デジタルフォレンジックとは?目的を活用例を解説
目次
デジタルフォレンジックとは
デジタルフォレンジックについてご説明いたします。
まだ日本では浸透していないためご存知ない方がほとんどではないでしょうか。
デジタルフォレンジックとは、
法科学(フォレンジック・サイエンス)の一分野で非常に簡単にご説明しますとデジタルデバイスに対して行う鑑識のことです。
鑑識と聞いて何を思い浮かべますか?
警察が犯罪発生した時に、家宅捜索する姿などが思い浮かべると思います。
主に鑑識とは警察が犯罪捜査時に証拠資料を鑑定することを言います。
ではデジタルデバイスに対して行う鑑識とはどのようなことでしょうか。
PCなどのデジタル機器に対して、証拠資料を鑑定する
こととなります。
具体的にはデジタル機器内に残された証拠の調査・分析、削除されたデジタルデータの復元やインターネットの閲覧履歴などを解析いたします。
証拠隠滅防止のため、対象のデジタル機器をイメージデータ化して証拠保全いたします。
これを行うことで、対象のデジタル機器のデジタルデータを消されたり、破壊されたりしても証拠保全したイメージデータがあるためフォレンジック調査に影響は出ません。
また、証拠保全時にハッシュ値(デジタルデータの指紋のようなもの)を取得することで、デジタルデータが改ざんされたかもわかります。
最近ではこのデジタルフォレンジック調査で判明した
調査報告書が裁判で重要な証拠資料として活用されています。
デジタルフォレンジックの歴史
日本でデジタルフォレンジックが重要視されるきっかけとなったのは
「大阪地検特捜部主任検事証拠改ざん事件」です。
大阪地方検察庁特別捜査部が捜査の指揮をした障害者郵便制度悪用事件にて虚偽の公文書を発行した容疑で厚生労働省元局長らが逮捕・起訴されました。
しかし、事件後にデジタル証拠を記録していたフロッピーディスクの改ざんが発覚し、障害者郵便制度悪用事件の主任検事と、大阪地方検察庁特別捜査部の部長と副部長も逮捕されました。
この事件では
証拠文書の更新日時を改ざんされておりました。
更新日時が改ざんされていたことを見つけるためにデジタルフォレンジックの技術が用いられたのです。
通常表示されている更新日時とは別に、データには見えない領域の内部情報にも更新日時が存在しており、
内部情報の更新日時と表示されている更新日時に齟齬が生じていることが判明したことで、改ざんが発覚しました。
この事件がきっかけでデジタルフォレンジックが日本でも浸透するようになりました。
デジタルデータが重要な証拠を担うようになったため
デジタル機器に対する鑑識として重要になったのです。
まだ欧米ほど日本でデジタルフォレンジックは浸透しておりませんが、今後間違いなく需要が高まっていく技術となります。
デジタルフォレンジックの目的
デジタルフォレンジックは、コンピュータやネットワークを悪用した様々な手法の原因究明や証拠保全です。
例えば、不正アクセスやハッキングによる情報窃取、不正なソフトウェアやマルウェアの導入、電子メール詐欺、そしてデジタル証拠の改ざんや消去などが挙げられます。これらの行為は企業や組織や個人に対する損害をもたらし、デジタルフォレンジックが重要な役割を果たしています。
不正行為の原因究明
デジタルフォレンジックの不正行為の証拠収集は、法的なプロセスにおいて欠かせない要素であります。なぜなら、デジタル環境での犯罪は増加しており、これに対抗するためには確かかつ信頼性の高い証拠が必要だからです。
パソコンなどのデジタル機器を調査することで、削除メールの復元やログを確認することが可能です。
証拠収集により、不正行為の手法や経路を明らかにし、犯罪者を特定することが可能となります。
また、証拠は法廷での争いを解決する上で不可欠であり、正確で透明な手続きを通じて法の下で正義を実現する役割を果たします。デジタルフォレンジックによる証拠収集は、企業・組織や個人の権利保護や社会の安全を確保する上で重要であり、信頼性の高い法的手段として不可欠です。
サイバー攻撃の原因究明
サイバー攻撃は、コンピューターシステムやネットワーク、デジタルデータに対して故意に行われる悪意ある行為のことです。攻撃者は機密情報の盗難、システムの破壊、サービスの妨害などさまざまな目的でサイバー攻撃を行います。主なサイバー攻撃の形態には以下のようなものがあります。
マルウェア攻撃: ウイルス、ワーム、トロイの木馬などの悪意あるソフトウェアを利用してシステムに侵入し、様々な悪影響をもたらす
フィッシング: 偽のウェブサイトや偽装メールなどを用いて、ユーザーに偽の情報を提供し、個人情報やパスワードなどを不正に入手する手法
DDoS攻撃 (分散型サービス妨害攻撃): 複数のコンピュータを使って同時に大量のトラフィックを送りつけ、サービスをダウンさせる攻撃
不正アクセス: 不正な手段でシステムやネットワークに侵入し、機密情報を盗むか、システムを操作する攻撃
ゼロデイ攻撃: ソフトウェアの脆弱性を利用して、ベンダーが修正を行う前に攻撃が発生する
サイバー攻撃は日々進化し、対策も進んでいますが、セキュリティ意識と適切な対策が重要です。
上記のサイバー攻撃による情報漏洩に対する重要な対策の一環です。迅速な攻撃検知や痕跡解析を通じて被害の拡大を防ぎ、攻撃手法や侵入経路を把握することが可能です。証拠の収集は法的手続きにも重要であり、攻撃者の特定と制裁に繋がります。
