製品 | フォーカスシステムズ サイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE
ホーム > 製品 > データ調査解析ソフトウェア > EnCase Forensic ※取り扱い終了

EnCase Forensic ※取り扱い終了



本製品の取り扱いは終了いたしました。詳しくはこちらのページをご覧ください。

EnCaseは世界中の法執行機関や民間企業で最も広く利用されている、フォレンジック調査用ソフトです。

 開発元のopentextではフォレンジックが必要とされる分野に応じ、EnCaseの名称を冠した多彩な製品を提供していますが、ラインナップの中核となるEnCase Forensicは、デジタル・フォレンジックに必要な証拠となるデータの保全から分析・報告までの一通りの機能を全て内包しています。

 フォレンジックツールとして非常に長い歴史を持ち、NIJ(National Institute of Justice)や、DC3(Department of Defense Cyber Crime Center)NISTが実施しているCFTT(Computer Forensics Tool Testing)など多くの機関で信頼性を検証されています。

 最新版ではインターフェースを大幅に刷新し、急増するタブレットやスマートフォンデータの解析もサポート
日本語に代表される2バイト文字で表される言語にも対応した検索機能やWindowsなどのOSの情報解析機能を持ち、広い解析ニーズに即した調査環境を提供します。

主な機能

フォレンジックの各過程に応じた機能を搭載しており、単独で一通りの調査を完結することが可能です。

保全

■ データの保全収集
 PCに内蔵されたHDDやSSDの他、USBメモリなどの様々なデバイスのデータ取得に対応。
 イメージファイルの形式で、削除領域を含めたストレージ全体を保全します。

FastBloc SE(ソフトウェア・エディション)
 Write ProtectedとWrite Blockedの2つのモードで、USB, FW, SCSIに対する書込防止機能を提供します。

検証

■ ハッシュ値の算出と比較
 作成したイメージファイルのハッシュ値と原本のハッシュ値を比較・検証し、データの完全性を検証します。

■ データの完全性・整合性を保つエラーチェック
 EnCaseで用いられるE01 (EnCase Image File Format) 形式のイメージファイルは、ハッシュの他、CRC(巡回冗長検査)によるエラーチェックが行われており、DDイメージに比べ高い信頼性を誇ります。

解析

■ 証拠処理の自動化
 Evidence Processorにより、従来、手動で行う必要があった以下の作業を自動化することが可能です。
  ・USB接続履歴の調査 ・インストール済みアプリケーションの一覧の取得 ・OSのインストール情報取得
  ・ユーザーアカウント情報取得 ・ネットワーク設定の調査 ・タイムゾーン設定の調査 ・削除ファイルの復元

■ 多彩な解析・証拠表示機能
 調査で頻繁に閲覧する必要のある画像やPDF、Office関連のドキュメントは内蔵ビューアーから確認できます。
 また、画像ファイルの一覧表示、タイムライン表示、構造化されたデータの表示機能を備えています。

■ キーワード検索 (Live/Index)
 任意のキーワードで検索が行えます。文字コードやGREPなどのパターン検索にも対応しています。また、インデックスを作成することで検索結果を迅速に得ることが可能になります。

報告

■ レポート作成機能
 調査結果をまとめたレポートを作成します。手作業では時間のかかるファイルのリスト化や、保全機器の詳細情報の表示が簡単に行えます。レポートで利用するテンプレートをカスタマイズすることで、報告書作成を効率化し、生産性を高めることができます。

■ ファイルのエクスポート
 発見したデータを依頼人に提供したり、他のツールで分析したりする際に便利なデータの出力機能を備えています。

EnCase Forensicによる解析

■ 新しいユーザーインターフェース
よりユーザーに分かり易く、直感的に操作できるように、タブブラウザーのようなインターフェースを採用。それぞれのビューごとにタブを切り替えることで、目的の情報へ素早くアクセスできます。
英語の他、日本語を含む多数のフォントでの表示設定が可能で、初めての方でも簡単にお使い頂けます。

ファルダのツリー構造の表示※ EnCaseの基本画面


■ 電子メールビューアー

メールボックス内の送信トレイや受信トレイ、ユーザー設定フォルダなどの構造を再現して表示する機能を搭載。
以下の形式のメールに対応しています。

・PST (Microsoft Outlook)
・NSF (Lotus Notes)
・DBX (Microsoft Outlook Express)
・EDB (Microsoft Exchange)
・EMLX (Macintosh OS X)
・AOL
・MBOX (Mozilla Thunderbird 等)
・OST

■ Web閲覧履歴の確認
ブラウザの閲覧履歴の調査は証拠処理機能(Evidence Processor)が活用できます。同機能は対象ドライブから自動的に必要な情報を収集・解析し、結果を表示します。そのため、index.datなどのDBファイル内のデータ構造を、調査員が仔細に把握している必要はありません。
EnCaseでは以下のブラウザの解析に対応しています。

・Internet Explorer 
・Edge
・Firefox
・Chrome
・Opera
・Safari

■ 画像の一覧表示(Galleryタブ)
ディスク内の画像を一覧で表示します。
指定したフォルダ内の画像だけを対象にするなど、表示対象は自在に変更可能です。
ファイルシグネチャの解析を行えば、拡張子が偽装されたファイルも検出し、画像として表示します。

