【初心者向け】gkape(Gケイプ)完全入門ガイド|SANSフォレンジックツールでアーティファクトを可視化しよう

解析

デジタルフォレンジックや社内インシデント対応に興味はあるけれど、「コマンドラインは難しそう…」と感じていませんか?そんな方にこそ使ってほしいのが gkape(ジーケイプ) です。本記事では、gkapeの概要から実際の操作手順、活用シーンまでをわかりやすく解説します。

gkape(Gケイプ)とは?まず基礎から理解しよう

KAPEとgkapeの関係

gkapeを理解するには、まず親ツールである KAPE(Kroll Artifact Parser and Extractor/ケイプ) を知る必要があります。KAPEはSANS Instituteの認定インストラクターでもある Eric Zimmerman 氏が開発した、Windows向けのフォレンジック・トリアージツールです。Kroll社が無償で公開しており、世界中のインシデントレスポンダーや調査担当者に広く使われています。

KAPEには2種類の起動方法があります。

  • kape.exe:コマンドライン(CUI)版。細かいオプション指定が可能だが、使い慣れるまでに学習コストがかかる。
  • gkape.exe:グラフィカルユーザーインターフェース(GUI)版。画面上のチェックボックスやドロップダウンで設定でき、初心者でも直感的に操作できる。

gkapeは「GUI版のKAPE」という位置づけで、裏側では kape.exe が動いています。設定した内容は自動的にコマンドラインの文字列に変換されるため、「GUIで覚えてからコマンドラインに移行する」という学習ルートにも最適です。

「アーティファクト」って何?

フォレンジックの文脈で頻繁に登場する アーティファクト(artifact) とは、コンピューターの利用状況や操作履歴を記録したデジタルの痕跡のことです。たとえば以下のようなものが含まれます。

  • イベントログ:Windowsが記録するログイン履歴、エラー情報、アプリケーションの動作記録
  • レジストリ:インストールされたソフト、最近開いたファイル、USB接続履歴など
  • プリフェッチファイル:過去に実行されたプログラムの記録(削除済みマルウェアの痕跡も残る)
  • MFT(マスターファイルテーブル):NTFSファイルシステム上のすべてのファイル情報
  • ブラウザ履歴・キャッシュ:Webアクセスの記録
  • ジャンプリスト・LNKファイル:最近アクセスしたファイルやフォルダの記録

通常のWindowsアプリから直接読み取れないファイルも多く、フォレンジックツールを使って抽出・解析する必要があります。KAPEとgkapeはこの作業を劇的に短縮することを目的に設計されています。

なぜgkapeが「初心者向け」なのか

従来のフォレンジック調査では、E01形式などのディスクイメージを取得してから専用ツール(EnCase、FTKなど)でインデックスを作成するまでに、場合によっては6時間以上かかることもありました。gkapeを使えば、同等のアーティファクトを数分以内に収集・パースできます。GUIで操作できるため、コマンドの暗記が不要な点も初心者にとって大きなメリットです。

gkapeをダウンロード・インストールする

必要な環境

  • OS:Windows 10 / Windows 11(KAPEはWindowsのみ対応)
  • 権限:管理者権限(Administrator) が必要
  • インターネット接続:初回セットアップおよびアップデート時に必要

ダウンロード手順

  1. Kroll公式サイト(kroll.com)の KAPE ページにアクセスする
  2. 「Download KAPE」ボタンをクリックし、メールアドレスを登録してダウンロードリンクを受け取る(無料)
  3. ZIPファイルを任意の場所に展開する(例:C:\KAPE\
  4. 展開したフォルダ内に gkape.exe と kape.exe が含まれていることを確認する

展開後のフォルダ構成はおおよそ以下の通りです。

KAPE\
├── gkape.exe        ← GUI版(今回使うメインツール)
├── kape.exe         ← CUI版
├── Targets\         ← 収集対象の定義ファイル群(.tkapeファイル)
├── Modules\         ← 処理プログラムの定義ファイル群(.mkapeファイル)
│   └── bin\         ← モジュールが使用する外部ツールを置く場所
└── Get-KAPEUpdate.ps1 ← アップデート用PowerShellスクリプト