これにより、組織はセキュリティ対策の強化や未然防止策の検討を通じて、情報漏洩のリスクを最小限に抑えることが可能となります。
デジタルフォレンジックの有効な対策は、サイバーセキュリティを向上させ、信頼性のあるデジタル環境を構築しましょう。
不正行為・情報漏洩の未然防止
企業はデジタルフォレンジックを活用して不正行為や情報漏洩を未然に防ぐために、以下の方法をおすすめします。
初めに、セキュリティポリシーを策定し、従業員に対する教育を実施です。アクセス権の厳格な管理やモニタリングを通じて、不審なアクティビティを早期に検知し、即座に対処する体勢を構築します。
また、定期的なセキュリティ監査や脆弱性評価を行い、システムの強化を図ります。情報の暗号化や二要素認証の導入、最新のセキュリティソフトウェアの利用も重要である。
緊急事態に備え、インシデント対応計画を整備し、デジタルフォレンジックを含む迅速な対応手順を確立することが重要になります。
デジタルフォレンジックの流れ
デジタルフォレンジックの流れは、以下のようにまとめられます。
まず、被害の発見と報告から始まり、証拠の保全が重要です。その後、データの収集とイメージングが行われ、検証可能な形で証拠を取得します。次に、証拠の分析が行われ、不正行為の手法や経路を特定します。
デジタルフォレンジックは法的手続きにおいても効力を発揮し、証拠の整合性や法的要件に準拠した形で情報を提供することが求められることがあります。
そのため、解析の結果、証拠が法的に有効であるか確認し、裁判で使用できる資料を提出します。
最終的に、報告と証言が行われ、結果が適切な法的手続きが行われます。
この流れにより、デジタルフォレンジックは証拠の収集と分析を通じて不正行為の解明を行います。
詳細については下記URLに掲載していますので、ご確認をください。
https://www.forensic24.com/flow/
デジタルフォレンジックの活用事例
削除された監視カメラの動画を復元
不審人物が写っている可能性が高い監視カメラの動画が一部削除されていたことが判明した。
この監視カメラはmicroSDを内蔵しているタイプでmicroSDを取り出し削除したものと考えられていました。
削除された時間帯に削除した犯人、おそらく不審人物と同一人物が写っていると思われるため復元したいというものでした。
設置していた監視カメラ4台全ての動画が一部消えているため、4台全てのmicroSDの解析を実施いたしました。
結果、削除された時間帯の動画の復元に成功いたしました。
女性と思われる不審人物が写っていたため、それを元に人物特定を行うことができ、
デジタルフォレンジック技術で犯人を見つけることができた事例となります。
退職した元社員の不正取引疑惑調査
取引先から聞いたことのない取引内容を伺い、不審に感じたため詳細に伺ったところ、
退職した元社員が不正に取引をしていたことが発覚した。
しかし、証拠がないため立証することができない。
在職中に使用していたパソコンを見たところ、取引したと思われる日時のメールが消えおり、また一部のデータも削除されていることが判明しました。
会社の情報セキュリティ上、個人が勝手にメールを削除してはいけない規定となっているため、これは明確なインシデントになります。
本当に削除されたかデジタル証拠を明確にしなくてはいけません。
本人に確認してもデータは消していないし取引した覚えもないと一点張りで埒が明かないため、デジタルフォレンジックの依頼をしました。
調査対象は元社員が在職中に使用していたパソコンで、調査目的は不正取引をしていた証拠となるデジタルデータやメールを復元すること。
対象機器の保全を行い、分析を実施した結果、同名のユーザープロファイルが複数見つかりました。そのため、OSのリカバリを複数回実施していたことが判明しました。
削除されていたユーザープロファイル内に多数のデータが見つかり、不正取引したと思われる日時のメールも多数でてきました。
この結果からデータを削除したことが明確となり、不正取引のデジタル証拠も見つかりました。
サイバー攻撃による情報漏洩を調査
匿名掲示板に自社の顧客リストが掲載されていることが発覚した。
一体どこから流出したのか社内をくまなく調査し、情報セキュリティ担当からおそらく外部からのサイバー攻撃によって情報漏洩した可能性が高い。
しかし、どのコンピュータから情報漏洩したかまではわからなかった。
自社で特定することはできないと判断し、
非常に重大な情報セキュリティインシデントのため弁護士に相談をした結果、弁護士からフォレンジック調査依頼をすることになった。
外部から不正アクセスによって顧客リストが流出したことを証明することがフォレンジック調査の目的となります。
まず顧客リストが保存されていたコンピュータの証拠保全を実施しました。
イメージ形式のデジタルデータとして保全し、データ解析を行ったところ、顧客リストをクラウドへアップロードした履歴が見つかりました。
アップロードした履歴をさらに解析し、どのユーザーが行ったのかが判明しました。
判明したユーザーの端末を調査し、マルウェアに感染していたログが見つかりました。
それによって
外部から不正アクセスを受けリモート操作されたことが情報漏洩した原因でした。
情報セキュリティ意識が低く、定期的なウイルスチェックなどを行っていなかったために起きたインシデントとなります。
セキュリティ対策を行い、インシデントを未然に防ぐことが不可欠です。
