情報セキュリティスペシャリスト向けの23の無料インシデント調査ツール

データリークはほぼ毎日発生します。 データ漏洩インデックスによると、 2013年以降、 4,762,376,960件を超えるレコードが失われたか盗まれました。







最大のデータリークは次の場所で発生しました。

• JPモーガンチェイス
• アメリカ銀行
• Hsbc
• TD Bank
• 対象
• タンブラー
• ホームデポ
• マイスペース
• eBay
• Adobe System Inc
• iMesh

ジュニパーリサーチは、2019年までにサイバー犯罪による被害は2兆ドルを超えると予測しています。 したがって、法医学分析の需要は増え続けます。



ソフトウェアツールはシステム管理者の親友であり、適切なツールを使用することで、作業を迅速かつ効率的に行うことができます。



インシデントの調査は簡単な作業ではありません。証拠を入手し、結果を排除するための計画を立てるために、できるだけ多くの情報を収集する必要があるためです。 以下では、インシデントを調査するためのいくつかの便利なツールについて説明します。 それらのほとんどは無料です！

ツールリスト：

1. 検死
2. 暗号化ディスク検出器
3. Wireshark
4. マグネットRAMキャプチャ
5. ネットワークマイナー
6. NMAP
7. RAMキャプチャ
8. 法医学捜査官
9. ファウ
10. Hashmyfiles
11. USB書き込みブロッカー
12. 群衆の反応
13. NFIデフレイザー
14. Exiftool
15. ツールズリー
16. SIFT
17. ダンプジラ
18. ブラウザ履歴
19. ForensicUserInfo
20. バックトラック
21. パラディン
22. スルースキット
23. ケイン

1.検死

剖検は、ハードドライブとスマートフォンの効果的な法医学調査のためのグラフィカルインターフェイスを備えたオープンソースプログラムです。 何千人もの人々が剖検を使用して、実際にコンピューターに何が起こったかを把握しています。







大企業と軍の専門家は、彼らの仕事に広く剖検を使用しています。 以下は、剖検の機能の一部です。

• メール分析;
• ファイルタイプの決定。
• マルチメディア再生;
• レジストリ分析;
• メモリカードから写真を回復します。
• JPEGファイルから位置情報とカメラ情報を抽出します。
• ブラウザからネットワークアクティビティデータを取得します。
• グラフィカルインターフェイスでのシステムイベントの表示。
• 時系列分析;
• Androidデバイスからのデータ抽出：SMS、通話記録、連絡先など。

このツールを使用して、HTMLおよびXLS形式のレポートを生成できます。



2.暗号化ディスク検出器

Encrypted Disk Detectorは、暗号化されたハードドライブの分析に役立ちます。 このプログラムは、TrueCrypt、PGP、Bitlocker、Safebootを使用して暗号化されたパーティションで動作します。



3. Wireshark

Wiresharkは、ネットワークで何が起こっているかを監視するのに役立つネットワークパケットキャプチャおよび分析ツールです。 Wiresharkは、ネットワークインシデントを調査するときに役立ちます。



4.マグネットRAMキャプチャ

マグネットRAMキャプチャにより、RAMのスナップショットを取得し、メモリ内のアーティファクトを分析できます。 このプログラムはWindowsで動作します。



5.ネットワークマイナー

Windows、Linux、およびMAC OS X向けのこの興味深いネットワークフォレンジック分析ツールにより、トラフィックアナライザーまたはPCAPファイルを使用して、オペレーティングシステム、ホスト名、セッションの検出、およびポートの検出が可能になります。 Network Minerは、抽出されたアーティファクトを直感的なインターフェースで表示します。







6. NMAP

NMAP （Network Mapper）は、ネットワークおよび情報セキュリティを監査するための最も一般的なツールの1つです。 NMAPは、Windows、Linux、Solaris、MAC OS、HP-UXなど、ほとんどのオペレーティングシステムと互換性があります。 プログラムはオープンソースなので、無料です。



7. RAMキャプチャー

BelkasoftのRAM Capturerは、揮発性のコンピューターメモリからデータをダンプする無料のツールです。 このプログラムはWindowsと互換性があります。 メモリダンプには、暗号化されたボリュームにある電子メールまたはソーシャルネットワークに入るためのパスワードとデータが含まれる場合があります。



8.法医学捜査官

Splunkを使用する場合、 Forensic Investigatorが役立ちます。 このSplunkアプリには多くの機能があります。

• WHOIS / GeoIPクエリ
• ping;
• ポートスキャナー
• ヘッダーコレクター。
• URLパーサー/デコーダー。
• XOR / HEX / Base64コンバーター;
• SMB共有/ NetBIOSを表示します。
• ウイルストータルスキャン。