Targetsとmodulesの最新化

gkapeを起動すると、画面下部に「Sync with GitHub」ボタンがあります。これをクリックすると、GitHub上で管理されている最新のTargetとModuleの定義ファイルが自動でダウンロードされます。初回起動時と定期的なアップデートの際に必ず実行しておきましょう。

gkapeの画面構成を理解する

gkapeを起動すると、大きく分けて左右2つのエリアに分かれた画面が表示されます。それぞれの役割を理解することが、使いこなしへの第一歩です。

左側:Target(ターゲット)エリア

Targetとは、「どのファイルを収集するか」 を定義するものです。左側エリアで設定します。

  • Use Target Options:チェックを入れると左側の設定が有効になる
  • Target source:収集元のパス(例:C:\ や マウントしたイメージのドライブレター)
  • Target destination:収集したファイルをコピーする保存先フォルダ(例:D:\KAPE_output\tout
  • Targets(一覧):収集対象を選ぶチェックリスト。よく使うのは以下の通り:
    • KapeTriage:主要なWindowsアーティファクトをまとめて収集する複合ターゲット
    • EvidenceOfExecution:プログラム実行履歴(プリフェッチなど)
    • RegistryHives:レジストリファイル一式
    • WindowsEventLogs:Windowsイベントログ

右側:Module(モジュール)エリア

Moduleとは、「収集したファイルをどう処理するか」 を定義するものです。右側エリアで設定します。

  • Use Module Options:チェックを入れると右側の設定が有効になる
  • Module source:処理対象のファイルが置かれているパス(Target destinationを指定した場合は空欄で自動参照)
  • Module destination:パース(解析・変換)済みの出力ファイルを保存するフォルダ(例:D:\KAPE_output\mout
  • Modules(一覧):処理ツールを選ぶチェックリスト。特に初心者に便利なのは:
    • !EZParser:Eric Zimmerman作の各種EZツールをまとめて実行する万能モジュール。レジストリ・イベントログ・MFT・プリフェッチなどをCSV形式に変換する

下部:コマンドプレビューと実行ボタン

画面下部には、現在の設定内容をもとに自動生成されたコマンドライン文字列がリアルタイムで表示されます。これにより、「GUIで設定した内容がどんなコマンドに対応しているか」を学ぶことができ、将来的なCUI移行の学習にも役立ちます。

「Execute!」ボタン を押すと実行が始まり、新しいウィンドウで進捗が表示されます。完了したら任意のキーを押してウィンドウを閉じます。

実際に使ってみよう:基本的な操作ステップ

ここでは、最も基本的なユースケース「ライブシステム(稼働中のPC)からアーティファクトを収集してCSVに変換する」という手順を解説します。

Step 1:出力用フォルダを準備する

収集前に、出力先のフォルダを作成しておくとスムーズです。たとえば以下のような構成を作っておきます。

D:\KAPE_output\
├── tout\    ← Target output(生ファイルの保存先)
└── mout\    ← Module output(パース済みCSVの保存先)

Step 2:gkape.exeを管理者として起動する

gkape.exeを右クリックし、「管理者として実行」を選択します。管理者権限がないと、Windowsがロックしているファイル(イベントログ、レジストリ等)の読み取りに失敗することがあります。

Step 3:Target側を設定する

  1. 「Use Target Options」にチェックを入れる
  2. Target source に C:\ を入力する(調査対象がCドライブの場合)
  3. Target destination に D:\KAPE_output\tout を入力する
  4. Targetsの一覧から KapeTriage にチェックを入れる

Step 4:Module側を設定する

  1. 「Use Module Options」にチェックを入れる
  2. Module source は空欄のままにする(自動的にTarget destinationが参照される)
  3. Module destination に D:\KAPE_output\mout を入力する
  4. Modulesの一覧から !EZParser にチェックを入れる

Step 5:実行する

右下の「Execute!」ボタンをクリックします。実行ウィンドウが開き、ファイルのコピーとパースの進捗が表示されます。データ量にもよりますが、多くの場合数分以内に完了します。

Step 6:出力結果を確認する

完了後、D:\KAPE_output\mout\ フォルダ内にアーティファクトごとのサブフォルダとCSVファイルが生成されています。ExcelやTimeline Explorerを使って内容を確認できます。

主な活用シーン:こんな場面でgkapeが役立つ

シーン①:マルウェア感染が疑われる端末のトリアージ

社内で「PCの動作がおかしい」「不審なプロセスが動いている」という報告があった場合、まず EvidenceOfExecution ターゲットでプリフェッチファイルを収集し、!EZParser でパースします。過去に実行されたプログラムの一覧がCSVで出力されるため、見慣れない実行ファイルや通常ありえないパスからの起動などをすぐに特定できます。

シーン②:不正アクセスの初動調査

WindowsEventLogs ターゲットでイベントログを収集し、EvtxECmd モジュールでCSV化することで、ログイン成功・失敗、アカウント作成、特権昇格などのイベントをExcelやタイムラインツールで確認できます。ログイン時刻の絞り込みも容易で、侵入経路の特定が短時間で可能になります。

