マジセミドライブ

ウェビナー関連のニュースやITサービス&ツールの最新情報を随時配信します。

OSS情報

2020.01.01

【OSS情報アーカイブ】CDIR Collector

【OSS情報アーカイブ】CDIR Collector

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「CDIR Collector」とは

基本情報

概要

CDIR Collector(シーディーアイアールコレクター)とは、セキュリティインシデント初動対応時の適切なデータ保全をサポートするツールです。調査対象端末汚染を最小限に抑えながら安全にデータを収集します。

基本説明

「CDIR Collector」は「Cyber Defense Institute Incident Response Collector」の略称です。CDIR Collectorを使えば、簡単な手順でインシデント対応に有用なデータを保全できます。

インシデント発生時には、被害が抑えられそうな「ウイルス対策ソフトによるフルスキャン」「ネットワーク切断」などのアクションを取りがちです。しかし、これらのアクションにより重要な証拠が消失してしまうなどの危険性があります。

CDIR Collectorは「一般ユーザを含む初動対応者が簡単に使えて、インシデント対応に有用なデータをそのままの状態で保全する」というコンセプトで開発されています。

対象OSはWindowsのみですが、今後のバージョンで、Linux/Mac OS Xへの対応も検討されています。

ソースコードはVisual Studio 2015で読み込みビルドできます。

経緯

サイバーディフェンス研究所が開発し、オープンソース化しました。

主な特徴

使い方

関連ファイル一式をUSBメモリ/ファイルサーバ上に配置してから実行します。実行場所に「コンピュータ名+日付時刻」フォルダが作成され、そのフォルダ配下にデータが保存されます。実行には管理者権限が必要です。

対象端末が1台であれば、数十分以内程度の時間で、データ保全を完了できるとされています。

実行方法

実行方法を大きく分類すると、「ローカル」「ローカルネットワーク」「インターネット(クラウド)」の3通りです。

ローカル環境では、USBメモリ、CD/DVD実行、共有フォルダ上などで実行します。

データ取得種類

WindowsPCの場合、以下のデータを取得できます。
・メモリ
・MFT
・Change Journal
・イベントログ
・プリフェッチ
・レジストリ

設定ファイル(cdir.ini)を編集することで、データ取得種類を選択できます。

データ取得方法

データ取得方法のポイントについては、以下の通りです。
・収集対象マシンの汚染(攻撃痕跡の上書き)を最小限に抑える
・業務への影響を最小限に抑える
・揮発性と情報価値の兼ね合いを考慮して、保全対象のデータ選定/取得順を決定

データ保全形式

CDIR Collectorは、PC上の現状データをそのままの状態で取得します。

データ同一性/一貫性を確認できるように、「プログラム開始時/終了時の時間」「保全したファイルのハッシュ値」をログに保存します。

保全データの解析方法

CDIR Collectorは、PC上の現状データをすべてそのまま取得しています。そのため、既存ツール類を活用して確認できます。例えば、イベントログであれば、Windows標準イベントビューアーで取り込めます。

「タイムライン解析」とは、「インシデントが発覚した日時の前後を中心に、事象を時系列に並べて確認する作業」です。代表的なタイムライン解析用ツールとして、オープンソースの「plaso(log2timeline)」があります。さまざまな形式のデータから時刻情報を持つアクティビティを抽出しCSV形式などで出力できます。結果を表計算ソフトに取り込めば、参照/分析を行えます。

ライセンス情報

CDIR Collectorのライセンスは「Gnu General Public License Version 2」です。このライセンスに従うことを条件として、ソースコードの改変と公開が許可されています。

ダウンロード

ダウンロードページ

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

おすすめの記事

【デジタル寺田の3分用語解説】「 SAP 2027問題 」とは?⏳

デジタル寺田の3分用語解説

2024.10.07

【デジタル寺田の3分用語解説】「 SAP 2027問題 」とは?⏳

「 SAP 2027問題 」とは、「SAP ERP 6.0」が2027年末でサポート終了する問題です。セキュリティリスクを避けるため、早期に新システムへの移行が必要です。移行は業務プロセスの見直し、効率化のチャンスにもなります。新しい技術を積極的に導入し、挑戦していくことが成功の鍵となります。

【デジタル寺田の3分用語解説】「 ASM 」とは?🧩

デジタル寺田の3分用語解説

2024.10.07

【デジタル寺田の3分用語解説】「 ASM 」とは?🧩

「 ASM 」(アタックサーフェースマネジメント)は、システムに存在する脆弱性や攻撃の入り口を可視化し、管理することでリスクを特定し、対策を講じる手法です。攻撃者がシステムに侵入するために利用できる潜在的な脆弱性を理解し、適切な対策を取ることが、セキュリティ対策の第一歩となります。

【デジタル寺田の3分用語解説】「 人的資本経営 」とは?🧑‍💼

デジタル寺田の3分用語解説

2024.10.08

【デジタル寺田の3分用語解説】「 人的資本経営 」とは?🧑‍💼

「 人的資本経営 」は、企業が従業員のスキルや経験、意欲を高めるために投資を行い、長期的な企業価値の向上を目指す経営手法です。本記事では、人的資本経営の意義やその具体的な取り組みについて分かりやすく解説します。