会社ロゴ
Windows製品 Macintosh製品 体験版 ユーザーサポート ニュース オンラインストア

製品概要
特長・機能
動作環境
フォレンジック製品一覧
 
 
お問い合わせ
 
 
 
製品名:MacLockPick 3.0 英語版(マックロックピック 3.0 英語版) 特長・機能

どのようなデータを調査対象のコンピュータから取得するのか
MacLockPickは、IT管理者、 E-Discoveryの専門家、 法的執行権限のあるデジタルフォレンジックの専門家にとって有用性の高い情報を収集する為に設計されています。これらの情報には、システムに関する詳細情報やそのシステムのユーザの行動、ユーザのオンライン履歴などが含まれます。
また、プラグインアーキテクチャーを使用したことで、調査官が必要なあらゆる情報を収集するために、MacLockPickを設定することができます。これらの情報には、特定のファイルタイプ、チャットログ、通話記録、ブラウザの履歴、パスワード、アカウント、システム情報などが含まれます。
 
プラグインとプラグインのタイプ
MacLockPick は、そのプラグインアーキテクチャーにより、調査担当者が現場での処理をよりコントロールしやすいように構築されています。

1. ビルトインプラグイン:設定済みのデジタル操作ツール
MacLockPickは多くのビルトイン(組み込み)プラグインを同梱しています。これらのプラグインは、調査対象のシステム上の色々な場所からデー タを集めて、その情報をログに記録します。

2. ファイルやフォルダのコピー: MD5、SHA1、SHA256のハッシュも同時に取得
調査者は、事前にMacLockPickを、調査対象のシステム上で、特定のファイルやフォルダのコピーを作成するように設定出来ます。ターゲットのデータ は、システムのルートか、ユーザホームから相対的に指定出来ます。フィルタを指定して、特定の種類や名前のファイルだけをコピーする事も出来ます。

3. ターミナルコマンド - 調査対象のコンピュータ上のコマンドライン出力のキャプチャー
多くの調査でシステム上でコマンドラインツールの実行が要求されます。MacLockPickは事前に設定を行う事によって、透過的に、シェル環境を開い て、特定のコマンドを実行し、その結果をログに記録できます。

4. 外部コマンド - サードパーティによるコマンドラインツールプログラムの実行
デジタルフォレンジックの開発者と同様、オープンソースコミュニティも現場での調査に有用なツールを幅広く開発しています。MacLockPick は、調査者が、それらのツールを、MacLockPickのトリアージプロセスに含めて、それらのツールの出力をログに取り込むように設定出来ます。
 
