ログからの侵害調査（フォレンジック）の基本。証拠保全とタイムライン再構成

サーバが乗っ取られた、不審な通信が見つかった、ランサムウェアらしき暗号化が始まった。こうした連絡を受けた直後、調査担当が最初に直面するのは「何から手をつけるか」という問題です。ここでの一手を誤ると、攻撃の全体像を追えなくなるだけでなく、せっかく集めた記録が後で証拠として使えなくなります。侵害調査（デジタルフォレンジック）は、技術的なログ解析であると同時に、証拠としての価値を壊さずに事実を再構成する手続きでもあります。

この記事では、ログを中心とした侵害調査の基本を、証拠保全、揮発性の高い情報からの採取順序、タイムラインの再構成、そして痕跡の読み方という4つの観点から原理ごと整理します。特定のフォレンジックツールの操作手順ではなく、どのツールを使うにせよ外してはいけない考え方に焦点を当てます。NIST SP 800-86「Guide to Integrating Forensic Techniques into Incident Response」が示すように、フォレンジックは法執行の専門技術である前に、インシデント対応に統合された一連のプロセスとして理解するのが実務的です。

最初に前提を一つ確認します。本記事で扱う採取・解析の手法は、あくまで自分が管理権限を持つ環境、または調査の許可を明示的に得た対象に対してのみ実施してください。他者の管理するシステムへの無断のアクセスや情報取得は、不正アクセス禁止法をはじめとする関連法令に抵触するおそれがあります。組織のインシデント対応であっても、対象範囲・実施者・記録の取り扱いを事前に取り決めておくことが、調査の正当性を担保します。

早見表: 侵害調査の流れと各段階の要点#

まず全体像を整理します。フォレンジックは大きく、収集（採取）・検査・分析・報告という流れで進みます。NIST SP 800-86 もこの流れに沿って、データソースごとの扱いを解説しています。各段階で「何を間違えると後段が崩れるか」を押さえると、ツールの操作に振り回されずに済みます。

この4段階は一方通行ではなく、分析の途中で「この痕跡を裏付けるには別のログが要る」と収集に戻ることもあります。ただし戻れるのは保全した範囲の中だけです。最初の収集で取り逃した揮発性の高い情報は、二度と戻ってきません。だからこそ初動の判断が決定的に重要になります。

なぜ「揮発性の高い情報から」採るのか#

侵害調査でまず覚えるべき原則が、揮発性（volatility）の高い証拠から先に採取するという順序です。揮発性とは「放っておくとどれだけ早く消えるか」の度合いを指します。CPU のレジスタやキャッシュ、メモリ上のプロセス情報やネットワーク接続は、時間の経過・コマンドの実行・電源断によって刻一刻と失われます。一方、ディスク上のファイルやアーカイブ媒体は比較的長く残ります。消えやすいものを後回しにすれば、調査が始まる前に証拠が蒸発してしまうのです。

この順序を代表的に示した文書の一つが IETF の RFC 3227「Guidelines for Evidence Collection and Archiving」です。RFC 3227 は、証拠の採取は「揮発性の高いものから低いものへ」進めるべきだとして、具体的に次のような例示の順序を挙げています。

1. レジスタ、キャッシュ
2. ルーティングテーブル、ARPキャッシュ、プロセステーブル、
   カーネル統計、メモリ
3. 一時ファイルシステム
4. ディスク
5. 当該システムに関係するリモートのログ・監視データ
6. 物理構成、ネットワークトポロジ
7. アーカイブ媒体

実務でこの原則が最も鋭く効くのが、感染が疑われる稼働中のサーバを前にした瞬間です。直感的には「とりあえず電源を落として被害を止めたい」「再起動して様子を見たい」と考えがちですが、それはメモリ上の証拠を自分の手で破壊する行為です。電源を切ればメモリは消え、再起動すれば多くの一時情報が初期化されます。動いているマルウェアの本体、暗号化に使われた鍵、攻撃者が確立していた通信先などが、メモリにしか存在しないことは珍しくありません。

ここで誤解しやすいのが、揮発性の順序は「ディスクは後でいいから軽視してよい」という意味ではない点です。順序はあくまで採取のタイミングの話であり、消えにくいディスクも当然に保全対象です。むしろディスクは情報量が多く、後段の分析の主戦場になります。順序の本質は「先に採らないと取り返しがつかないものを優先する」ことにあります。