画像の一覧表示※ Galleryタブの表示例

Mac OSのFinderやiTunesでのファイル閲覧時に、CoverFlow機能が使用された場合はファイルのサムネイル画像が作成・キャッシュされています。EnCaseではこのキャッシュファイルを解析し、画像ファイルを抽出可能です。

Disk View(ディスクビュー)機能

 EnCaseは調査対象デバイスに記録されたデータの保存状況を視覚的に把握するための機能を備えています。調査はもちろん、学術的な研究でもこのDisk View機能をご活用頂けます。

ディスクビューの表示画面※ 上図の赤枠内が選択中のファイルです。
表示例: ■ 使用中の領域 ■ 未使用領域 ■ MBR (Master Boot Record) ■ ボリューム・スラック


この機能を使用することで、ファイルの断片化や、上書きの状態を把握することが可能になります。ファイルの復元が困難な場合でも、上書きされていない前後のデータやスラックスペースには有益な情報が残されていることがあり、それらの情報を探す際にこの機能を活用することができます。
 目的のセクター番号を入力すれば、指定場所まで移動ができ、その場所に保存されたデータをHexや内蔵のビューアーでご確認頂けます。

また、削除されたパーティションを復元する機能を併せ持つため、特定のパーティションが丸ごと削除された場合、ボリューム全体を従前の状態に戻してから調査を行うことができます。このパーティションの復元作業はEnCase上で実行され、保全したイメージファイルを改変しません。

EnScriptによる機能追加

 EnCaseではC++やJavaの流れを汲む独自の開発言語、EnScriptを利用することで様々なプログラムを作成することができます。EnScriptはどなたでも作成することができ、ボタンひとつで追加した機能拡張をお使い頂けます。
 公式のEnCase App Centralでは140を超えるEnScriptが無料で公開されています。
EnScriptの作成例

※ EnScriptの作成例


EnScriptでは外部のプログラム(上図ではPython)に処理を投げることも可能です。
ファイルシステムの読み取りや、ファイルの抽出といった、EnCaseの強力な証拠のハンドリング能力を生かしつつ、他言語で書かれたプログラムと協働し、調査の効率化を図ることができるのは多彩なファイルシステムを扱うことができるEnCaseならではの特徴といえます。

【v8からの追加機能 ①】 解析ワークフロー機能

v8より、『Pathways』と呼ばれる新機能が追加されました。この機能は、ケースの作成からレポートの作成に至るまで、ユーザをナビゲートするために設計されています。これにより、ユーザはEnCaseの操作において、次に何をすべきかを理解しながら作業を進めることが出来るようになります。
『Pathways』には、『Preview / Triage』もしくは『Full Investigation』の2つが搭載されています。

 

Preview / Triage Full Investigation
※ Pathways (左:Preview / Triage 右:Full Investigation)


■ Preview / Triage

解析対象のデータに対し、データの分類や、メールやWeb閲覧の履歴のみの解析を素早く実施する際に活用できます。

  • Let's get new Case : ケースを作成し、解析対象データをマウントします。
  • Quick Analysis : ハッシュ値の算出、シグネチャ解析、メールやWeb閲覧履歴の解析を実施します。
  • What are you looking for : 解析結果をもとに、必要情報の絞り込み、及び閲覧します。
  • Create a report for your case : トリアージレポートを作成します。

■ Full Investigation

解析対象のデータに対し、詳細な解析を実施する際に活用できます。

  • Let's get new Case : ケースを作成し、解析対象データをマウントします。必要に応じ、ドライブの利用状況を解析します。
  • Quick Analysis : ハッシュ値の算出やシグネチャ解析、メールやWeb閲覧履歴の解析の他、IndexingやSystem Info Parserなど、より詳細な解析を行うための処理を実施します。
  • What are you looking for : 解析結果をもとに、必要情報の絞り込み、キーワード検索を実施し、その結果を閲覧します。
  • Create a report for your case : トリアージレポートを含めたレポートを作成します。

 

【v8からの追加機能 ②】 トリアージレポート

『Pathways』で解析処理を実施し、Bookmarkしたデータに対し、素早くレポート作成することが出来る機能です。従来のレポート機能のように、細かいフォーマットを形成しながら作成する必要はありません。データの格納状況の把握、メールやWebブラウザの使用状況などをいち早く把握するのに活用できます。
トリアージレポートの表示は、Webブラウザが自動的に起動し、表示されます。

※ トリアージレポート作成画面

opentextについて

opentext社は、eDiscovery およびデジタル・フォレンジック分野を対象とするツールの開発会社として、1997年に設立されました。フォレンジック分野では非常に高いシェアを誇り、同社の代表的なソフトウェア群のEnCaseは世界中で4万以上のライセンスが発行されています。

同分野に関連したセミナーやトレーニングを多数実施。年間6,000を超える組織を教育しています。

フォレンジックツールとしては名実ともにトップシェアを誇り、アメリカではFortune 100に並ぶ優良企業の半数以上がopentext社の製品を採用しています。

関連製品
Inspector(旧BlackLight)
plistやfseventsログの自動解析など、MacOSに特化 ...
詳細
MAGNET AXIOM ※取り扱い終了
LINEなどのスマホチャットアプリやインターネット ...
詳細
Forensic Toolkit(FTK) ※取り扱い終了
高速なインデックス検索やパスワード解析など、フ ...
詳細