デジタルフォレンジック調査の流れ
「退職者が使っていたパソコンを勝手に初期化した」
「顧客リストが外部に持ち出された可能性がある」
「残業費を過分に申請された」
これらインシデントが発生した際の法的手続きのために、法的証拠となるデータをデジタル機器から抽出する技術がデジタルフォレンジックです。
加えて、デジタルフォレンジックで調査・解析した情報を用いることで、今後の情報セキュリティ対策の強化に繋げることも可能です。
今回、このデジタルフォレンジックの概要と併せて、インシデント内容と調査対象となるデータの一例を通し、
デジタルフォレンジック調査の流れをご紹介いたします。
目次
重大インシデントが発生
機密情報の漏洩、ネット利用の不正行為、勤務実態の不正等のインシデントが発生した際、弁護士や社内の監査部門に今後の対応を相談または、インターネットにて調査をされると思います。
そして、原因究明や訴訟、今後の対策等を行うため、被疑者から押収した端末から、証拠情報の分析や保全等を行う専門作業、デジタルフォレンジックが必要となります。
デジタルフォレンジックには、法律やネットワーク、セキュリティ等、多くの知識が必要です。そのため、専門のフォレンジック業者を選定し、依頼を行うことが最善となります。
デジタルフォレンジック
フォレンジックとはforensics(フォレンジクス)を語源とする言葉です。
「法廷の」や「法医学の」、「法的に有効な」という意味を持ちます
データの不正使用や削除、改竄、捏造、情報漏洩などによる企業損失、妨害行為への法的紛争や訴訟、損害賠償請求のために必要な証拠保全の技術をさします。
デジタルツールの普及により、データやメールを使った不正や犯罪が急増、不正の痕跡を消すためデータが削除されていることが多く、証拠保全、データ復元、フォレンジック調査をする必要があります。
押収した機器から証拠を突き止めるため刑事事件の捜査の一環で求められることもあります。
デジタルフォレンジック業者への相談・依頼
『事前準備』
フォレンジック調査の相談、依頼を行う前に、発生したインシデントや、調査対象の機器、調査対象となるデータ等の整理を行う必要がございます。
『相談・依頼』
お客様の調査目的、調査経緯、調査対象機器、必要とされるデータ等のヒアリングを行います。ヒアリングした内容を元に、調査方針の確認を行います。その後、フォレンジック調査を開始いたします。
秘密保持契約(NDA)を作業前に締結することも可能です。
事例のご紹介
意図的に削除されたデータ情報の復旧
社員や退職者が情報漏洩などの不正行為を隠ぺいするために、
削除または初期化したパソコンや外付けHDD、サーバ等を調査いたします。削除されたメールデータやエクセル、ワード、PDF等のデータの復旧が可能です。
メールデータは本文だけでなく、添付ファイルによる復元も可能なため、外部へデータ持ち出しがあったか否かの調査も可能です。
Webサイト閲覧履歴調査
閲覧したWebサイトのURLやタイトル、閲覧日時の他、閲覧した回数等を調査することが可能です。Webサイトの閲覧履歴が意図的に消されたとしても、解析・復元は可能です。
履歴を解析することで、勤務実態の調査を行うことができます。
例として、勤務時間内に、業務外サイトを閲覧しているか否かです。
また、定時後に業務外のサイトを閲覧する等して不正に残業代を申請していないか否か等の調査ができます。
PC起動、ソフト使用履歴の調査
PCの電源入り切りや、ソフトウェア・システム等の実行履歴等を調査することが可能です。実行履歴を調査することで、外部からの不正アクセスの痕跡発見や、業務時間外にパソコンが不正に操作された痕跡等を調べることができます。また、
勤務実態の調査ともなります。
パスワード、暗号化の解除
退職者にしかパスワードが分からない、パスワードを忘れてしまった等により、ログインや暗号化の解除ができなくなったパソコンや、開けなくなったファイルのパスワードを解析いたします。
また、Windowsのログインパスワード等を解除し、正常にログインできるようにすることも可能です。
昨今はデジタル遺品として、亡くなられた方のパソコンや外付けHDD等の機器やデータの調査等を行う場合もございます。