提供されるプラグイン
NTLM と LanMan パスワードグラバー:このプラグインは、fizzgigによるpwdump6(無修正版)を利用しています。pwdump は、複数のWindowsプログラムの総称で、Security Account Manager(SAM)のローカルユーザアカウントのLMとNTLMのパスワードハッシュを出力します。MacLockPickが抽出したログを研究室 で解析して、抽出されたハッシュから、ブルートフォース、辞書、またはレインボーテーブルを使った攻撃によって、パスワードを見つけ出す事が出来ます。
Apple キーチェーンエクストラクター:キーチェーンエクストラクターは、Apple Mac OS Xのパスワード中央リポジトリ(保管所)機能の初期設定をうまく利用しています。キーチェーンに保存されたすべてのパスワードは、ログファイルに詳細に取 り込まれます。それらの収集されたパスワードを使って、システムログインパスワードを割り出すための辞書攻撃に使用します。
System Information:調査対象によって使用されているハードウェアのプロファイルを作成します。以下の(ただし、それ以外にも)情報が含まれます:
・ユーザ名
・コンピュータ名
・オペレーティングシステム
・システムシリアル番号(入手可能な場合)
・プロセッサ
・RAMメモリ
・機種
・UUID
・タイムゾーン
・国番号
Skype: 調査対象がSkypeを使って行った通信記録を作成します。以下の(ただし、それ以外にも)情報が含まれます:
・VoIP 通話、名前や電話番号を含みます。
・インスタントメッセージ、第三者の名前、メッセージ本文、メッセージの日時を含みます。
・SMS メッセージ、第三者の電話番号、メッセージ本文を含みます。
・ファイル転送。
・メンバーリストと、Skypeによってインポートされた他のシステムのアドレスを含む詳細情報。
Skype は、ユーザに、インターネット上で電話のような通話を可能にするソフトウェアです。このサービスの他のユーザへの通話は基本的に無料で、固定電話と携帯電 話への通話は有料です。その他の機能として、インスタントメッセージ、ファイル転送、ビデオカンファレンスの機能があります。
USB Flash Drive History:USB サムドライブ(フラッシュメモリ)は、コピュータ間でファイルを移動させる道具として非常に一般的になってきました。これらは非常に小型で、持ち運びも簡単で、しばしば調査に有益な証拠が入っています。Windows レジストリを調査する際に、見られる面白い事の一つが、デバイスのエントリ、特にUSBデバイスが接続されたエントリで、もしあれば、デバイスの製造業者の情報とシリアル番号が取り出せます。
Internet Exporer:調査対象がInternet Exporerを使っている時には、そのオンラインでの活動譲許の概要を作成します。それらは以下の(但し、それ以外にも)情報が含まれます:
・ブックマーク - お気に入りまたはショートカットとしてマークされたすべてのページ
・履歴 - 訪問したすべてのページの詳細
・Cookies - 将来参照するためにwebサーバによって保存/作成されたデータ項目
・ダウンロード - ダウンロードされたファイルのURLとファイル名
Apple Safari:Safariを使っている時には、そのオンラインでの活動状況の概要を作成します。それらには、以下の(ただし、それ以外にも)情報が含まれます:
・ブックマーク - お気に入りまたはショートカットとしてマークされたすべてのページ
・履歴 - 訪問したすべてのページの詳細
・Cookies - 将来参照するためにwebサーバによって保存/作成されたデータ項目
・ダウンロード - ダウンロードされたファイルのURLとファイル名
Network:調査対象のコンピュータ上で、ネットワークのアクティビティを解析。この情報には、ARPやインターフェースのテーブル、netstatの状況が含まれます。
Firefox:調査対象がFireFoxのバージョン2か3を使っている時には、そのオンラインでの活動状況の概要を作成します。それらには、以下の(ただし、それ以外にも)情報が含まれます:
・ブックマーク - お気に入りまたはショートカットとしてマークされたすべてのページ
・履歴 - 訪問したすべてのページの詳細
・Cookies - 将来参照するためにwebサーバによって保存/作成されたデータ項目
・ダウンロード - ダウンロードされたファイルのURLとファイル名
・自動入力 - フォームを自動的に補完するために使われるデータ文字列、これには、オンライン購入の際のアドレスや、購入情報が含まれています。
Screen shot:調査対象のシステムのメインスクリーンのスクリーンショットをキャプチャして保存します。このプラグインは、その処理の間、一時的にMacLockPickを隠して、取得したログデータベースとともに、ファイルを出力用フォルダに保存します。
