サポート情報 | フォーカスシステムズ サイバーフォレンジックセンター

メールでのお問い合わせ
お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

サポート情報

ホーム > サポート情報一覧 > 2017.11.01 FTK ソフトウェアアップデート

2017.11.01 FTK ソフトウェアアップデート

AccessDataよりFTKのバージョン6.3がリリースされました。

 

ソフトウェア・アップデート情報
関連する製品 FTK
リリース日時 2017/11/1
ソフトウェアバージョン 6.3

 



バージョン6.3の主な更新内容は、以下の通りです。

 

1. Processing Profileのカスタマイズ
a. Processing Profileボタンがカスタマイズ可能になりました。独自のProfileを作成後、新規ケース作成の際、それをProcessingのメインのボタンに配置することが出来ます。個別組織や案件に即したProcessingボタンを設定することが出来ます。

 

2. Indexingの機能向上
a. 除外フィルタの導入
  Evidenceマウント前に、Indexing対象からの除外設定が可能になりました。これにより不要なファイル、令状に含まれていないデータなどを、Indexingの対象から除外することが出来ます。さらに処理に費やされる時間が短縮され、迅速にケースレビューに入ることが出来ます。除外対象は、以下の情報から設定できます。

 ■ ファイルタイプ
 ■ 日時情報(作成日時/最終更新日時/最終アクセス日時)
 ■ ファイルサイズ(最小/最大)

Indexingの除外対象の設定は、Evidenceをマウントした後でも、Additional Analysisから実施することが出来ます。必要に応じてEvidenceを複数回ロードし、より解析対象のデータを効率的に絞り込みことが出来ます。
b. 正規表現サポート
  インデックス検索のクエリフォームに、正規表現(Regular Expression)を簡単に入力するためのボタンが追加されました。これにより、以下のクエリをインデックス検索することが出来ます。

 ■ クレジットカード番号
 ■ 電話番号(アメリカ)
 ■ 社会保障番号

さらにメニューに表示対象とするために、正規表現をカスタマイズすることも出来ます。

 

3. KFF (Known File Filter) の仕様変更
a. KFFのアーキテクチャと機能がアップデートされました。
  KFF v5.6~6.2では、KFF Serverは"AccessData Elasticsearch Windows"サービスとして実行されましたが、v6.3以降は"AccessData Cassandra"サービスを使用します。

【重要】
v6.2以前のバージョンからアップグレードする場合は、すべてのKFFデータを新しいKFF Serverに作成するか、新しいKFF Serverに移行する必要があります。
 
  ハッシュマネージャ移行ツールが新しくなりました。
KFF v5.6~v6.2からアップグレードする場合は、v6.3の新しいKFF ServerにカスタムKFFデータを移行するための新しいツールがあります。

【重要】
v6.2以前の"NIST NSRL"・"NDIC HashKeeper"・"DHS Libraries"のデータは、移行ツールでは移行されません。v6.3のKFFインポートツールを使用してそれらを再インポートする必要があります。
 
  "KFFインポートユーティリティ"がアップデートされました。
このユーティリティは、新しいKFF Serverを使用するように更新されました。KFF v5.6~6.2からアップグレードする場合は、新しい6.3バージョンをインストールして使用してください。
 
  "NDIC HashKeeper"と"DHS libraries"がアップデートされました。
これらのライブラリを使用するには、v6.3の"KFFインポートユーティリティ"を使用して新しいバージョンのファイルをインポートする必要があります。
"NDIC HashKeeper"と"DHS Libraries"は、AccessDataからダウンロードされ、CSVファイルとしてインストールされます。
 
  NSRLのデータをインポートするには、以下のいずれかを実行します。

■ nist.govからv2.58以降のRDSファイルをダウンロードしてインポート
■ AccessDataからバージョン2.54のファイルをダウンロードしてインポート
 
  "NDIC HashKeeper"・"DHS libraries"・"NSRL Libraries"が、FTKから削除出来るように変更されました。

【重要】
これらのライブラリを削除するには、1~数時間かかります。削除時にはKFFインポートユーティリティの使用をお勧めします。
 
  バイナリ形式でのKFFデータのエクスポート及びインポートは使用出来なくなりました。使用出来るファイル形式は、CSVのみです。

 

4. ジョブ管理の改善
a. Evidenceの処理中、アクティブなジョブのリストを表示することが出来ます。優先順位の高いEvidenceをリストの先に処理するために、開始前のジョブのキューの順序を変更する機能もあります。

 

