メモリからの暗号化キー、パスワード抽出

フォレンジック調査におけるメモリ解析の重要性は日ごとに増大しています。インシデント発生時のトリアージや、ファイルレスで動作するマルウェアの解析などメモリ解析の有用性は枚挙に暇がありません。Passware Kit Forensic は調査員がメモリを保全すべき理由をまた一つ加えます。
Passware Kit Forensic では、メモリイメージやハイバネーションファイル (hiberfil.sys) を素早くスキャンし、FileVault2 や TrueCrypt、VeraCrypt、そして BitLocker の暗号化キーを抽出。個別ファイルを対象としたパスワード解析に比べ圧倒的に速く、効率的な調査を行えます。

メモリから抽出したデータを用いて、Windows/Mac のログインパスワードの解析やパスワードアタックのための辞書作成も可能です。解析対象プラットフォームに Mac のメモリデータが含まれるフォレンジックソリューションは未だ少ないのが現状ですが、他のツールでは解析の糸口がつかめないデータも Passware Kit Forensic の暗号解読を端緒に解析が一気に進むケースもあります。
また、抽出された暗号化キーや解析が完了したパスワードを元に他の暗号化ファイルの解析を再帰的に行うことで、パスワードの使い回しを捕捉し、より広範な復号が行えます。

GPU による高速化と分散処理

パスワード解析ツールは調査の現場で常に用いられるとは限りません。即応性が求められるフォレンジック調査においてパスワード解析に許される時間が月単位で確保されることは滅多になく、多くても数日程度、場合によっては殆ど時間が得られず、泣く泣く解析を断念することもあります。

Passware Kit Forensic が選ばれる理由の一つはその解析速度と、必要に応じてリニアに処理速度をスケールできる柔軟性です。Passware Kit Forensic の処理速度は 1つのGPU (Graphics Processing Unit) カードの使用により 最大で 300倍以上の高速化が可能です。Comino とPassware が共同開発したGPU を用いたパスワード解析用デバイスである、Decryptum PR 2080TI-S/12 4U ユニットを使えば1台につき最大 12,000倍の高速化が実現できます。

例えば、Intel Core i5-4570 使用時に秒間 100個のパスワードが処理可能なコンピューターを例に取ると、NVIDIA RTX 2080 Ti 使用時には秒間 9万以上、Decryptum PR 2080TI-S/12 4U 使用時には秒間 120万以上のパスワード試行が可能になります。
(RAR 5.x (AES-256 を使用) に対するメーカーの検証結果より抜粋)

加えて、Passware Kit Forensic は単一マシン、単一ユニットでの使用だけでなく、複数台のマシンによる分散処理を行うことでさらなる高速化が図れます。

64 bit Windows や Linuxを搭載したオンプレサーバーもしくは Amazon EC2 に Passware Kit Agent をインストールすれば、複数の CPU、GPU を用いた並列処理が可能です。

スマートフォンのバックアップデータ解析

Passware Kit Forensic では、iPad や iPhone などの iOS デバイスのバックアップデータのパスワード解析にも対応。iTunes バックアップで作成された過去のバックアップデータが調査対象PC/Macから発見された場合や、フォレンジックツールを用いて調査対象者の端末から直接バックアップを作成した場合のいずれも対応可能です。Windows Phone のデータや Android の ADB Backup も同様に解析することが可能です。

クラウドサービスからのデータ抽出・解析

Passware Kit Forensic では、Apple の iCloud やMicrosoft の OneDrive、Dropbox からデータ取得が可能です。さらに、iCloud のキーチェーンからパスワード抽出にも対応します。