クリップボード:クリップボード内のテキストやグラフィックスを見つけ出します。見つかったテキストはログに取り込みます。グラフィックスの場合は、jpeg形式に変換して出力ログフォルダに保存します。
Processes:そのOSを使って、解析の時点で調査対象のコンピュータ上で稼働しているアクティブなアプリケーションをすべてリストします。このモジュールは、調査対象が使用したマルウェアやその他同様のアクティブなツールが存在するか否かを判断する際に非常に重要です。
Windows Registry:このモジュールは、Microsoft Windowsシステムのレジストリから、すべての設定を抽出します。Windows レジストリは、ディレクトリで、Microsoft Windows 32-bitバージョン、64-bitバージョン、Windows Mobileの設定とオプションを格納しています。ここには、すべての、ハードウェア、オペレーティングシステム、ほとんどのオペレーティングシステム以外のソフトウェア、ユーザ、PCの環境設定、その他の情報と設定が含まれています。ユーザが、コントロールパネルの設定や、ファイルの関連付けやシステム ポリシー、インストールされているソフトウェアを変更したりすると、その変更は、レジストリに反映されて保存されます。レジストリは、また、カーネル操作 の窓口を提供し、パフォーマンスカウンターや現在アクティブなハードウェア等のランタイムの情報を通知します。このレジストリ機構の使用は、各々で提供さ れる情報は非常に異なっていますが、概念的には、(伝統的には恒常的な収納場所として見える)ファイルシステムを通じて、Sysfsとprocfsがランタイム情報を通知するのと同じ方法です。
Apple iPhone:WindowsおよびMac OS Xコンピュータ上のApple Mobile Syncシステムを使っているApple iPhoneその他のデバイスに保存されている情報を収集します。キャプチャーする情報には以下のものが含まれます(これらだけではありません);
・電話番号と通話時間と日時を含んだ電話の発信受信記録
・相手先の電話番号あるいは名前、メッセージ内容、メッセージの日時を含んだSMSメッセージの送受信記録
・IMEI - 携帯電話の機体識別番号(International Mobile Equipment Identity)は、GSMおよびUMTSの携帯電話と幾つかの衛星電話に固有の番号です。通常、電話機のバッテリーの下(バッテリーケース)に印刷さ れています。IMEI番号は、GSMネットワークで、電話機が有効なものであると特定するために使われ、盗まれた電話機でネットワーク(電話網)にアクセ スするのを止める事が出来ます(盗まれた電話が使えなくします)。
・TMSI - "Temporary Mobile Subscriber Identity"は、モバイル端末とネットワーク間で最も多く設定されている識別子です。TMSIは、VLRによって、そのエリア内の各モバイル端末 に、その電源が入っている間だけ、ランダムに割り当てられます。その番号はローカルからローカルエリアへのもので、モバイル端末が、地域を移動する度に、 更新されてしまいます。
・IMSI - 国際移動電話加入者識別番号(International Mobile Subscriber Identity)は、すべてのGSMとUMTSネットワークの携帯電話ユーザに付加された固有の番号です。これは、電話内のSIMに保存されていて、電 話機がネットワーク(電話網)に送信します。ホームロケーションレジスター(Home Location Register、HLR)に保存、あるいは、ビジターロケーションレジスター(Visitor Locatiuon Register、VLR)にローカルにコピーされている、そのモバイル端末の他の詳細を取得するために使われます。無線インタフェースの立ち聞きによっ て加入者が特定追跡されるのを避けるために、IMSIは、可能な限り、稀にしか送信されません。そして、その代わりに、ランダムに発生させたTMSIを送 ります。
・国際ローミング EDGE ステータス - その電話でローミングが設定されているかどうかを示します(EDGEは、GSMをベースにした3Gのデータ伝送技術)。
・よく使う項目 - 短縮ダイヤルのリストで、名前と電話番号が含まれます。
・Safari ステータスドキュメント - ブラウザで現在開いているページ
・Safari 履歴 - ブラウザで見たページ
・Safari ブックマーク - ブックマークされたすべてのページ
・メモプログラムで記録されたメモ
・記録されている各連絡先の詳細情報を含むアドレスブックの連絡先
・同期のために設定されているメールアカウント
 