シーン③:フォレンジックイメージからのアーティファクト抽出

調査対象PCのディスクイメージ(E01形式など)がある場合は、Arsenal Image Mounter などのツールでイメージをマウントし、割り当てられたドライブレター(例:F:\)をTarget sourceに指定します。これにより、元の端末を操作せずに安全な状態でアーティファクトを抽出できます。

シーン④:退職者PCの調査

情報漏えいが疑われる退職者のPCを調査する際には、RegistryHives と USBDeviceLogs(または KapeTriage)を収集することで、USBデバイスの接続履歴、最近アクセスされたファイル一覧、クラウドストレージ(OneDrive、Dropboxなど)の同期記録などを迅速に確認できます。

シーン⑤:タイムライン分析

!EZParser モジュールを使うと、複数種類のアーティファクトが時系列情報を持つCSVとして出力されます。これをTimeline Explorer(同じくEric Zimmerman作の無料ツール)に読み込むと、膨大なログをGUIで絞り込み・フィルタリングしながら時系列で追跡できます。「いつ、何が起きたか」を可視化する上で非常に強力な組み合わせです。

知っておきたい重要ポイントと注意事項

証拠保全の原則を守る

フォレンジック調査では、元の証拠を改ざんしない ことが最重要原則です。ライブシステムにgkapeをインストールせず、USBメモリやネットワーク共有からgkapeを実行するのが理想的です。KAPEはファイルを読み取り専用でコピーするため元データは変更されませんが、gkapeの実行自体がシステムのタイムスタンプ等に影響を与える可能性があることは念頭に置いてください。

外部モジュールのbinフォルダへの配置

!EZParser などの一部のモジュールは、Eric Zimmerman作の外部ツール群(EZTools)を必要とします。これらは別途ダウンロードして KAPE\Modules\bin\ フォルダに配置する必要があります。Get-ZimmermanTools.ps1 というスクリプトを使うと、EZTools一式をまとめてダウンロードできます。

出力フォルダの命名規則

複数の案件を扱う場合、フォルダ名に日付や端末名を含めることをお勧めします(例:2024-06-01_PC-TANAKA\tout\)。後から見返したときに混乱せずに済みます。

コマンドラインプレビューを活用して学習する

gkapeの最大の学習効果の一つは、GUIで設定した内容がリアルタイムでコマンドライン文字列として表示される点です。「コピーコマンド」ボタンを押してコマンドをコピーし、PowerShellのスクリプトに組み込むことで、将来的に複数端末への自動展開にも応用できます。

Timeline Explorerとの組み合わせで可視化を強化する

!EZParser で生成されたCSVファイルは、数万行に及ぶことも珍しくありません。Excelで開くと動作が重くなりがちですが、Eric Zimmerman作の Timeline Explorer(無料)を使えばスムーズに扱えます。

Timeline Explorerの主な機能は以下の通りです。

  • 大量のCSVを高速で読み込み・表示
  • 列ごとのフィルタリングと並べ替え
  • キーワード検索でイベントを絞り込み
  • 複数のCSVをまとめて時系列で表示する「スーパータイムライン」機能

gkapeでアーティファクトを収集・パースし、Timeline Explorerで可視化するという 「収集→パース→可視化」の一連のフロー を覚えるだけで、実務的なフォレンジック調査の大部分をカバーできます。

まとめ:gkapeで「フォレンジックの入り口」に立とう

gkapeは、コマンドライン操作の敷居を下げながら、プロと同等の調査能力を発揮できる強力なツールです。本記事の内容をまとめると次のようになります。

  • gkapeはKAPEのGUI版で、画面上の操作だけでアーティファクトの収集・解析ができる
  • Target(何を収集するか)とModule(どう処理するか)の2軸で設定する
  • まずは KapeTriage + !EZParser の組み合わせから始めると最も効率的
  • マルウェア調査・不正アクセス対応・退職者PC調査など幅広い場面で活躍する
  • Timeline Explorerと組み合わせることで出力結果を分かりやすく可視化できる
  • GUIで学んだ設定はコマンドラインにも転用でき、スキルアップにつながる

デジタルフォレンジックは「専門家だけのもの」ではありません。gkapeのようなツールを活用することで、IT担当者やセキュリティ担当者が現場で迅速に初動対応できる環境を整えることができます。まずは無料でダウンロードして、自分のテスト環境で実際に触れてみてください。

参考リンク

  • KAPE公式ダウンロードページ(Kroll社)
  • SANS Institute DFIR公式サイト
  • SIFT Workstation(SANS提供の無料フォレンジック仮想マシン)
  • Timeline Explorer(Eric Zimmerman作・無料)
  • GitHub:EricZimmerman/KapeFiles(Targets・Modulesの最新定義ファイル)

コメント