用語集 › 🔒 セキュリティ › メモリフォレンジック
【めもりふぉれんじっく】

メモリフォレンジック とは?

💡 電源を切ると消える「揮発性の記憶」から犯人の痕跡を読む
📌 このページのポイント
メモリフォレンジックの流れ 感染PC RAM(揮発性) ファイルレスマルウェア潜伏中 ⚠ 電源OFF前に メモリダンプを取得! ダンプ取得 メモリ ダンプファイル memory.dmp 解析 Volatility (OSS解析ツール) Windows / Linux / macOS 対応 解析で判明すること マルウェア本体 ディスクに痕跡 なしでも検出 可能 プロセス一覧 実行中の怪しい プロセスを特定 暗号鍵 ランサムウェアの 鍵が残っている ことも 通信先 C&Cサーバへの 接続情報
メモリフォレンジックで判明する情報のイメージ
ひよこ ひよこ

メモリって調べられるの?電源切ったら消えるんじゃないの?

ペンギン先生 ペンギン先生

だからこそ「揮発性証拠」として重要なんだよ。インシデント発生時に電源を切る前にメモリダンプを取ることが鉄則になっているんだ。

ひよこ ひよこ

メモリを調べると何が分かるの?

ペンギン先生 ペンギン先生

実行中のプロセス一覧、ネットワーク接続、パスワードや暗号鍵、そしてディスクに書き込まれないファイルレスマルウェアの本体が見つかることもあるよ。

ひよこ ひよこ

ファイルレスマルウェアって怖そうだね

ペンギン先生 ペンギン先生

普通のウイルス対策ソフトはディスク上のファイルをスキャンするからね、メモリ上だけで動くマルウェアは見つけにくいんだよ。メモリフォレンジックはその対策の切り札なんだ。

ひよこ ひよこ

どんなツールを使うの?

ペンギン先生 ペンギン先生

Volatility(ボラティリティ)というOSSが定番でね、Windowsでも LinuxでもmacOSでもメモリダンプを解析できるんだよ。マルウェア解析者の必須ツールになっているね。

ひよこ ひよこ

普通の会社でも使うの?

ペンギン先生 ペンギン先生

インシデント対応チーム(DFIR)では使うけど、日常的なセキュリティ監視というよりは「何か起きた」時の調査ツールという位置づけだよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「メモリフォレンジック」って出てきたら「RAM解析でマルウェア調査」と思えればだいたいOK!
📖 おまけ:英語の意味
「Memory Forensics」 = メモリ(記憶域)の法科学的調査
💬 Forensics は「法廷に関する」を意味するラテン語 forensis が語源で、犯罪捜査における科学的証拠収集を指すんだよ
🔗 あわせて読みたい
← 用語集にもどる