証拠保全と完全性の証明#

採取した証拠は、それが「採取した時点から一切変わっていない」ことを示せて初めて証拠として機能します。これが完全性（integrity）の証明です。調査が社内報告で完結するなら厳密さの度合いは状況によりますが、外部公表・取引先への説明・訴訟・当局対応に発展する可能性があるなら、最初から証拠として通用する手続きで扱うべきです。後から「ちゃんと保全しておけばよかった」と思っても、初動の記録は遡って作れません。

完全性を担保する基本的な手立ては次の3つです。

国内の実務では、デジタル・フォレンジック研究会（IDF）が公開する「証拠保全ガイドライン」が参考になります。執筆時点での最新は2025年3月公開の第10版で、事前準備・インシデント直後の対応・対象物の収集と保全といった手順に加え、第10版ではクラウドサービスにおける証拠保全が章として整理されています。オンプレミスの機器を物理的に保全する発想だけではクラウド上の証拠は守れないため、責任分界やログの取得可否を事前に把握しておく考え方が示されています。

証拠採取を揮発性の高いものから低いものへ進めるという原則と、採取・保管の際の一般的な留意点は、IETF の RFC 3227「Guidelines for Evidence Collection and Archiving」に簡潔にまとめられています。古い文書ですが、順序の考え方は現在も通用します。

ログ管理そのものの設計、すなわち平時に何をどれだけ残しておくかは、侵害調査の成否を事前に決めてしまいます。調査でいくら正しく採取しても、そもそも必要なログが残っていなければ事実は再構成できません。この前提については

タイムラインの再構成と痕跡の読み方#

採取が終わると、調査の中心は「結局、何がいつ起きたのか」を時系列で組み立てる作業に移ります。これがタイムラインの再構成です。個々のログや痕跡は単独では断片にすぎません。価値が生まれるのは、複数のデータソースを時刻でつなぎ、攻撃者の一連の動きを物語として描けたときです。

たとえば、外部の不審なIPからの接続、その直後の特定アカウントでの認証成功、数分後の権限昇格、別サーバへのログイン、そしてデータの外部送信。これらがバラバラのログに散らばっていても、時刻を軸に並べ替えれば「初期侵入から横展開、そして情報持ち出しまで」の流れが見えてきます。JPCERT/CC の資料「高度サイバー攻撃への対処におけるログの活用と分析方法」も、攻撃の各段階でどの機器にどのような痕跡が残るかという観点から、ログを突き合わせて侵害の範囲を捉える方法を整理しています。

タイムライン再構成の絶対的な前提が時刻同期です。各機器の時計がずれていると、イベントの前後関係が崩れ、因果関係を再構成できません。「ログはあるのに順序が分からない」という事態の多くは、時刻同期の不備が原因です。さらに、機器ごとにタイムスタンプのタイムゾーン表記がばらばらだと、UTCとローカル時刻が混在して数時間単位のずれを生みます。分析時には、すべての時刻を一つの基準（多くの場合UTC）に正規化してから並べるのが鉄則です。

痕跡を読むうえで知っておきたい代表的なデータソースを挙げます。

ここで実務上の注意があります。痕跡は攻撃者によって意図的に消されたり偽装されたりします。攻撃者は侵入の証拠を隠すためにログを削除し、ファイルのタイムスタンプを正常な日時に書き換えることがあります。したがって、単一のソースの記述を鵜呑みにせず、複数のソースで裏を取る姿勢が欠かせません。たとえばファイルの更新日時が不自然に古くても、そのファイルを参照した別のログの時刻と矛盾すれば、偽装を疑う手がかりになります。

攻撃者の振る舞いを「どの段階で何をするか」という戦術と技術の枠組みで整理しておくと、タイムラインのどこに穴があるかを点検しやすくなります。この枠組みについては関連記事も参照してください。なお、採取直後の封じ込めや関係者への連絡といった初動全体の流れは

よくある質問#

まとめ#

侵害調査は、消えやすい証拠を失わずに採取し、原本を壊さず複製で解析し、時刻でつないでタイムラインを再構成し、複数のソースで裏を取り、完全性と取り扱いを記録して初めて成立します。初動の一手が証拠を不可逆に破壊しうるという事実を理解し、揮発性の高い情報から意図的に採る。この基本を外さないことが、後で「証拠にならない調査」を避ける最大のポイントです。

平時のログ管理が侵害調査の成否を事前に決めること、そして初動全体の中でのフォレンジックの位置づけについては、