基本情報

概要

CDIR Collector(シーディーアイアールコレクター)とは、セキュリティインシデント初動対応時の適切なデータ保全をサポートするツールです。調査対象端末汚染を最小限に抑えながら安全にデータを収集します。

基本説明

「CDIR Collector」は「Cyber Defense Institute Incident Response Collector」の略称です。CDIR Collectorを使えば、簡単な手順でインシデント対応に有用なデータを保全できます。

インシデント発生時には、被害が抑えられそうな「ウイルス対策ソフトによるフルスキャン」「ネットワーク切断」などのアクションを取りがちです。しかし、これらのアクションにより重要な証拠が消失してしまうなどの危険性があります。

CDIR Collectorは「一般ユーザを含む初動対応者が簡単に使えて、インシデント対応に有用なデータをそのままの状態で保全する」というコンセプトで開発されています。

対象OSはWindowsのみですが、今後のバージョンで、Linux/Mac OS Xへの対応も検討されています。

ソースコードはVisual Studio 2015で読み込みビルドできます。

経緯

サイバーディフェンス研究所が開発し、オープンソース化しました。

主な特徴

使い方

関連ファイル一式をUSBメモリ/ファイルサーバ上に配置してから実行します。実行場所に「コンピュータ名+日付時刻」フォルダが作成され、そのフォルダ配下にデータが保存されます。実行には管理者権限が必要です。

対象端末が1台であれば、数十分以内程度の時間で、データ保全を完了できるとされています。

実行方法

実行方法を大きく分類すると、「ローカル」「ローカルネットワーク」「インターネット(クラウド)」の3通りです。

ローカル環境では、USBメモリ、CD/DVD実行、共有フォルダ上などで実行します。

データ取得種類

WindowsPCの場合、以下のデータを取得できます。
・メモリ
・MFT
・Change Journal
・イベントログ
・プリフェッチ
・レジストリ

設定ファイル(cdir.ini)を編集することで、データ取得種類を選択できます。

データ取得方法

データ取得方法のポイントについては、以下の通りです。
・収集対象マシンの汚染(攻撃痕跡の上書き)を最小限に抑える
・業務への影響を最小限に抑える
・揮発性と情報価値の兼ね合いを考慮して、保全対象のデータ選定/取得順を決定

データ保全形式

CDIR Collectorは、PC上の現状データをそのままの状態で取得します。

データ同一性/一貫性を確認できるように、「プログラム開始時/終了時の時間」「保全したファイルのハッシュ値」をログに保存します。

保全データの解析方法

CDIR Collectorは、PC上の現状データをすべてそのまま取得しています。そのため、既存ツール類を活用して確認できます。例えば、イベントログであれば、Windows標準イベントビューアーで取り込めます。

「タイムライン解析」とは、「インシデントが発覚した日時の前後を中心に、事象を時系列に並べて確認する作業」です。代表的なタイムライン解析用ツールとして、オープンソースの「plaso(log2timeline)」があります。さまざまな形式のデータから時刻情報を持つアクティビティを抽出しCSV形式などで出力できます。結果を表計算ソフトに取り込めば、参照/分析を行えます。

ライセンス情報

CDIR Collectorのライセンスは「Gnu General Public License Version 2」です。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。

ダウンロード

ダウンロードページ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。