概要と特徴
Bulk Extractorは、ディスクイメージ、ファイル、ディレクトリなどのターゲットメディアをスキャンし、有用と思われる情報を抽出するデジタルフォレンジックツール。フォレンジック調査の初期段階で、大量のデータから追跡すべき具体的な文字列(メールアドレス、URL、クレジットカード番号など)を素早く抽出するために用いられる。
- 高速な処理: ファイルシステム構造を無視してデータを処理するため、データセットの異なる部分を並列処理できる。これにより、従来のフォレンジックツールと比較して高速に動作する。
- ヒストグラムの作成: 関連性があると思われるデータ(アーティファクト)を発見すると、そのデータのヒストグラム(頻度分布)を作成する。
- 入手先: https://github.com/simsong/bulk_extractor
主な出力ファイル
Bulk Extractorはスキャン結果を特定のカテゴリごとにテキストファイル(.txt)として出力する。主な出力内容は以下のとおり。
| ファイル名 | 内容 |
| ccn.txt / ccn_track2.txt | クレジットカード番号やトラック2情報(カード詐欺関連) |
| domain.txt | ドライブ内で見つかったインターネットドメイン名 |
| email.txt | メールアドレス |
| ether.txt | イーサネットMACアドレス(スワップファイルやハイバネーションファイル等から抽出) |
| exif.txt | JPEGや動画セグメントからのEXIFメタデータ |
| ip.txt / tcp.txt | IPアドレスやTCPフロー情報 |
| telephone.txt | 電話番号(米国および国際番号) |
| url.txt / url_searches.txt | URL、および検索エンジン(Google, Bing等)で使用された検索語句のヒストグラム |
| wordlist.txt | ディスクから抽出された単語のリスト(パスワード解析に有用) |
| zip.txt | ZIPファイルコンポーネントに関する情報(Microsoft Officeファイル等の内部構造含む) |
使用手順
- ツールの起動:メニューの [Tools] を左クリックし、[Run bulk_extractor…] を選択する。
- スキャンの設定:
- Image File: 解析対象のイメージファイルを指定する。
- Output Feature Directory: 結果を出力する保存先フォルダを指定する。
- Scanners: 画面右側のチェックボックス(aes, facebook, exif, email, gpsなど)で、検索したい特定のアーティファクトを選択・解除できる。
- 実行:設定が完了したら [Submit Run] ボタンをクリックして抽出プロセスを開始する。
- 完了:処理が終了したら [Close] ボタンを押して、ビューワー(Bulk Extractor Viewer)に戻る。
結果の分析
抽出されたデータはビューワーで確認・分析できる。
- アーティファクトの確認: 左側のパネルに抽出されたファイル(例:
email_histogram.txt)が表示される。 - ヒストグラムの活用: 例えば
email_histogram.txtを選択すると、特定のメールアドレスが何回検出されたかがリスト化される。 - 詳細の確認: リスト内の項目を選択すると、実際のデータ位置や文脈(コンテキスト)を確認でき、調査の手がかり(メールの内容や関連するURLなど)を追跡できる。