ブラウザのログ証跡と分析
Chrome、Firefox、Safari、Edge、Internet Explorer…ユーザが好みのブラウザがどれであれ、ブラウザはもはやただの検索アプリやウェブ閲覧ツールではありません。ブラウザはすでに個人や企業にとって、行動を分析する絶好の情報集積ツールです。運転の習慣、勤務時間、口座、勤務内容、よく見るサイトとレストランのログなど、警察もブラウザログを重要視し、事件調査時には必ず手掛かりの1つにしています。2009年に人身事故で「当時衝突したのが鹿だと思った」と証言したカルフォルニアの投資銀行勤務が、その後3年の懲役刑を言い渡されました。理由の一部として、事故後に被告人のブラウザ検索履歴には「当て逃げ」の検索ワードが記録されていたからです。
閲覧利便性の向上という名目でユーザ情報が保存されている
ブラウザには個人と個人の活動に関連する大量かつプライベートな情報が保存されています。ブラウザは最近閲覧したサイト、フォームの入力文字、パスワード、送信場所が保存され、さらにこれらの履歴を異なる場所で同期できます。もちろんこれらの機能は全てウェブ閲覧の利便性を上げるためのものですが、同時にサイバー犯罪にも利用されます。そのため、個人のブラウザに保存されている情報を調査するのは事件捜査や鑑識にとって重要になっています。
インターネットセキュリティの分析者にとっても、ブラウザの調查はインシデント調査での重要な手順になります。普通は刑事案件であれば、被疑者のパソコンやスマホを証拠品として押収してから実行できます。ボストンの爆弾テロ事件において、主要な被疑者の友達がブラウザ閲覧ログを削除したせいで、4つの司法妨害罪で逮捕されました。システムのセキュリティアラートも日々多様化している現在、時間とリソースが有限なセキュリティ担当者にとって、ブラウザ調査の効率化はますます重要になってきます。HTTPSや他プライベート保護機能が普及している現代で、調査担当者もネットワークのトラフィックなどで間接的にユーザのネットワーク行為を調べるしかありません。しかし、詳細調査をしたいのであれば、各端末(ノートパソコンやスマホなど)のブラウザ活動ログを全て精査し、ユーザの閲覧履歴からキーポイントとなる情報を集めて、操作行為を再構成する必要があります。
ブラウザの種類と特徴の概要
Internet Explorerは一番有名なWebブラウザの1つで、このブラウザはWindows OSのコンポーネントで通常はデフォルトのWebブラウザになります。Windows 10からInternet Explorerの代わりにMicrosoft Edgeが採用されました。
Microsoft Edgeは全く新しいWebブラウザで、マイクロソフトも全てのデバイスでMicrosoft Edgeに置き換わります。その中にはAndroidとiOSのモバイルデバイスも含まれています。Internet ExplorerとMicrosoft EdgeはInPrivateモードで動作でき、その場合はユーザの閲覧情報とリソースが記録されません。
次によく使われるブラウザはGoogle Chromeです。このブラウザには以下の機能が備わっています。
- Googleのサービスと連携できる
- デバイス間のユーザパスワード同期
- エクステンションとplug-inが使用できる
- Chromeもプライベートモードで動作でき、ブラウザの履歴、Cookie、閲覧サイト情報が一切保存されない
サードパーティもChromeエンジンをベースにした各種ブラウザを開発しています。これらのブラウザは基本Chromeと同じ機能があり、Chromeのほとんどのエクステンションとプラグインにも対応しています。
もうひとつ有名なChromeエンジンブラウザはOperaです。このブラウザは他ブラウザの特徴を色々備えています。
- ショートカットタブ
- ポップアップブロック
- 最近閉じたタブを開く
- プライベートモード閲覧
Operaはさらに無料なプライベート(VPN)サービスがあり、ユーザの匿名閲覧に対応できます。
Firefoxもよく使われているブラウザで、以下の機能があります。
- 比較的安全(他のブラウザと比べて)
- ハイレベルなプライベートモード
- ユーザに対する位置情報と広告追跡をブロック
- 独自のプラグイン
中国のブラウザ
よく使われている中国のブラウザは 奇虎360セキュリティブラウザ、百度ブラウザ(c2011)、騰訊QQブラウザ、搜狗ブラウザ、Maxthon、UCブラウザです。これらのブラウザはChromeエンジンベースですが十分な保護が施されておらず、アンチウイルスソフトにスパムウェア/悪意のあるプログラムとみなされています。実際これらのブラウザはスパイウェアとスパムウェアがデフォルトで組み込まれているので、アンチウイルスソフトに検知されるのも別に不思議なことではありません。また、これらのブラウザもユーザの情報を大量に収集しています。
ブラウザにおける証跡取得と解析の難点
調査員がブラウザ履歴のログ解析時には以下のハードルにぶつかることがあります。
- 各種ブラウザがインストールされ、データ量が多すぎる
- 異なるデータフォーマットが異なるフォルダに分散されている
- ユーザ関連ログが暗号化で保存されている
- ユーザがプライベートモードで閲覧したことにより、押収した端末に履歴ログが記録されない
しかし対策もあります。
- ブラウザはほとんど有名なエンジンをベースにしていて、動作が近い
- 使用率上位の6大ブラウザChrome、Firefox、IE、Edge、Safari(Mac)、Operaが94.73%を占めている(netmarketshare.comより)
- 他の証跡取得方法を検討する
ブラウザの証跡種類
各ブラウザはOSにいくつかの証跡を残しますが、各ブラウザとバージョンごとに証跡の種類が異なる場合があります。通常ブラウザのログを調査するときに見る証跡の種類は以下になります。
- History
- Cache
- Cookies
- Typed URLs
- Sessions
- Most visited sites
- Screenshots
- Financial info
- Form values (Searches、 Autofill)
- Downloaded files (Downloads)
- Favorites
もちろん証跡の取得が事後の検証作業になるので、実際の操作や事象に関連証跡がなく推測できない場合もあります。この場合は他の方法もあります。
端末監視保護ソフトウェアと管理アドバイス
端末監視ソフトウェアはその対象動作と搭載機能により、各種ブラウザログ、複数ユーザ操作ログ、システム動作、接続ログなどに対応できます。事後の証跡取得に比べて、端末監視はライブ配信のようにリアルタイムで情報を取得、連絡します。制御や記録ができないソフトウェアやブラウザでもTotalSecurityFortのようなソフトウェア制御で実行自体を禁止できます。FineartのTotalSecurityFort実証で「ウェブ接続ログ」に対応するブラウザは以下になります。
| ソフトウェア名/テスト項目 | ウェブ接続ログ http/https |
アドレスブロック (接続/許可) http/https |
| Google Chrome | v | v |
| Edge | ||
| Microsoft Internet Explorer | ||
| FireFox | ||
| Opera | ||
| SlimBrowser | ||
| Avant Browser | ||
| Superbird | ||
| Comodo IceDragon Browser | ||
| Lunascape Browser | ||
| Maxthon Browser | ||
| Yandex Browser | ||
| Brave web browser | ||
| Firefox Nighty | ||
| WaterFox | ||
| UC Browser |