9. FAW

FAW （Forensics Acquisition of Websites）は、さらなる調査のためにWebページデータを収集するために使用されます。 ツールには以下が実装されています。

• 部分的または完全なページの保存。
• すべてのタイプの画像を保存します。
• WebページのソースHTMLコードの保存。
• Wiresharkで動作します。

10. HashMyFiles

HashMyFilesは、MD5とSHA1のハッシュを計算するのに役立ちます。 このツールは、ほとんどすべての最新バージョンのWindowsで動作します。







11. USB書き込みブロッカー

指紋、メタデータ、またはタイムスタンプを残さずに、USBドライブの内容を閲覧します。 USB書き込みブロッカーは、Windowsレジストリを使用して、USBデバイスへの書き込みを防ぎます。







12.群衆の反応

Crowd Strikeからの応答は、インシデント対応とセキュリティに関するシステム情報を収集するように設計されたWindowsアプリケーションです。 CRConvertを使用して、結果をXML、CSV、TSVまたはHTML形式で表示できます。 このプログラムは、XP以降のすべての32ビットおよび64ビットバージョンのWindowsで実行されます。



Crowd Strikeには、他にも優れた調査ツールがあります。

• Tortillaを使用すると、TORを介してTCP / IPおよびDNSトラフィックを匿名でルーティングできます。
• Shellshock Scanner-ネットワークでshellshockの脆弱性を確認します。
• ハートブリードスキャナー-OpenSSLのハートブリードの脆弱性についてネットワークを確認します。

13. NFIデフレイザー

Defraserは、情報ストリームでマルチメディアファイルまたはそのフラグメントを見つけるのに役立つ研究ツールです。



14. ExifTool

ExifToolを使用すると、EXIF、GPS、IPTC、XMP、JFIF、GeoTIFF、Photoshop IRB、FlashPixなどを含むさまざまな種類のファイルのメタデータの読み取り、書き込み、編集ができます。



15.ツールズリー

Toolsleyは、12を超える便利な調査ツールを提供しています。

• ファイルのデジタル署名の検証。
• ファイル形式の識別。
• ファイルのハッシュとチェック。
• バイナリファイルインスペクター。
• テキスト暗号化;
• データURIジェネレーター。
• パスワードジェネレータ。

16. SIFT

SIFT （SANS調査フォレンジックツールキット）は、Ubuntu 14.04で自由に利用できるワークステーションです。 SIFTは便利な分析ツールのコレクションであり、最も人気のあるオープンソースのインシデント対応プラットフォームの1つです。







17.ダンプジラ

Dumpzillaを使用して、Firefox、Iceweasel、Seamonkeyのブラウザーから関心のあるすべての情報を取得します。







18.ブラウザの履歴

Foxtonには2つの興味深いツールがあります。

1. Windows用のブラウザー履歴（Chrome、Firefox、IE、およびEdge）の保存。
2. ブラウザの履歴を表示します。 最新のブラウザでは、アクションの履歴を抽出して分析できます。 結果はインタラクティブなチャートに表示され、履歴データをフィルタリングできます。

19. ForensicUserInfo

ForensicUserInfoを使用すると、次の情報を抽出できます。

• RID
• LM / NTハッシュ。
• パスワードの変更、アカウントの有効期間。
• ログイン数、試行失敗の日付。
• グループ
• プロファイルパス。

20.バックトラック

Backtrackは、脆弱性をチェックするための最も一般的なプラットフォームの1つですが、法医学分析機能も実装しています。



21.パラディン

PALADIN Forensic Suiteは、世界で最も人気のあるLinux用のフォレンジックツールキットであり、Ubuntuベースの修正Linuxディストリビューションで、32ビットおよび64ビットバージョンで利用できます。







Paladinには100を超えるツールが含まれており、29のカテゴリにグループ化されています。 インシデントを調査するために必要なことはほぼすべてです。 Autospyは最新バージョン-Paladin 6に含まれています。



22.スルースキット

Sleuth Kitは、論理ドライブとファイルシステムを調べて分析し、データを見つけるために設計されたコマンドラインツールキットです。



23.ケイン

CAINE（Computer Aided Investigate Environment）は、アクションに関する分析、調査、およびレポートのための80以上のツールを備えた完全なエキスパートプラットフォームを提供するLinuxディストリビューションです。







上記のツールがインシデントの処理と調査の迅速化に役立つことを願っています。



伝統的に、私たちはHOSTING.cafeを調べて仮想サーバーまたは共有ホスティングを選択することに興味があるすべての人を招待します。 ホスティング業者のレビューはPOISK.hostingで収集されます 。