⇒【デジタルフォレンジックはどんなことするの?技術内容を伝えます!】
フォレンジック調査・解析作業
デジタル情報の保全化
デジタルフォレンジック調査対象の機器を郵送または来店にてお預かりいたします。
証拠保全のため、ご依頼頂いた機器のデジタル情報を完全に保全化(クローン)する作業を致します。保全化作業の完了後、フォレンジック調査を開始いたします。
※緊急性が高い、対象機器を持ち出しして、不正疑惑のある対象者に知られたくない、セキュリティの関係から、フォレンジック機器の持ち出しが難しい等の場合、専門スタッフが現地に出張訪問し、その場での保全作業も可能です。
保全化(クローン)
会社の内部監査や裁判に提出するための証拠として、HDDやSDD等のデジタル情報をセクタ単位でコピーして完全な複製を行います。複製による保全化を行うことで、デジタルデータに法的証拠能力が認められることとなります。
また、保全化を行うことで、対象機器の現時点での情報を保存し、データの改変等を防ぐことが可能となります。加えて、既に削除されたデータの痕跡等も保持して複製は行われます。そのため、後になって不正の疑い等が浮上した場合でも複製時の環境を用いて、フォレンジック調査を行うことが出来ます。
調査開始
保全化作業が完了後、調査対象となる各種データの解析及び復元作業を開始いたします。
調査の結果、判明取得した、削除されたメール、文書ファイル、インターネットの閲覧履歴、使用ソフトなど、解析した証拠データのお渡しとなります。
調査事例
メールデータの調査
削除されたメールデータの調査、復元を行います。解析し復元したメールデータは証拠として抽出いたします。メール本文だけでなく、
添付ファイルも合わせて復元が可能です。
加えて、送受信日時やCC、BCCのメールアドレス等、詳細情報の調査も可能です。
削除データの調査
削除されたデータを復元、調査し、データを証拠として抽出いたします。
エクセルや、ワード、PDF、画像等をはじめとした、ほぼ全てのデータに対応しています。
復元したデータは作成日時、更新日ごとにソートが可能です。そのため、削除されたデータがいつ頃に作成、更新されたのか、調査確認も可能です。
Webサイト閲覧履歴の調査
インターネットで閲覧したWebサイトの閲覧履歴は、意図的に削除されたものも含めて復元・調査が可能です。
Microsoft EdgeやGoogle chrome、FireFoxといった、あらゆるブラウザソフトに対応しています。抽出したURLの一覧は、PDFファイルのレポートとして提出いたします。
WebサイトのURLやタイトル、閲覧日時の他、閲覧した回数まで確認することが可能です。
また、レポートはURLやタイトル、閲覧日時等でソートし作成することも可能です。
PC起動・ソフト使用履歴調査
ログの解析を行うことで、PCの起動日時や、ソフトウェア・システム等の実行履歴の調査が可能です。実行したソフトやファイル名の他、実行ファイルの場所(パス)の調査も可能です。
USB機器接続履歴調査
USB端子に接続された外部デバイスの調査も可能です。
接続機器名や、接続日時等の情報が解析可能です。
接続された外部デバイスが、USBメモリや外付けHDD、カードリーダー等の種類の特定も可能です。
パスワード解除
パソコンのログインパスワードやソフトウェアのパスワード解析も可能です。
エクセルやワード、PDF等の他、Zip等の圧縮ファイルやiTunesで取ったiPhoneのバックアップ等、幅広いデータに対応しています。
調査結果の報告
調査報告書及び、分析した証拠データを保存した媒体でのご納品を行い、フォレンジック調査は完了となります。
報告書は裁判で調査証明書として活用していただくことができます。
報告書には、調査結果、使用したツールやソフトフェア、調査したエビデンスの型番、シリアル、ハッシュ値なども全て記載いたします。
以上がデジタルフォレンジックの流れとなります。
デジタルフォレンジックを依頼する業者が、お客様のご要望、求める成果を満たしているか、フォレンジックサービスの内容確認、問合せ等をしっかりと行い、調査依頼を行ってまいりましょう。
