QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

新バージョンのリリース

ホーム > 新バージョンのリリース > OpenText 社製品

EnCase Forensic v22.3 リリース

概要

EnCase Forensic v22.3が、2022/07/29 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • タイムライン機能が刷新され、ツリービューまたはテーブルビューにおいてファイルを選択した状態でタイムラインビューに切り替えると、新しいタイムライン形式で当該ファイルを見ることができるようになりました。

 

 

  • “AFF4形式データ (.aff4および.turtle拡張子)”の読み込み、及び解析に対応するようになりました。
    • “AFF4-L形式データ(.aff4および.turtle拡張子)の作成” にも対応するようになりました
      • v22.1では、読み込みのみの対応です。
    • 今回のアップデートにより、現在ケースへの追加に対応しているファイル形式は以下の通りです。※赤字部分が追加。
      • EnCase Evidence files: Legacy Evidence File (*.E01) or Current Evidence File(*.Ex01)
      • Logical Evidence files: Legacy Logical Evidence File (*.L01) or Current Logical Evidence File (*.Lx01)
      • Apple Disk Image (*.dmg)
      • Logical (AFF4–L) and physical AFF4 files: Advanced Forensic Format v4 (*.aff4) or Advanced Forensic Format v4 (Directory) (*.turtle)
      • SafeBack File (*.001)
      • VirtualBox Disk Image (*.vdi)
      • Virtual PC File (*.vhd)
      • Virtual Hard Disk v2 (*.vhdx)
      • VMWare File (*.vmdk)

 

  • Pathways機能がアップデートされ、ユーザーが独自に作成したPathways を、ユーザー間で共有できるようになりました。このアップデートにより、独自に作成したPathwaysを組織内に展開して標準化することが容易になりました。
    • ※ v22.1以前のバージョンにおいても、ユーザーが独自の手順のPathwaysを作成、編集、または利用することができます。自組織に適したPathwaysをあらかじめ複数作成しておき、調査時に適切なPathwaysを選択して利用することにより、調査員の負荷を低減することができます。
    • さらにv22.3では、このPathwaysをユーザー間で共有できるようになりました。

 

    • 【Pathways共有手順】※詳細については、v22.3ユーザーガイドの3.3.4 Sharing custom pathwaysをご参照ください。
      1. 下表は、Pathwaysの設定に関係するファイル群のリストです(ファイル名とそれらが保存されているディレクトリパス)。
      2. このリストのうち、黄色ハイライトで表示しているファイルをすべて、C:\Users\<username>\Documents\EnCase\Importにコピーします。
      3. EnCase Forensicのアプリケーションにおいて、ツールバーの「Pathways」をクリックするとインポートが開始されます。

 

▼Pathwaysの設定に関係するファイル群

 

【独自のPathways作成等に関する参考】

▼Pathways選択画面(ケース選択前)

 

▼Pathways選択画面(ケース選択後)

 

▼独自のPathways作成・編集画面

 

  • ケースの共有用アプリケーションである Review Package(レビューパッケージ)において、個別をファイルを選択してパッケージ外へコピーすることができるようになりました。

 

  • Slack のデータが、新たに取得可能になりました。これにより、クラウドサービスへの対応は以下の通りとなりました。(赤字部分が追加されたデータです)
    • SNS
      • Facebook
      • Instagram
      • Twitter
    • ストレージ
      • Amazon S3
      • Box
      • Dropbox
      • Google Workspace
      • Microsoft Azure Blob
      • Microsoft SharePoint 2013 or Later
      • Microsoft SharePoint Office 365
      • Microsoft SharePoint Office 365 OneDrive
    • メッセージ
      • Microsoft Teams
      • Slack
    • メール
      • Microsoft Exchange Server 2013 or Later
      • Microsoft Exchange Server on Office 365
      • Google Workspace

詳細情報

製品についての情報は、以下のWebサイトをご確認ください。

EnCase Forensic v22.1 リリース

概要

EnCase Forensic v22.1が、2022/03/11 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • ホストOS(EnCase Forensic のインストール先)、ターゲットOS(EnCase Forensic の調査対象)ともに、Windows 11 をサポートしました。
    • 本情報は、メーカーのリリーススケジュールの関係上リリースノートには掲載されておりません。

 

  • ホーム画面がリニューアルされました。
    • レイアウトの変更であり、機能自体に変更はございません。

 

▼従来(v21.4)のホーム画面

 

▼v22.1のホーム画面

 

