Digital Forensics
デジタルフォレンジックの
技術的解説
Digital forensics "Technology"
デジタルフォレンジック調査(技術編)
SIPは「セキュリティ」をテーマに活動している、総合セキュリティコンサルタントチームです。
デジタルフォレンジック調査においては、国内最大手のデジタルフォレンジック調査会社で、エンジニア件コンサルタントとして従事していた士業が在籍しています。
四大法律事務所案件、BIG4監査法人案件、大手企業(メーカー・マスコミ等)の情報漏洩案件、会計不正案件、産業スパイ案件、ハッキング案件、証拠隠滅案件、横領案件、刑事訴訟案件等、様々な案件に携わってきました。
国内で最もデジタルフォレンジックに精通している士業であると自負しております。このページでは、デジタルフォレンジック調査について技術的な側面からご紹介いたします。
目次
概要
デジタルフォレンジック(Digital Forensics)は、デジタルデバイスやデジタルメディアに残された情報を調査・復元するための科学的手法や技術のことを指します。主な目的は、法的な証拠の収集、解析、および報告です。
デジタルフォレンジックは、コンピュータ、モバイルデバイス、ネットワーク、クラウドストレージ、デジタルカメラなど、様々なデジタルデバイスやメディアを対象としています。これらのデバイスやメディアには、ファイル、データベース、電子メール、メッセージ、写真、動画など、さまざまな形式の情報が含まれています。
これらの情報を時系列をふまえて解析することで、デバイスの使用者の動向や、外部からのハッキングの痕跡を辿ることができます。
調査の流れとしては、主に以下の4つのステップから成ります。
-
保全(Acquisition・Imaging)
-
復元(Data Recovery)
-
解析(Examination・Data Analysis)
-
報告(Reporting)
これらについて、フォレンジックエンジニアとしての立場から、技術的な側面を中心に解説します。
保全(Acquisition・Imaging)
デジタルフォレンジックにおける「保全」は、証拠の保護とデジタルデータの改ざんや破損を防止するための活動です。デジタルフォレンジックの調査においては、最も重要なステップです。
保全の目的は、調査中に得られたデジタルデータの信頼性と完全性を確保することです。証拠の保全は主に次のような手順で行われます。
1.イメージング(Imaging)
デジタルデバイスやメディアのビット単位のコピー(イメージ)を作成します。イメージは、調査対象のデバイスやメディアを操作することなく、データの状態を固定して作成されます。これにより、調査中にデータが変更されることや破損することを防ぐことができます。
2.ハッシュ値の計算
イメージ化されたデータの完全性を確認するために、ハッシュ関数を使用してハッシュ値を計算します。ハッシュ値は、データが改ざんされていないことを確認するために使用されます。調査の後、元のデータとハッシュ値を比較することで、データの改ざんがないかを検証できます。
3.チェーン・オブ・カストディ(Chain of Custody)の確立
デジタルデータの保全と証拠の収集に関与するすべての人や手順を文書化し、データの完全性と信頼性を確保するための「チェーン・オブ・カストディ」を確立します。これにより、証拠がいかなる改ざんや誤った取り扱いを受けていないことを示すことができます。
デジタルフォレンジックの調査では、証拠の保全が最も重要です。証拠が適切に保護されずに改ざんや破損が起こると、その証拠は法的な意味を持たなくなる可能性があります。そのため、デジタルフォレンジックの専門家は、証拠の保全手順に厳密に従い、データの信頼性と完全性を確保しながら作業に取り組みます。
復元(Data Recovery)
デジタルフォレンジックにおける「データ復元」は、削除されたデータや損傷したデータを回復するプロセスです。デジタルデバイスやメディアから削除されたデータは、物理的には完全に削除されずに残っていることがあり、専門的なツールや手法を使用することで復元できる場合があります。
一般的に保存媒体がHDDからSSDに移行するにつれて、またOS等が進歩し暗号化などのセキュリティ面が強化されたことにつれて、それぞれの仕組み上の関係から昔と比べてデータの復元が難しくなっています。
しかし、それでも復元作業によって有力な手掛かりを発見することは多々あります。
以下にデータ復元の手法の一例を紹介します。デジタルフォレンジックにおいては、これらのような手法を用いて復元できたデータを基に調査します。また、完全な復元ができなかったとしても得られたデータの残骸を基に、デバイスの使用者の動向を推測することもあります。
削除フラグの変更
通常、ファイルが削除されると、OSのファイルシステムはそのファイルに削除したことを示す印(削除フラグ)を立て、削除したデータ領域を再利用できるようにします。しかし、削除フラグが変更されたとしても、実際のデータはまだ物理的にデバイス上に存在している場合があります。そのような場合、ファイルの削除フラグを変更してデータを復元することができます。デジタルフォレンジックにおけるもっとも簡易なデータ復元方法です。
