mac_aptプラグインの作成<後編>(IIR vol.55 2章)
2022年06月30日 木曜日
CONTENTS
IIR vol.55 第2章では前回に引き続き、「mac_aptプラグインの作成」の<後編>をお届けします。前回の続きになりますので、IIR Vol.54の記事を読んでいない方は、先にそちらを読むことをおすすめします。
本報告の注目ポイント
- MacOS特有のフォレンジック対象への対応方法
サイバー攻撃などで情報漏洩が発生した際、企業は「どのような攻撃が行われ、どのような被害があったか」を調査するのが一般的です。こうした調査で必要になるのが、パソコンやサーバに残るサイバー攻撃の痕跡を保存する「フォレンジック」です。フォレンジックのためのツールはWindows用には数多く開発されているものの、Mac(MacOS)用は質・量ともに不足していました。そこで本レポート筆者の小林は、オープンソースで提供されるMac用のフォレンジックツール「mac_apt」に着目し、さらに機能を追加するためのプラグインの開発にも着手しました。
前回に続き、具体的なプラグイン開発の事例として、MacOSの「~/Library/ Caches/<Application Bundle ID>/Cache.db」を解析するプラグインを取り上げます。Cache.dbは、対象アプリケションがMacOSのAPIを利用してHTTP/HTTPSリクエストを行った際の情報がキャッシュとして保存される場所です。フォレンジックの際にこのファイルを解析することで、そのプログラムが行った通信の履歴を追跡できる可能性がある、非常に有益なファイルです。プラグインの開発のための情報収集とプラグインを開発して動作させるまでの手順をご覧ください。
本レポートの全文はこちらからご覧いただけます。