  • AFF-4(.aff4および.turtle)とAFF4-Lのファイル形式が新しくサポートされ、これらファイル形式のエビデンスデータをケースに追加できるようになりました。ただし、これらファイル形式のデータの作成には未対応です。
    • 【2022年7月27日 追記】AFF-4は、論理ボリュームを対象としたものに限ります(物理ドライブを対象としたAFF-4への対応は、”22.3″ で実装される予定です。
    • 【2022年7月27日 追記】EnCaseに追加可能なAFFは、v4 (拡張子:.aff4) に限ります(v4以外のバージョンへの対応は未定です)。
    • 現在、ケースへの追加に対応しているファイル形式は以下の通りです:
      • EnCase Evidence files: Legacy Evidence File (*.E01) or Current Evidence File(*.Ex01)
      • Logical Evidence files: Legacy Logical Evidence File (*.L01) or Current Logical Evidence File (*.Lx01)
      • Apple Disk Image (*.dmg)
      • AFF4–L files: Advanced Forensic Format v4 (*.aff4) or Advanced Forensic Format v4 (Directory) (*.turtle)
      • SafeBack File (*.001)
      • VirtualBox Disk Image (*.vdi)
      • Virtual PC File (*.vhd)
      • Virtual Hard Disk v2 (*.vhdx)
      • VMWare File (*.vmdk)

 

  • 以下の Google Chrome のアーティファクトの処理が追加されました:
    • Form history (Autofill)
    • Media history

 

  • レポート生成がバックグラウンドで実施可能になりました。

 

  • Media analysis モジュールがアップデートされました。
    • 以下のカテゴリが新たに追加されました。
      • Chat
      • Face
      • Map
      • QR Barcode
      • Tattoo
      • Text
      • Vehicle
    • Media analysis の現在のカテゴリは以下の通りです(ユーザーマニュアル(P.192-193)にも記載されています)。

 

詳細情報

製品についての情報は、以下のWebサイトをご確認ください。

EnCase Forensic v21.4 リリース

概要

EnCase Forensic v21.4が、2021/11/03 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • データ取得が可能なクラウドサービスの対応範囲の拡大
    • 以下のクラウドサービス上のデータが、新たに取得可能になりました。
      • ストレージ
        • Microsoft Azure Blob
      • SNS
        • Facebook
        • Instagram
        • Twitter
    • なお、以下のクラウドサービス上のデータ取得は、以前より対応しております。
      • ストレージ
        • Amazon S3
        • Box
        • Dropbox
        • Google Workspace
        • Microsoft SharePoint 2013 or Later
        • Microsoft SharePoint Office 365
        • Microsoft SharePoint Office 365 OneDrive
      • メッセージ
        • Microsoft Teams
      • メール
        • Microsoft Exchange Server 2013 or Later
        • Microsoft Exchange Server on Office 365
        • Google Workspace

 

  • 一部のデータに限定してのプロセッシングに対応
    • “Entries: View” において、データのすべて又は一部を選択してプロセッシングを行うことが可能になりました。
    • このプロセッシングは、以下の手順により実施します:
      • 処理対象のデータ(アイテム)にブルーチェックを付け、右クリックメニューより[Process] > [Process Selected] 選択(カスタム設定を行うことも可能です)
      • 右クリックではなく、メニューバーから選択することも可能です。

 

▼ “右クリックをして選択” の操作

 

▼ “メニューバーから選択” の操作

 

  • v8.10以降のバージョンで作成されたケースは、改めてプロセッシングし直すことなく開くことができるようになりました。

 

  • EnCase Forensicを、Microsoft Azureへデプロイすることが可能になりました。

 

  • Office Exchange 365のメールメッセージに含まれるOneDriveの添付ファイルを取得できるようになりました。

 

  • Evidence Processor System Info Parserにより解析可能なレジストリキーアーティファクトが、171種類増加しました。

 

▼ v21.4

▼ v21.3 以前

 

  • EnCaseのドキュメントとして、「アーティファクトリファレンスガイド」が新しく登場しました。
    • これにより、EnCaseを用いて解析可能なアーティファクトの一覧及びその説明を参照することが可能です。
    • ドキュメントは、Opentext社のポータルサイトにてダウンロードいただけます。

 

詳細情報

製品についての情報は、以下のWebサイトをご確認ください。

EnCase Forensic v21.3 リリース

概要

EnCase Forensic v21.3が、2021/07/07 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • “Case Overview” 機能の追加
    • “Case Overview” がケースのホーム画面に表示されるようになりました。”Case Overview” では、ケースに追加・処理された証拠の種類をカテゴリー別にカウントした値が表示されます。

 

 

  • “Add Evidence” メニューの改良
    • “Add Evidence” メニューは、既存のエビデンスのカテゴリーとよりマッチするよう刷新されました。
    • “Add”、”Preview”、”Acquire” の各カテゴリと、関連するサブカテゴリが追加されました。

 

 

 

  • データ取得が可能なクラウドサービスの対応範囲の拡大
    • 以下のクラウドサービス上のデータが、新たに取得可能になりました。
      • Amazon S3
      • Box
      • Dropbox
      • Microsoft Teams
    • なお、以下のクラウドサービス上のデータ取得は、以前より対応しております。
      • Microsoft Exchange Server 2013 or Later
      • Microsoft Exchange Server on Office 365
      • Google Workspace
      • Google Workspace
      • Microsoft SharePoint 2013 or Later
      • Microsoft SharePoint Office 365
      • Microsoft SharePoint Office 365 OneDrive

詳細情報

製品についての情報は、以下のWebサイトをご確認ください。

EnCase Forensic v21.2 リリース

概要

EnCase Forensic v21.2が、2021/04/21 にリリースされました。
主な追加・修正・変更点等は、以下をご覧ください:

