AIフォレンジック分析ガイド
AIフォレンジック分析ガイド#
このガイドでは、unJaena AIの中核機能であるAIフォレンジック分析を活用して、収集された証拠を迅速かつ正確に分析する方法を解説します。自然言語による質問を通じて、数万件のアーティファクトから有意義な証拠を発見し、インシデントの全体像を把握することができます。
AIフォレンジック分析とは#
AIフォレンジック分析は、収集されたデジタル証拠(レジストリ、Prefetch、EventLog、ブラウザ履歴、USB記録など)をAIが自動的に分析し、重要な証拠の特定、時系列の再構成、脅威の分類、相関分析を行う機能です。
主な特徴#
- 自然言語クエリ: 専門的なクエリ言語を使わず、日常的な言葉で質問できます
- セマンティック検索: キーワードではなく意味に基づいて、関連する証拠を自動的に検索します
- MITRE ATT&CKマッピング: 検出された脅威をキルチェーンのフェーズごとに自動分類します
- 証拠引用: すべての分析結果に具体的な証拠の出典が表示されます
- 多言語対応: 日本語、英語、韓国語、中国語での分析が可能です
分析を開始する#
ステップ1: ケースを選択する#
- ダッシュボードから分析するケースを選択します。
- ケースのステータスが分析準備完了であることを確認します。
- AI分析を利用するには、データのアップロードとインデックス作成が完了している必要があります。
- AI分析タブをクリックして、分析ページに移動します。
ステップ2: 分析方法を選択する#
unJaena AIには3つの分析方法があります。目的に応じて適切な方法を選択してください。
3つの分析方法#
AI分析#
最も強力な分析方法です。自然言語クエリを通じて、AIが証拠を検索し、包括的な分析レポートを生成します。
適しているケース:
- 特定の不審な活動を調査する場合
- インシデントの全体像を把握する場合
- 複数のアーティファクトタイプ間の相関関係を分析する場合
- キルチェーン分析を実施する場合
使い方:
- AI分析タブで質問を入力します。
- AIが関連する証拠を検索・分析します。
- 分析結果がリアルタイムでストリーミング表示されます。
- フォローアップの質問でさらに深い分析が可能です。
手動レビュー#
収集されたアーティファクトを直接閲覧・確認します。
適しているケース:
- 特定のアーティファクトを自分の目で確認したい場合
- 特定の期間のデータを手動で確認する場合
- AI分析結果の根拠となる元の証拠を検証する場合
使い方:
- 手動レビュータブに移動します。
- アーティファクトタイプ(Registry、Prefetch、EventLogなど)でフィルタリングします。
- 時間範囲を設定して、特定の期間のデータを表示します。
- 各アーティファクトの詳細を確認します。
タイムラインプロファイラー#
システム全体の活動を時系列で可視化し、異常を検出します。
適しているケース:
- インシデントの時間的な流れを把握する場合
- 異常な時間帯(深夜、週末)の活動を検出する場合
- 複数のイベント間の時間的な関係を分析する場合
使い方:
- タイムラインプロファイラータブに移動します。
- 分析期間を設定します。
- 可視化されたタイムライン上で活動パターンを確認します。
- 異常な活動が検出されたセクションをクリックして詳細を確認します。
自然言語クエリの使い方#
AI分析の中核となるのが自然言語クエリです。専門的な用語を知らなくても、日常的な言葉で質問することができます。
クエリの例#
基本的なクエリ:
- 「このシステムで不審な活動はありましたか?」
- 「USBデバイスの接続記録を表示してください」
- 「過去7日間に実行されたすべてのプログラムを一覧表示してください」
特定の調査クエリ:
- 「2026年3月15日14時以降に外部ストレージにファイルがコピーされましたか?」
- 「PowerShellが異常な時間帯に実行されていませんか?」
- 「削除されたファイルの痕跡を見つけてください」
脅威分析クエリ:
- 「このシステムのキルチェーン分析を実施してください」
- 「マルウェア感染の可能性を示す証拠を見つけてください」
- 「C2サーバーとの通信の痕跡はありますか?」
- 「内部犯行に関連する証拠を分析してください」
クロス分析クエリ:
- 「USB接続後にファイルがダウンロードされたかどうかを分析してください」
- 「新規アカウント作成後に発生した不審な活動を表示してください」
- 「リモート接続後にアクセスされたファイルを時系列で表示してください」
