「デジタルフォレンジック」とは、端的に言いますと「不正調査のため消去データの復元を試みること」となります。しかし実際にどんなことを行うのかイメージしにくいと思います。
今回は、具体的にデジタルフォレンジックにおいてどのような作業を行うのかお伝えさせていただきます。
Contents
デジタルフォレンジックとは
デジタルフォレンジックは、「法的な」証拠を見つけるための調査になります。
証拠保全を行うためにまずはクローン作業(イメージ取得作業)
証拠保全を行うために、まず初めに行う作業として、HDDやSSD等、データ保存媒体のクローン作業もしくはイメージ取得作業を行います。
クローン作業は、別のHDDに内部情報を複製をします。
イメージ取得作業は、拡張子「.RAW」や「.AFF」などのイメージファイルのデータとして、内部情報を保存します。
この2つの作業の良いところは、HDDやSSDのスラックスペースや未使用領域を含めたデータを正確に取得することができます。
また、クローンやイメージファイルのデータがあれば、万が一証拠となるオリジナルHDDのデータが書き換えられていたとしても証拠となるデータを保存しておくことが出来ます。
スラックスペースと未使用領域とは
スラックスペース:保存されたファイルの終わりから、そのファイルクラスターの終わりまでの範囲のハードドライブのストレージ領域を指しています。通常のハードドライブでは、ドライブ上のファイルを特定のサイズにして保存します。たとえば、4キロバイト入る領域に3キロバイトのファイルを保存する場合、1キロバイトのスラックスペースが出来ます。
未使用領域:ファイルシステム上でファイルに割り当てられていない領域のことです。
これら2つの領域には、過去に存在したデータやその痕跡などが残されている可能性があるため、削除ファイルの復旧や調査を行うには必要不可欠です。
データの解析開始
1.データ復元
フォレンジック解析ツールを用いて、削除されたデータの復旧および調査を行います。
まずは、削除されたデータの復元を行う方法として、2点ございます。
1点目は、管理情報を元に復旧を行う方法と、もう1点はデータが持つ特徴的な痕跡をとらえて復旧する方法です。
管理情報を元に復旧を行う方法
これはスキャンと呼ばれる手法です。
Windowsの場合
ファイルシステムの管理情報には、”FAT”、”NTFS”の2種類が存在します。この2種類のファイルシステムは隠しファイルの中に存在しています。
その隠されているファイルシステム内の情報からデータの解析を行うことで復旧が可能になります。
ただし、通常のデータ削除の場合、ファイル内のフラグ情報のみ開放されるだけなので、他のデータが書き込まれない状態(上書き)でなければ、ほぼ完全な形でデータの復元は可能です。
しかし、そのファイルシステムの情報内におけるデータ内容の部分に上書きがかかっている場合に関しては、復旧はできない状態です。
Macの場合
ファイルシステムには、”HFS”、”HFS+”、”APFS”の3種類が存在します。ファイルシステム毎にインデックスというデータの保存先を記録しているデータが存在しております。
このインデックスを元にデータを参照するため、インデックスが失われるとデータがどこに保存されているかわからなくなります。
逆にインデックスさえ復元できれば、フォルダ構造、ファイル名なども元の状態で復元することが可能です。
しかし、Windows同様、データ内容の部分に上書きがかかっている場合に関しては、復旧はできない状態です。
オンラインストレージ(クラウド)の場合
最新の解析ツールでは、DropBox、Googleドライブといったオンラインストレージ(クラウド)にあったと思われる削除データの解析をすることができます。
解析には、オンラインストレージのアカウント情報(ユーザー、パスワード)が必要になります。
しかし、実際の機器の解析より難易度が高いことがあります。
特徴的な痕跡からの復旧
これはデータカービングと呼ばれる手法です。
先述したファイルシステムの管理情報が上書きがされている状態でも、未使用領域にデータもしくはデータの一部が残っている場合などに用いることで復元ができる手法です。
データカービングの具体的な復元方法はファイルの種類により異なります。
また、カービングできる種類も限られています。
ファイルにはSignatureと言われるファイルの種類を表すデータがあり、Signatureを元にデータ復元を行います。
そのため、フォルダ構造やファイル名は崩れてしまいます。
2.データ解析
デジタルフォレンジック調査の解析で、主に利用されるのが「タイムライン解析」と「文字列検索」です。
タイムライン解析
ファイルシステムやログファイルなどのタイムスタンプ情報を元に、過去の事象を時系列に整理して、痕跡を調査する方法です。
ファイルシステムは通常MAC timesと呼ばれるタイムスタンプをメタデータとして保持しています。この情報を調べることによって、いつどのファイルにどのような処理が行われたかなどが調査できます。
外部からの不正アクセスや社内の不正アクセス、マルウェア感染などの事象が発生した場合、対象サーバやPCのファイルシステムには何らかの痕跡が残ります。タイムライン解析を行うことによって、何が起きたのか、影響範囲はどの程度かを推測することができます。
文字列検索
Word,Excel,PDF,mailなどのセクタ情報は特定の文字コードで成り立っています。特定の文字コードについて、キーワードを入力し、未使用領域やスラックスペースを対象に文字コード検索を行うことで、過去に削除されたデータの存在痕跡やデータ内容が確認できる可能性があります。
また、調査内容に特定のキーワードがある場合、文字列検索をすることにより、そのキーワードをメール、Word、EXCEL、PDFなどファイル内の文字を直接検索することができるため調査対象ファイルを見つけることが容易になります。
技術は分かったが、デジタルフォレンジックって何ができるの?
上記のように、デジタルフォレンジックでは証拠保全、データ復元・解析を行い、お客様にご満足いただける結果を出します。
具体的にどういう時にデジタルフォレンジック調査を利用するのか知りたい方は、こちらの
「デジタルフォレンジックって何?デジタルフォレンジック調査でできることをお伝えします。」
をご覧ください。
今回の記事から、ご不安やご心配な事案、もしくはご相談したいことがあるという方は
「デジタルフォレンジック24」へ問い合わせください。
皆様の問題解決に真摯に取り組んでまいります!
選ぶなら安心と信頼の技術
一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。
デジタルフォレンジック24は
特急データ復旧ウィンゲットが運営しています
データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
デジタルフォレンジック24公式サイトはコチラ
オフィスは主要都市に6拠点
全国に受付窓口が185箇所あり
弊社は北海道(札幌)、東京都(秋葉原)、神奈川県(横浜)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に6店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。
店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。
店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。
札幌市中央区南1条西10-4-167
小六第一ビル 6F
直通TEL:011-272-0600
東京都千代田区神田須田町2-7-3
VORT秋葉原ビル5F
直通TEL:03-6206-0970
横浜市中区扇町1-1-25
キンガビル4F
直通TEL:050-2018-0428
名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561
大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423
福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705
全国の受付窓口
