マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

OSS情報

2020.01.01

【OSS情報アーカイブ】CDIR Collector

【OSS情報アーカイブ】CDIR Collector

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「CDIR Collector」とは

基本情報

概要

CDIR Collector(シーディーアイアールコレクター)とは、セキュリティインシデント初動対応時の適切なデータ保全をサポートするツールです。調査対象端末汚染を最小限に抑えながら安全にデータを収集します。

基本説明

「CDIR Collector」は「Cyber Defense Institute Incident Response Collector」の略称です。CDIR Collectorを使えば、簡単な手順でインシデント対応に有用なデータを保全できます。

インシデント発生時には、被害が抑えられそうな「ウイルス対策ソフトによるフルスキャン」「ネットワーク切断」などのアクションを取りがちです。しかし、これらのアクションにより重要な証拠が消失してしまうなどの危険性があります。

CDIR Collectorは「一般ユーザを含む初動対応者が簡単に使えて、インシデント対応に有用なデータをそのままの状態で保全する」というコンセプトで開発されています。

対象OSはWindowsのみですが、今後のバージョンで、Linux/Mac OS Xへの対応も検討されています。

ソースコードはVisual Studio 2015で読み込みビルドできます。

経緯

サイバーディフェンス研究所が開発し、オープンソース化しました。

主な特徴

使い方

関連ファイル一式をUSBメモリ/ファイルサーバ上に配置してから実行します。実行場所に「コンピュータ名+日付時刻」フォルダが作成され、そのフォルダ配下にデータが保存されます。実行には管理者権限が必要です。

対象端末が1台であれば、数十分以内程度の時間で、データ保全を完了できるとされています。

実行方法

実行方法を大きく分類すると、「ローカル」「ローカルネットワーク」「インターネット(クラウド)」の3通りです。

ローカル環境では、USBメモリ、CD/DVD実行、共有フォルダ上などで実行します。

データ取得種類

WindowsPCの場合、以下のデータを取得できます。
・メモリ
・MFT
・Change Journal
・イベントログ
・プリフェッチ
・レジストリ

設定ファイル(cdir.ini)を編集することで、データ取得種類を選択できます。

データ取得方法

データ取得方法のポイントについては、以下の通りです。
・収集対象マシンの汚染(攻撃痕跡の上書き)を最小限に抑える
・業務への影響を最小限に抑える
・揮発性と情報価値の兼ね合いを考慮して、保全対象のデータ選定/取得順を決定

データ保全形式

CDIR Collectorは、PC上の現状データをそのままの状態で取得します。

データ同一性/一貫性を確認できるように、「プログラム開始時/終了時の時間」「保全したファイルのハッシュ値」をログに保存します。

保全データの解析方法

CDIR Collectorは、PC上の現状データをすべてそのまま取得しています。そのため、既存ツール類を活用して確認できます。例えば、イベントログであれば、Windows標準イベントビューアーで取り込めます。

「タイムライン解析」とは、「インシデントが発覚した日時の前後を中心に、事象を時系列に並べて確認する作業」です。代表的なタイムライン解析用ツールとして、オープンソースの「plaso(log2timeline)」があります。さまざまな形式のデータから時刻情報を持つアクティビティを抽出しCSV形式などで出力できます。結果を表計算ソフトに取り込めば、参照/分析を行えます。

ライセンス情報

CDIR Collectorのライセンスは「Gnu General Public License Version 2」です。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。

ダウンロード

ダウンロードページ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

おすすめの記事

【デジタル寺田の3分用語解説】「 VMWare 問題 」とは?🖥️

デジタル寺田の3分用語解説

2024.11.18

【デジタル寺田の3分用語解説】「 VMWare 問題 」とは?🖥️

「 VMWare 」の仮想化技術は、「ITインフラの効率化」に大きく貢献する技術ですが、Broadcomによる買収後のライセンス変更が大きな問題として注目されています。柔軟で慎重な契約見直しが今後の鍵となります。

【デジタル寺田の3分用語解説】「 2029年問題 」とは?📅

デジタル寺田の3分用語解説

2024.11.18

【デジタル寺田の3分用語解説】「 2029年問題 」とは?📅

「 2029年問題 」とは、高校でのデジタル教育改革により、新入社員と既存社員間でデジタルスキル格差が拡大する懸念を指します。企業は早急に対応が求められています。この格差は、企業競争力や業務効率にも、影響を及ぼす可能性があります。

【デジタル寺田の3分用語解説】「 経済産業省:コンテンツ制作のための 生成AI 利活用ガイドブック 」とは?📘

デジタル寺田の3分用語解説

2024.11.18

【デジタル寺田の3分用語解説】「 経済産業省:コンテンツ制作のための 生成AI 利活用ガイドブック 」とは?📘

経済産業省による「 生成AI 利活用ガイドブック 」は、企業やクリエイター向けに、安心して「生成AI」を利用するための、「指針」「実例」「注意点」を明示しています。「業務効率化」や「新しいアイデア創出」の支援を目的としています。