メモリフォレンジック めもりふぉれんじっく
簡単に言うとこんな感じ!
コンピュータの「作業中の記憶(RAM)」を丸ごと写真に撮って、そこに何が残っているか調べる技術だよ!電源を切ったら消えてしまう”消えかけの証拠”を、攻撃者がいなくなる前につかまえるのが目的なんだ!
メモリフォレンジックとは
メモリフォレンジックとは、コンピュータの主記憶装置(RAM=ランダムアクセスメモリ)に保存されているデータを収集・分析するデジタル鑑識(フォレンジック)の手法です。RAM上には、実行中のプログラム・通信内容・パスワード・暗号鍵など、ディスク(ハードディスクやSSD)には書き込まれない一時的な情報が存在しており、これを証拠として保全・解析します。
一般的なフォレンジックがディスクのファイルを調べるのに対し、メモリフォレンジックは電源を切ると消えてしまう揮発性(volatile)の証拠を対象にします。近年のマルウェアは検出を逃れるために「ファイルレス攻撃」を多用しており、ディスクには何も痕跡を残さずRAM上だけで動作するケースが増えています。そのため、メモリの調査なしにはインシデントの全貌を解明できない場面が増えています。
発注・選定の立場から見ると、セキュリティ事故が発生したとき「とにかく電源を切りたい」と思いがちですが、実はそれが最悪の選択になることがあります。電源を切ると RAM の内容は消えてしまうため、専門家が到着する前に電源を切らないことがメモリフォレンジックを成功させる最初のポイントです。
メモリフォレンジックの仕組みと手順
メモリフォレンジックは大きく「収集(Acquisition)」と「解析(Analysis)」の2フェーズに分かれます。
| フェーズ | 作業内容 | 主なツール例 |
|---|---|---|
| ① メモリダンプ取得 | 動作中のRAM全体をファイルとして保存(ダンプ) | WinPmem、DumpIt、LiME |
| ② ハッシュ値記録 | 証拠の改ざん防止のためにSHA-256等で整合性を記録 | sha256sum、FTK |
| ③ プロセス一覧抽出 | 当時動いていたプログラムの一覧を取り出す | Volatility |
| ④ ネットワーク接続確認 | どの外部IPと通信していたかを確認 | Volatility / Rekall |
| ⑤ 不審コード検出 | インジェクションされたコードや暗号化を検出 | YARA、Volatility |
| ⑥ レポート作成 | 調査結果をまとめ、証拠として保全 | 手動 / 専用レポートツール |
「揮発性の順序」を覚えよう
フォレンジックには証拠保全の優先順位を示す「揮発性の順序(Order of Volatility)」という考え方があります。消えやすいものから先に保全するのが鉄則です。
消えやすい(先に保全!)
↓ ① CPUレジスタ・キャッシュ
↓ ② RAM(メモリ)← メモリフォレンジックの対象
↓ ③ スワップ領域・仮想メモリ
↓ ④ ネットワーク接続情報
↓ ⑤ 実行中のプロセス情報
↓ ⑥ ディスク(HDD/SSD)
消えにくい(後でも取れる)ファイルレス攻撃との関係
ファイルレスマルウェアはディスクにファイルを書かずRAM上だけで活動するため、従来のウイルス対策ソフトや EDR(エンドポイント検出・対応)ツールでは見逃されることがあります。メモリフォレンジックはこのような攻撃を可視化できる数少ない手段の一つです。
歴史と背景
- 2000年代初頭: マルウェア解析の主流はディスクイメージ分析。RAM解析はほぼ行われていなかった
- 2005年頃: Windowsのメモリ構造を研究する動きが活発化。Blackhat/DEFCONでメモリ解析の発表が増加
- 2007年: オープンソースのメモリ解析フレームワーク「Volatility」の前身となるプロジェクトが始動
- 2010年: Volatility Frameworkが公開。メモリフォレンジックが研究者だけでなく実務者にも普及
- 2013年以降: APT(高度持続的脅威)攻撃でファイルレス手法が急増し、メモリ解析の重要性が一気に高まる
- 2015〜現在: クラウドやコンテナ環境にも対応した解析手法が登場。Windows・Linux・macOSのメモリ解析が標準化
- 2020年代: EDRツールがメモリ監視機能を内包するようになり、リアルタイムなメモリ解析も一般化
ディスクフォレンジックとの比較
メモリフォレンジックとディスクフォレンジックはよく混同されますが、目的も手法も異なります。
| 比較項目 | メモリフォレンジック | ディスクフォレンジック |
|---|---|---|
| 対象データ | RAM(揮発性) | HDD / SSD(不揮発性) |
| 電源OFF後 | データが消える | データが残る |
| 取得タイミング | システム稼働中のみ | 電源OFF後でも可能 |
| 主な検出対象 | ファイルレスマルウェア・暗号鍵・セッション情報 | 削除済みファイル・ログ・履歴 |
| 時間的制約 | 非常に高い(今すぐ取らないと消える) | 比較的低い |
| 証拠の永続性 | ダンプ取得後は永続 | 元々永続 |
以下のSVGは、メモリフォレンジックとディスクフォレンジックが「インシデント対応」の中でどう連携するかを示しています。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 3227 | デジタル証拠の収集・保管に関するガイドライン(揮発性の順序を含む) |
関連用語
- ./310-digital-forensics.md — デジタル鑑識全般の概念と手順
- ./311-disk-forensics.md — ディスクを対象とした従来型フォレンジック手法
- ./312-fileless-malware.md — ディスクに痕跡を残さないマルウェアの一種
- ./313-incident-response.md — セキュリティインシデント発生時の対応プロセス全体
- ./314-edr.md — エンドポイント上でリアルタイムに脅威を検出・対応するツール
- ./315-malware-analysis.md — マルウェアの動作・構造を詳しく調べる手法
- ./316-volatile-data.md — 電源断で消えてしまう揮発性データの概念と保全方法
- ./317-apt.md — 国家レベルの組織が行う高度・持続的なサイバー攻撃