フォローアップの質問を活用する#
AIは以前の会話コンテキストを保持します。最初の分析結果に基づいたフォローアップの質問を活用しましょう。
最初の質問: 「USB接続記録を表示してください」
-> AI: USB接続イベントが3件見つかりました(3/15 14:32、3/16 09:15、3/18 22:47)
フォローアップ: 「3月15日のUSB接続前後30分間のファイル操作を分析してください」
-> AI: USB接続直後に5つのドキュメントファイルへのアクセスがあり、うち3つがUSBにコピーされました
フォローアップ: 「コピーされた3つのファイルの詳細情報と関連するユーザー活動を表示してください」
-> AI: 詳細な分析結果を提供します
AI分析レポートの見方#
AI分析の結果は以下の構成で提供されます。
主な発見事項のまとめ#
分析で特定された重要な発見事項が、優先度順に整理されます。各発見事項には、関連する証拠とその重要性が記載されます。
証拠引用#
すべての分析結果には [証拠 #N] の形式で証拠引用が含まれます。これにより、AIの各主張を裏付ける実際の証拠を確認できます。
例:
2026-03-15 14:32:18にUSBデバイス(SanDisk Extreme、S/N: 4C530001)が
接続されました[証拠 #1]。接続直後の14:35:42に「ProjectX_Final.docx」への
アクセスが検出されました[証拠 #2]。このファイルは14:37:05に外部ドライブに
コピーされました[証拠 #3]。
各 [証拠 #N] をクリックすると、元のアーティファクトデータを確認できます。これにより以下のことが可能です。
- AI分析の正確性を直接検証できます。
- 元のアーティファクトの全内容を確認できます。
- さらなる調査が必要な証拠を特定できます。
タイムライン#
発見されたイベントが時系列で再構成され、インシデントの流れを把握できます。異常な時間帯(深夜、週末)の活動は個別にハイライト表示されます。
信頼度インジケーター#
AI分析の結果には、各判断に対する信頼度レベルが含まれます。
| 信頼度 | 意味 | 推奨アクション |
|---|---|---|
| 確認済み | アーティファクトの証拠によって明確に裏付けられている | レポートに記載する |
| 可能性が高い | 複数の間接的な証拠によって裏付けられている | 追加の確認を推奨 |
| 要調査 | 部分的な証拠のみが確認されている | 詳細な調査を実施する |
MITRE ATT&CKキルチェーンマッピング#
AI分析は、検出された脅威活動をMITRE ATT&CKフレームワークに自動的にマッピングします。MITRE ATT&CKは、サイバー攻撃の戦術と技術を体系的に分類する国際的な標準フレームワークです。
キルチェーンフェーズ#
分析で特定された主な攻撃フェーズは以下のとおりです。
| フェーズ | 説明 | 検出例 |
|---|---|---|
| 初期アクセス | 最初の侵入経路 | フィッシングメール、悪意あるダウンロード |
| 実行 | 悪意あるコードの実行 | 不審なプロセスの実行記録 |
| 永続化 | 侵入の維持 | レジストリの自動起動キー登録 |
| 権限昇格 | 権限の引き上げ | 管理者アカウントの取得試行 |
| 防御回避 | 検出の回避 | ログの削除、タイムスタンプの改ざん |
| 認証情報アクセス | 認証情報への不正アクセス | ブラウザの保存データへのアクセス |
| 探索 | 情報の収集 | システム情報の収集コマンド |
| 水平移動 | 内部への拡散 | リモートデスクトップの接続記録 |
| 収集 | データの収集 | 特定フォルダへの大量アクセス |
| コマンド&コントロール | C2通信 | 不審な外部接続 |
| 持ち出し | データの窃取 | USB・クラウドへの大量コピー |
| 影響 | 被害の発生 | ファイルの暗号化、システムの改ざん |
キルチェーン分析の活用方法#
キルチェーンマッピングの結果を活用することで、以下のことが可能になります。
- 攻撃の現在のステージを特定できます。
- まだ実行されていないステージを予測し、先制的な対応を行えます。
- ステージ間の証拠を関連付けて、攻撃の全体像を構築できます。
多言語分析#
unJaena AIは4つの言語に対応しています。AIの応答は、ケース作成時に設定された分析言語で提供されます。
対応言語#
| 言語 | クエリ | AI応答 | アーティファクト検索 |
|---|---|---|---|