5. サードパーティ製ソフトウェアとのインテグレーション
a. Belkasoftとのインテグレーション
  Belkasoftのライセンスが使用可能である場合、Belkasoftの解析技術を利用して、150ものアーティファクトを解析することが出来ます。
 
b. iSubmitとのインテグレーション
  iSubmitから適切な情報を引き出し、その情報を使ってケースを自動作成することができます。これにより、iSubmitプログラム内でのデータの動向を追跡することが出来ます。

この機能を有効にするには、以下のようにレジストリにデータを作成する必要があります。
■ キー:HKEY_LOCAL_MACHINE\SOFTWARE\AccessData\Products\Forensic Toolkit\6.3
■ レジストリデータ名:iSubmitLicense
■ レジストリデータの値:[The iSubmit license number you have obtained from iSubmit]
■ レジストリデータのタイプ:REG_SZ
 
c. PhotoDNA
  スタンドアロンの機能としてのPhotoDNAは除外されました。現在はProject VIC機能の一部となっています。
 
d. Project VICのインテグレーション
  FTKには、新しく設けられた"Project VICブックマーク作成"オプションを使用して、Project VICデータをインポートおよびエクスポートする機能が追加されました。

 

6. ユーザビリティの向上
a. 監査ログのアップデート
  監査ログに、管理者がユーザーまたはグループのアクセス許可を変更した時のレコードが含まれるようになりました。
 
b. チャットメッセージのカラム設定
  チャットメッセージに関するデフォルトカラム設定として新たに追加されました。このカラム設定を適用させると、以下のカラムに切り替わります。

■ Name(名前)
■ Item #(アイテム番号)
■ Label(ラベル)
■ Item Description(アイテムの説明)
■ Create Date(作成日時)
■ Accessed Date(最終アクセス日時)
■ Modified Date(最終更新日時)
■ Chat To(チャットの宛先)
■ Chat From(チャットの差出人)
■ Chat Message(チャットメッセージ)
■ Item Source(フルパス)
 
c. Email通知
  以下の事象が発生した時、Emailで通知することが出来ます。
■ ケースに対し、アクセス権がユーザに付与される。
■ ユーザがアクセス権を持っている場合、データがケースに追加または削除されます。ジョブが完了するとEmailが送信されます。

通知されるEmailには、ケース名とケースまたは権限の変更が含まれています。複数のEmailアドレスに同時に送信することもできます。
 
d. Evidenceのトラッキング
  Evidenceが収集された時期、使用されたソフトウェアのバージョン、その他の関連の情報が、"FTK Imager"・"MPE+"・"Cellebrite"での収集作業で自動的に記録されます。
 
e. インデックス検索における重み付けの基準の設置
  インデックス検索用語をソート(並び替え)する際、重み付けの基準を構成することが可能になりました。これにより、インデックス検索結果に各項目の重み付けされた割合が反映されます。

 

7. その他
a. "Agent"ダイアログに、"Agent Name"という新しいフィールドが設けられました。これにより、IPアドレスが変更された時に混乱を避けるために、インストールされているAgentに名前を付けることができます。 付けられた名前は、Agentが置かれているコンピュータに適用されます。
 
b. CodeMeterソフトウェアが、6.50bにバージョンアップされました。
 
c. Geolocationデータは、これまでKFFに組み込まれていましたが、FTKにデフォルトで組み込まれるようになりました。
 
d. FTKは、MPE+で作成されたモバイル端末のAD1イメージをマウントする方法を改善しました。ファイル構造の表示や特定のファイルへのドリルダウンが容易になりました。
 
e. PostgreSQLソフトウェアが、"9.6.3"にバージョンアップされました。
 
f. Windows 10のゴミ箱を、正確に解析できるようになりました。
 
g. サポートされていないSQLiteデータベースのHTMLレポートを作成できるようになりました。
 
h. System Informationを右クリックして、CSV・XML・HTMLファイルを生成し、レポートに含めることが可能になりました。
 
i. ファイルリストに表示されている文字の色を変更できるようになりました。
■ FTKのユーザインターフェースからの変更ではなく、"Preferences.xml"ファイルに対し、手動での変更になります。
 
j. Windows Creator Editionがサポートされるようになりました。
 
k. Windows 10の"Thumbs.db"に格納されているパス情報を解析できるようになりました。さらに、Thumbcacheからもパスを解析できます。

 

その他、様々なバグフィックスを行いました。



その他の情報につきましては、「Release Notes」よりご確認ください。

http://ad-pdf.s3.amazonaws.com/ftk/6.3.x/FTK_6_3_RN.pdf