メタデータのカービング(Metadata Carving)
メタデータとは、ファイルやデジタルオブジェクトに関する情報(作成日時、ファイルサイズ、ファイル形式など)を指します。メタデータは通常、ファイルのヘッダーやフッターに格納されています。
メタデータのカービングは、削除されたファイルのメタデータを利用して、ファイルの復元を試みる手法です。削除されたファイルは通常、ファイルシステム上での参照が削除されるだけで、実際のデータはまだデバイス上に存在していることがあります。この手法では、削除されたファイルのメタデータを分析し、そのメタデータが指し示すデータ領域からファイルを復元します。ファイルのヘッダーやフッターのパターンを特定し、そのパターンを基に復元対象となるファイルの開始と終了位置を推定します。復元されるファイルは通常、完全な形ではなく断片的な状態で復元されることがありますが、重要な情報や証拠を取り戻すことができる場合があります。
データカービング(Data Carving)
データカービングは、ファイルシステムの情報を利用せずに、ファイルの実際のデータパターンを探し出し、復元を試みます。
通常、ファイルはファイルシステム上で特定の領域に配置され、ファイルのメタデータ(ファイル名、作成日時、サイズなど)とデータ本体が関連付けられます。しかし、ファイルが削除されたり、ファイルシステムが破損したりすると、ファイルのメタデータは失われることがあります。データカービングは、メタデータが欠落している状態でも、実際のデータパターンを解析し、ファイルの断片を見つけ出す手法です。
データカービングでは、ファイルのヘッダーやフッター、特定のファイル形式の特徴的なシグネチャ、またはデータパターンの統計的な解析を使用して、ファイルの断片を特定します。これにより、削除されたファイルのデータ断片を復元し、元のファイルを再構築することが可能となります。
データキャッシュやバックアップの利用
オペレーティングシステムやアプリケーションは、一時的なデータやキャッシュを作成することがあります。これらのデータやキャッシュから削除された情報を回復することができることがあります。また、システム上のバックアップを設定している場合には、バックアップからデータを復元することも可能です。
以上、復元手法の一例についてご紹介しました。これらの手法は復元が成功する保証はなく、データが上書きされると復元が困難な場合もあります。しかし、有益なデータが見つかる可能性も十分あるため、ほとんどのデジタルフォレンジック調査において、復元のプロセスを実施することになります。
分析(Examination・Data Analysis)
デジタルフォレンジック調査におけるデータ分析は、大きくシステムログの解析とメール・ドキュメントのレビュー調査に分けられます。
システムログの解析は、デバイス内のシステムに残された断片的な痕跡から使用者の動向を推測する能力が求められます。専用のフォレンジックツールを適切に使うことで自動的に取得できる情報が多いですが、より深く調査を行う必要がある場合は、自動化ツールに頼らずに解析する技術力が必要になります。
メール・ドキュメントのレビュー調査は、大量のメールデータや文書等のドキュメントファイルを、如何に効率良く読み込む(レビューできる)体制を構築できるかがポイントとなります。主に上場企業等の大きな企業の会計不正調査やM&Aのデューデリジェンス、アメリカにおける訴訟で電子開示手続き(eDiscovery)を踏む際に採用されます。近年ではAIを用いた文章解析ツール等が使われることもあります。
システムログの解析では以下のような情報を調査します。
ユーザーアカウント情報
社内のユーザーアカウントに関する情報を調査します。これには、ユーザー名、パスワードのヒント、アカウントの作成日時、最終ログイン日時などが含まれます。不正なアクティビティや権限の乱用などを特定するために利用されます。
ファイルアクセス履歴
PC上でのファイルアクセスの履歴を調査します。これには、ファイルやフォルダの作成日時、変更日時、アクセス日時などが含まれます。特定のファイルに不正なアクセスがあったかどうかを特定するために利用されます。
インストールされたアプリケーション
社内のPCにインストールされたアプリケーションの一覧を調査します。これにより、不正なソフトウェアやライセンス違反の可能性があるアプリケーションを特定することができます。
USB接続履歴
USBデバイスの接続と切断の履歴を調査します。USB接続履歴は、特定のPCやデバイスが過去に接続されたUSBデバイスの情報を保有します。これには、接続日時、デバイスの識別情報(ベンダーID、製品ID)、デバイスの種類(USBメモリ、外部ハードドライブ、キーボードなど)などが含まれ、外部媒体を用いた情報漏洩の特定に用いられれます。
ネットワーク接続履歴
PCのネットワーク接続履歴を調査します。これには、ネットワークの接続日時、接続先などが含まれます。社内ネットワークへの不正なアクセスや外部との通信の特定に役立ちます。
ユーザーのWebブラウジング履歴