| 日本語 | 対応 | 対応 | 対応 |
| 英語 | 対応 | 対応 | 対応 |
| 韓国語 | 対応 | 対応 | 対応 |
| 中国語 | 対応 | 対応 | 対応 |
クロス言語検索#
クエリの言語に関係なく、AIはすべての言語のアーティファクトを横断的に検索します。たとえば以下のようなケースがあります。
- 英語で「Find malware traces」と質問した場合、英語のイベントログと日本語のユーザーアクティビティの両方から関連する証拠が検索されます。
- 日本語で質問した場合も同様の検索範囲が適用されます。
効果的なクエリのためのヒント#
具体的に記述する#
非推奨: 「何か怪しいことはありますか?」
推奨: 「過去7日間の夜間(22時~6時)に発生した不審な活動を表示してください」
時間範囲を指定する#
期間を指定すると、より正確な結果が得られます。
「2026年3月15日から3月20日までのUSBアクティビティを分析してください」
「過去48時間以内に実行された不審なプロセスを見つけてください」
アーティファクトタイプを指定する#
分析対象を特定することで、より集中的な分析が可能になります。
「EventLogからログイン失敗の試行を表示してください」
「Prefetchから異常な時間帯に実行されたプログラムを見つけてください」
「レジストリで自動起動に登録されている項目を確認してください」
クロス分析を依頼する#
複数のアーティファクトタイプ間の関連性を分析することで、より深い洞察が得られます。
「USB接続のタイミングとファイルダウンロード記録をクロス分析してください」
「新しいサービスがインストールされた時間前後のネットワークアクティビティを表示してください」
段階的に掘り下げる#
広い範囲から始めて、徐々に絞り込んでいきます。
ステップ1: 「このシステムの全体的なセキュリティ状態を評価してください」
ステップ2: 「発見された不審なPrefetchファイルをさらに詳しく分析してください」
ステップ3: 「その実行ファイルに関連するネットワーク接続記録はありますか?」
よくある質問(FAQ)#
Q: AI分析の結果は法的証拠として使用できますか?#
AI分析の結果は、調査の方向性を定め、重要な証拠を特定するための補助ツールです。法的証拠として使用するには、専門のフォレンジックアナリストによる検証と確認が必要です。AIが提供する証拠引用([証拠 #N])を通じて、元のアーティファクトを直接確認することができます。
Q: AIが誤った分析をすることはありますか?#
AIは実際に収集された証拠のみに基づいて分析を行いますが、解釈の正確性は100%ではありません。これに対処するため、以下の仕組みがあります。
- すべての主張に対して証拠引用が含まれます。
- 信頼度インジケーターが表示されます(確認済み / 可能性が高い / 要調査)。
- ユーザーが元の証拠を直接確認できます。
Q: 分析にはどのくらい時間がかかりますか?#
クエリの複雑さによりますが、一般的には以下のとおりです。
- 単純なクエリ: 30秒~1分
- 複雑な分析: 1~2分
- 完全なキルチェーン分析: 2~3分
結果はリアルタイムでストリーミング表示されるため、分析が完了する前に途中の結果を確認することができます。
Q: 過去の分析結果を見直すことはできますか?#
はい、すべての分析の会話はケースごとに保存されます。以前の分析セッションの質問と結果をいつでも振り返ることができます。
Q: データのセキュリティはどのように確保されていますか?#
- すべてのデータはユーザーごとに分離して保存されます。
- 通信時および保存時にAES-256-GCM暗号化が適用されます。
- ご利用プランの保持期間が過ぎると、データは自動的に削除されます。
- 他のユーザーのケースにアクセスすることはできません。
Q: 特定のアーティファクトタイプのみを分析できますか?#
はい、クエリで特定のアーティファクトタイプを指定すると、そのタイプに焦点を当てた分析が行われます。また、手動レビュータブでアーティファクトタイプによるフィルタリングを行い、直接確認することもできます。
Q: 分析結果をエクスポートできますか?#
分析結果をPDFとしてエクスポートしたり、チームメンバーと共有したりすることができます。エクスポートされたレポートには、AI分析結果、証拠引用、タイムラインが含まれます。
次のステップ#
- コレクターガイド: プラットフォーム別の詳細な収集方法
- マルウェアラボガイド: YARA/CAPA/Ghidraを使ったマルウェア分析