急ぎの場合は特急対応も可能です。
メモリフォレンジックの手順は、以下のとおりです。
①保全
調査に影響を与える可能性があるものを特定し、記録や保全を行います。具体的には、以下のようなものが挙げられます。
- 調査対象のコンピューターやその他の電子機器
- 調査対象のコンピューターやその他の電子機器の周辺機器
- 調査対象のコンピューターやその他の電子機器の使用状況に関する資料
②データの収集
調査対象のメモリからデータを収集します。具体的には、以下の方法がよく使用されます。
- 物理メモリイメージング:メモリをイメージとしてコピーする方法です。
- メモリダンピング:メモリからデータを直接抽出する方法です。
- メモリスナップショット:メモリの状態を特定の時点に保存する方法です。
データの収集は、専門的な知識や技術を必要とする複雑な作業です。そのため、メモリフォレンジックを行う場合は、資格や経験を有するフォレンジック専門家に依頼することが望ましいです。
③データの分析
収集したデータを分析し、証拠となる情報を特定します。具体的には、以下のようなものが挙げられます。
- 実行中のプロセス
- メモリ上にあるファイル
- ネットワーク通信の履歴
- ユーザーの操作履歴
データの分析は、調査の目的や状況によって、さまざまな方法が用いられます。
④報告書の作成
調査結果を報告書にまとめます。報告書には、以下のようなものが記載されます。
- 調査の目的
- 調査の手順
- 調査結果
- 考察
報告書は、調査の成果をまとめたものであり、調査の成果を証明する重要な資料となります。
フォレンジックを行う前にやってはいけないこと
フォレンジック調査を円滑に進めるにあたって、以下の行為は絶対に行わないようにしてください。証拠の確保が困難になってしまう恐れがあります。
調査対象機器の継続使用
「電源の入り切りを繰り返す」「機器を継続して使用し続ける」など、対象機器に何らかの操作を加えると、データ領域の情報が変化し、フォレンジック調査が困難となります。
たとえば、RAM(揮発性メモリ)には、マルウェアの痕跡や暗号を複号する鍵が記録されていることがありますが、機器の電源を切るとRAMのデータは消えてしまいます。
調査の観点からは、ネットワークから切り離し、電源を切らないようにしましょう。また、データを法的な証拠として利用する場合、証拠としての価値が失われる可能性もあります。
市販のソフトやツールなどを試す行為
端末の中で無料のソフトやツールを試してしまうと、大量の領域が書き換わるため、フォレンジック調査やデータの復旧を行う際に難易度が上がり、時間もコストも無駄になってしまいます。個人での操作やデータ復旧は控えてください。
フォレンジック調査はデジタルデータフォレンジックにお任せください

適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。