社内のPCでのWebブラウジング履歴を調査します。これにより、特定のウェブサイトへのアクセスやオンライン活動を特定することができます。不正なウェブサイトへのアクセスや機密情報の漏洩などを検出するために利用されます。
また、メール・ドキュメントのレビュー調査では以下のようなことを行います。
レビュー環境の構築
専用のレビューツールを用いたレビュー環境を構築します。お客様やお客様が依頼した弁護士の先生が、遠隔で効率よくメールやドキュメントを読み込み、事件に関係のあるデータと関係のないデータを振り分けるための環境を構築します。
操作性の高いツールの選定に加え、無駄なレビューを少なくするためのキーワード検索等による調査対象の絞り込みを実施します。
また、お客様や弁護士がレビューする前段階の一次レビューとして、レビューアーと呼ばれる専門人材を集めることもあります。
レビュープロトコルの作成
レビューの専門人材であるレビューアーの方に、一次レビューで事件に関係のあるデータと関係のないデータを判断してもらうためのルールを定めます。レビューアーは作成したプロトコルに従って、データを分類します。
そうすることで、弁護士の先生や企業の法務担当者の方は、高度な法律の知識が必要なデータのレビューのみに注力することができます。
レビューの実施
構築した環境や、プロトコルに沿って、実際に法務担当者や弁護士の先生、レビューアーにレビューによるレビューを実施します。
レビューの管理者は、レビュー中に発生した技術的なトラブルの対処や、レビュー途中で方針を変える必要が生じた際に、新たなレビュー環境の構築やプロトコルの修正などに、リアルタイムで対応することもあります。
以上、分析手法の一例を紹介しました。上記の他にも、調査の対象となるデバイス内のデータがすべて削除され、ツールを用いても解析することができなかった場合の上級テクニックとして、バイナリデータ(コンピュータ上の0と1だけのデータの羅列)を読み解き、分析することもあります。
実際の調査では、これらの調査項目や調査手法を組み合わせることで、社内不正やハッキングの痕跡を辿ることができます。
また、情報漏洩対策として、事前にログ収集ツールなどを導入することで、より詳しい調査を実施することができるだけでなく、不正の早期発見を実現することもできます。
報告(Reporting)
デジタルフォレンジック調査の最終段階である「報告」は、調査結果や見つかった証拠をまとめて報告書として提出するプロセスを指します。報告は、調査を依頼した組織や関係者に対して調査の結果を明確に伝えます。我々のようなフォレンジック業者は、主に企業の経営層や法務担当者、弁護士の先生に対して報告することが多いですが、稀に裁判所に対して報告書を提出することもあります。
以下に、デジタルフォレンジック調査における報告のポイントの一部を解説します。
目的と範囲の明確化
報告の冒頭で、調査の目的と範囲を明確に述べます。調査の目的はなぜ行われたのか、どのような結果が期待されているのかを説明します。また、調査の範囲はどの領域がカバーされ、どの領域が除外されているのかを明示します。
方法と手法の説明
報告では、使用した調査方法や手法を詳細に説明します。どのようなツールや技術を使用し、どのような手順で調査を実施したのかを示します。これにより、報告書の読者であるお客様が調査の信頼性や妥当性を評価できるようになります。
調査結果の詳細
報告では、調査結果を具体的に示します。証拠の発見や重要な発見事項を明確に報告します。どのような調査項目でどの様なデータが発見されたかを列挙します。報告は客観的かつ具体的な情報を提供する必要があります。
証拠の整理と評価
報告では、見つかった証拠を整理し、その信頼性と重要性を評価します。証拠の収集方法やチェーン・オブ・カストディ(証拠の管理や記録)の確保状況なども報告に含めます。また、証拠が特定の法的要件を満たしているかどうかも評価します。
結論
報告書の最初と最後には、調査の結論を記載します。結論は調査結果に基づいて示され、調査目的に対する答えや調査の結果から推測できる事項を記載します。確定事項と推測を明確にして報告することが求められます。
技術用語と専門用語の説明
報告書は、技術的な用語や専門的な用語を使用している場合、お客様が理解しやすいように説明を加えて提供します。特に、お客様がフォレンジックやセキュリティに関する専門知識を持っていない場合は、わかりやすい用語の定義や説明を行ったうえで、報告書を作成します。
報告は、客観性、正確性、完全性、機密性、網羅性を踏まえて作成します。また、報告の形式や内容は、調査を依頼した組織や関係者の要件や期待に合わせてカスタマイズして提供します。
最後に
以上が、デジタルフォレンジックの技術的な面にフォーカスした説明となります。
デジタルフォレンジックに関するご相談やご依頼については、「SIP」にお気軽にご相談ください。
国内最大手のデジタルフォレンジック調査会社で、四大法律事務所案件、大手企業(メーカー・マスコミ等)の情報漏洩案件、ハッキング案件などをはじめ、様々な案件に携わってきたコンサルタント・エンジニアが、お客様にとって最良の調査プランをご提案します。大阪府、京都府、兵庫県、奈良県、を中心に、全国で対応しています。