データの解析
調査対象のシステムからMacLockPickで集められたデータは、MacLockPick Readerを使って、解析する事が出来ます。Mac OS X と Microsoft Windows用のMacLockPick Readerは、MacLockPick USBデバイスのそれぞれのオペレーティングシステムに対応したフォルダに納められています。
MacLockPick Readerを起動すると、メインウインドウが開きます。ここから、MacLockPickログファイルを開き、ヘルプファイルを参照し、アプリケーションを終了することができます。
「キー ログ(keylog)ファイルを開く」をクリックして、オープンファイルウインドウが開いたら、調べたいキーログファイルを選んでください。キーログファ イルは、MacLockPickデバイスのMacLockPick Output Folderに保存されています。各キーログファイルは、MacLockPickが被疑システムで稼働した際の調査対象のシステムのログインユーザ名と日時 がタイトルになった個別のフォルダに入っています。そのフォルダの中に、「Log Database(.ldb)」という名前で入っています。開くと、その内容が表示されます。
MacLockPick Reader ログファイルビュー(Microsoft Windows Vista)
 
MacLockPick Reader ログファイルビュー(Apple Mac OS X)
Apple iPhone の記録から取得したSMSログを表示

重要:MacLockPickは特定のオペレーティングシステムへの依存を除きます。調査担当者は、Apple Mac OS Xコンピュータで採取したデータの解析をMicrosoft Windows コンピュータで行う事が出来ます。また逆に、Apple Mac OS Xコンピュータで、Microsoft Windowsコンピュータで採取したデータの解析を行う事も出来ます。

キーログデータは、様々な方法で並べ替える事ができます。
・インデックス - データの時系列インデックス、MacLockPickが取得した順
・カテゴリ - そのデータを取得したプラグインを表示
・データ - MacLockPickが取得した情報を表示。追加情報も(あれば)表示可能で、エントリをクリックすると下部に表示
・ソース - データが見つかった場所
・日付 - ファイルやリソースが、被疑システム上で作成された日付

MacLockPick Readerは、デフォルトでは、時系列、カテゴリ順でソートされます。ウインドウ上部のインデックス、カテゴリ、データ、ソース、日付のラベルをクリックすると、それぞれの順でソートし直されます。
ユーザは、画面上部の検索バーを使って、調査対象のキーログから関心のあるデータを検索する事も出来ます。画面上部の日付検索バーで特定の日付範囲に結果を絞る事も出来ます。
 
レポートの作成
MacLockPick Readerは、キーログから、ユーザの指定したデータを、プロ仕様の書式のレポートを作成します。レポートの作成は簡単で、数回クリックするだけです。
レポートを作成するには、まず初めに、レポートに入れたいキーログの項目を選択する必要があります。項目をクリックしてハイライトさせます。シフトキーをし たまま、クリックして、ドラッグする事で、複数の項目を同時に選択する事が出来ます。Mac上で順に並んでいない複数の項目を選択するにはコマンドキーを 押しながら、Windows上ではControlキーを押しながら、項目をクリックしてください。キーログファイルの項目をすべて選択するには、Macで はコマンド-A、WindowsではControl-Aを押してください。
レポートファイルのフォーマットを選択

レポートに入れたいキーログ項目の選択が出来たら、「エクスポート」ボタンをクリックしてください。ウインドウが開いて、HTMLとプレーンテキストのどち らのレポートを作成するか選択を促します。HTMLレポートを選ぶと、整形されカスタマイズも可能な正式のレポートが作成されます。プレーンテキストを選 ぶと、選択したデータが、元の書式のまま、標準テキストに出力されます。望みのレポート形式を選択して、OKボタンをクリックすると、レポートの保存場所 を指定するよう促されます。完了すると、作成されたレポートは自動的に開らかれます。
MacLockPick USBデバイスのMacLockPick ReportTemplateフォルダにあるindex.htmlと付随する画像を編集する事で、ご自分の要望/仕様に合わせて、レポートをカスタマイズできます。
 
◆ 対象者
・法執行機関:不法行為に関する情報を収集し、証拠を立証するために使用
・監査法人:PC内の情報を解析し、粉飾決算や隠ぺい工作を調査する際に使用
・一般企業、金融機関、官公庁:内部監査及び情報漏えい等が発生した後の事後調査手段として使用
・法律事務所、企業の法務部:訴訟の際の証拠特定、証拠提出のために使用
 
 
開発元:SubRosaSoft.com


会社概要  個人情報保護
Copyright (C) 2004-2012 FRONTLINE Inc. All Rights Reserved.