 

※ 記事内のURLは、予告なく変更、もしくは削除されることがあります。

機能の追加、及び拡張

  • 日本語版 UI の対応
    • EnCase Forensic v8.x まで対応しており、EnCase Forensic v20.x ではリリースされていなかった日本語UIが再登場しました。
    • 日本語UIを使用するには、インストーラーを別に入手する必要があります。

 

  • ソーシャルメディアの解析に対応
    • EnCase Forensic から以下のソーシャルメディアに関するアーティファクトの解析が可能になりました:
      • Facebook:ログインデータ、検索、訪問したページ・投稿・ストーリーズ、閲覧した画像・動画
      • Instagram:ログインデータ、訪問したページ、画像、ストーリー
      • LinkedIn:ログインデータ、閲覧したページ、メッセージの詳細、検索
      • Twitter:ログインデータ、キーワード検索、閲覧した投稿

 

  • ケースに追加されたエビデンスの自動処理
    • ケースに証拠データを追加した際、Evidence Processor が自動的に処理を開始するよう設定することができるようになりました(デフォルトでは自動処理機能はオフになっています)。
    • アップデート後、初めて証拠データをケースへ追加する際、もしくは [Tools] > [Options] の Auto Evidence Processorタブから設定を変更できます。以下の処理オプションやタイムゾーンなどの各種設定を行うと同様の処理が自動で実行され、調査のワークフローの効率化、定型化に有効です。

 

 

    • 上記自動処理オプション “Evidence Processor Options” には予め以下のモジュールが用意されています。
      • Indexing Compound Files Emails
        • ファイルシグネチャ解析や圧縮ファイルの展開、電子メール・インターネットアーティファクトの検索、テキストやメタデータなどのインデクシングを行う、汎用的な処理オプションです。
      • Linux / macOS / Windows All Options
        • 上記に加え、Recover Folders、暗号化ファイルの解析、サムネイル作成、Exif 解析、ハッシュ解析、システム情報の解析を行う解析オプションです。解析対象 OS に応じて以下の3つのバリエーションがあります:
          • Linux All Options
            • Unix Login、Linux Syslog Parser などの Linux 環境向けの処理を追加した解析オプションです。
          • OSX All Options
            • Unix Login、OS X Artifact Parser などの macOS 環境向けの処理を追加した解析オプションです。
          • Windows All Options
            • Windows Event Log Parser、Windows Artifact Parser などの Windows 環境向けの処理を追加した解析オプションです。
      • トリアージ用オプション
        • Windows Triage
          • ファイルシグネチャ解析、インターネットアーティファクトの解析、システム情報の解析だけを行うインシデントレスポンスや緊急対応用の解析オプションです。
        • Windows Triage Hash
          • 上記処理にハッシュ解析を追加した解析オプションです。

 

  • 仮想ディスクイメージへの対応強化
    • 本バージョンより、以下の2つの仮想ディスクイメージをサポートします:
      • Virtual Hard Disk v2 image file format (.vhdx)
      • VirtualBox Disk Image (.vdi)
    • 既存の VMWare file format (.vmdk) のサポートも拡充しました。RAW/スパースデータファイルへの対応やVMDK descriptorのテキストファイルの解析が可能になりました。

 

  • コマンドラインでEnCaseのライセンス管理が可能
    • EnCaseに新たに追加されたEnCert license management utility (encert.exe) を使用することで、既存ライセンスの一覧化や削除、ライセンス要求ファイルの (再) 作成といったライセンス管理をコマンドラインから行うことができるようになりました。
    • EnCertはデフォルトで以下の場所に配置されます。
      • C:\Program Files\EnCase21\License
    • 各種コマンド、オプションの詳細は、encert.exe 実行時に表示される HELP をご参照ください。

 

  • 画像やPDFファイルのOCR対応
    • 以下の画像データおよびPDFがOCRに対応しました。OCRで読み取られたデータはインデックシング処理後、検索することが可能です。
      • BMP
      • GIF
      • JFIF
      • PCX
      • PNG
      • TIFF

 

  • エビデンスキャッシュの更新
    • 証拠処理の効率化のためエビデンスキャッシュの保存方法が変更されます。
      • 本バージョンより前の EnCase で処理されたデータは 、EnCase v21.2 以降とは互換性がないためご注意ください。
      • 以前のバージョンの EnCase で処理されたデータに対しては警告が表示されます。EnCase v21.2 以降でも使用する場合は再処理が必要になります。

 

  • スマートデバイスからのデータ抽出の強化
    • データ取得時、iOS/iPadOS の暗号化バックアップが有効でない場合、自動的に有効化できるようになりました。これにより取得可能なデータが増大します(取得完了時に暗号化バックアップは元の状態に戻ります)。
    • Android のバックアップ取得時の挙動も改善されました。
    • iOS では、以下のアプリの解析をサポートしました。
      • Facebook Messenger
      • Health
      • TigerConnect
      • TikTok
      • Viber
      • Waze

詳細情報

製品についての情報は、以下のWebサイトをご確認ください。

TOP