確率論的フォレンジック

確率的フォレンジックとは、現代のコンピュータの確率的性質から生じる創発特性を分析することで、アーティファクトのないデジタル活動を法医学的に再構築する手法である。 [1] [2] [3]デジタルアーティファクトに依存する従来のコンピュータフォレンジック とは異なり、確率的フォレンジックはアーティファクトを必要とせず、したがって通常は目に見えない活動を再現することができる。[3]その主な用途は、内部者によるデータ盗難 の調査である[1] [2] [4]

歴史

確率的フォレンジックは、2010年にコンピュータ科学者のジョナサン・グリアによって、内部者による データ盗難の検出と調査のために発明されました[2]内部者によるデータ盗難は、ファイル属性Windowsレジストリの変更などの痕跡 が残らないため、従来の方法では調査が非常に困難でした。[ 3] [5] その結果、業界は新しい調査手法を求めていました。[6]

確率的フォレンジックは発明以来、内部者によるデータ盗難の実際の調査に使用され、[6]学術研究の対象となり、[1] [7]ツールとトレーニングに対する業界の需要に応えてきました。[2] [8] [9]

統計力学の起源

確率論的フォレンジックは、物理学で用いられる統計力学の手法に着想を得ています。[2] [6]古典的なニュートン力学は、システム内のあらゆる粒子の正確な位置と運動量を計算し、太陽系のような少数の物体からなるシステムでは有効です。しかし、扱いにくいほど多数の分子を含む気体のような対象を研究するには適していません。しかし、統計力学は個々の粒子の特性を追跡するのではなく、統計的に現れる特性のみを追跡します。そのため、個々の粒子の正確な位置を知らなくても、複雑なシステムを分析することができます。

個々の分子がどのように動き、揺れるかを予測することはできません。しかし、そのランダム性を受け入れ、数学的に記述することで、統計法則を用いて気体の全体的な挙動を正確に予測することができます。物理学は1800年代後半にそのようなパラダイムシフトを経験しました…デジタルフォレンジックにも同様のパラダイムシフトが必要なのでしょうか?

— ジョナサン・グリア、「確率論的フォレンジックによるデータ盗難の調査」、デジタルフォレンジックマガジン、2012年5月

同様に、現代のコンピュータシステムは1000以上の状態を持つ可能性があり、完全に解析するには複雑すぎる。そのため、確率論的フォレンジックでは、コンピュータを確率過程とみなす。確率過程は予測不可能ではあるものの、明確に定義された確率的特性を持つ。これらの特性を統計的に分析することで、確率力学は、たとえその活動がアーティファクトを生成しなかったとしても、発生した活動を再構築することができる。[2] [3] [6] 2 8 10 12 {\displaystyle 2^{8^{10^{12}}}}

内部者によるデータ盗難の捜査に使用

確率的フォレンジックの主な応用分野は、内部者による データ盗難の検知と調査です。内部者によるデータ盗難は、データへのアクセス権限を技術的に有し、業務の一環として定期的にデータを使用する人物によって行われることが多いです。アーティファクトを作成したり、ファイル属性Windowsレジストリを変更したりすることはありません。[5] そのため、攻撃の痕跡が残る外部からのコンピュータ攻撃とは異なり、内部者によるデータ盗難は実質的に目に見えません。[3]

しかし、ファイルシステムメタデータ統計的分布は、このような大規模なコピーの影響を受けます。この分布を分析することで、確率的フォレンジックはこのようなデータ盗難を特定し、調査することができます。一般的なファイルシステムは、ファイルアクセスの分布がヘビーテール型になっています。一括コピーはこのパターンを崩し、結果として検出可能となります。[1] [2]

これを利用して、確率力学は他の手法では調査できなかった内部者によるデータ盗難の調査に成功しています。[1] [2] [3] [6]通常、確率論的フォレンジックによってデータ盗難が特定された後は、従来のフォレンジック手法を用いたフォローアップが必要です。[6]

批判

確率論的フォレンジックは、データ窃盗の証拠や兆候を提供するだけで、具体的な証明にはならないと批判されてきた。実際、この分野では、実践者は「アリストテレスではなくシャーロックのように考える」必要がある。データ窃盗以外にも、特定の認可された行為が統計分布に同様の乱れを引き起こす可能性がある。[1] [6]

さらに、多くのオペレーティングシステムはデフォルトでアクセスタイムスタンプを追跡しないため、確率的フォレンジックを直接適用することはできません。これらのオペレーティングシステムやデータベースに確率的フォレンジックを適用する研究が進行中です。[2]

さらに、現状では、確率的フォレンジックの適用と評価には訓練を受けたフォレンジックアナリストが必要です。Guidance Software社をはじめとする企業からは、確率的フォレンジックを自動化するツールの開発を求める声が上がっています。[2]

参考文献

  1. ^ abcdef Grier, Jonathan (2011). 「確率的フォレンジックを用いたデータ盗難の検出」. Journal of Digital Investigation . 8(Supplement), S71-S77.
  2. ^ abcdefghij Schwartz, Mathew J. (2011年12月13日)「デジタルフォレンジックによる内部者による窃盗の検出方法」Information Week
  3. ^ abcdef Chickowski, Ericka (2012年6月26日). 「新たな法医学的手法で内部犯行者を捕まえられる可能性」Dark Reading.
  4. ^ 「インサイダー脅威スポットライト」(2012年8月)SCマガジン
  5. ^ ab Carvey, Harlan. 「Windows フォレンジック分析 DVD ツールキット」第2版、Syngress Publishing、2009年。
  6. ^ abcdefg Grier, Jonathan (2012年5月). 「確率的フォレンジックによるデータ盗難の調査」. 『デジタルフォレンジックマガジン』.
  7. ^ Nishide, T., 宮崎, S., & Sakurai, K. (2012). 「悪意のある内部者によるオフライン電子マネーシステムのセキュリティ分析」. ワイヤレスモバイルネットワーク、ユビキタスコンピューティング、ディペンダブルアプリケーションジャーナル、3(1/2)、55-71。
  8. ^ 国防総省サイバー犯罪センター、2012 DC3 アジェンダ。
  9. ^ Black Hat Briefings、米国 2012年。確率的フォレンジックによる内部者によるデータ盗難の検出。
  • 「確率的フォレンジックを用いたデータ盗難の検出」、デジタル調査ジャーナル
  • 「デジタルフォレンジックによる内部犯行の検出方法」Information Week
  • 「新しい鑑識手法で内部犯行者を捕まえられるかもしれない」ダーク・リーディング
「https://en.wikipedia.org/w/index.php?title=Stochastic_forensics&oldid=1135742436」より取得