デジタルフォレンジックのやり方・技術

目次

デジタルフォレンジック（digital forensics）とは

「デジタルフォレンジック（digital forensics）」とは、犯罪捜査や法的紛争などに際して、コンピュータやスマートフォンなどの電子機器に残る情報を収集・解析し、その法的な証拠性を明らかにする手段や技術のことです。

“フォレンジック（forensics）”という言葉は「鑑識」「科学捜査」といった意味があり、「デジタルフォレンジック」は、分かりやすく意訳すれば「デジタル鑑識」となります。
デジタルツールの普及により、データやメールを使った不正アクセスや犯罪が増加しています。不正の痕跡を消すため意図的にデータが削除されていることが多く、その場合はデータを復元し割り出す必要があります。押収した機器から証拠を突き止めるため、刑事事件の捜査の一環でこのような手段が求められることがあります。
デジタルフォレンジックによる調査結果のデータは、インシデントに関する法的根拠を持つデジタル証拠となりえるのです。

「データ復旧」との違い

データ復旧サービスは、パソコン等の機器が故障したり、誤ってデータを消去してしまった場合などにデータを救出するサービスです。これは、データを復旧して再利用することが目的です。

これに対し、デジタルフォレンジック調査の目的はデータの再利用ではありません。
パソコンやスマートフォン、サーバ等に含まれているデジタルデータを、削除されてしまったものも含めて、証拠としての価値を損なうことなく収集・分析する手続きがフォレンジック調査です。そのため、データ復旧は調査の際の一手段に過ぎないのです。

例えば、削除されたデータに上書きがかかり、ファイル修復が不可能となる場合、データ復旧は「復旧不可」となります。 しかしデジタルフォレンジック調査は、「ファイルが削除された事実」こそが重要です。削除されたファイルの名前や削除された日時の履歴などの痕跡を調査し報告書にまとめ、デジタルデータの証拠とするのです。

デジタルフォレンジック調査は、調査対象となるデバイスによって呼称が異なりますが、その中でも今回の事例に関する「コンピューターフォレンジック」についてご紹介します。

コンピューターフォレンジック（computer forensics）

「コンピューターフォレンジック（computer forensics）」とは、パソコン・サーバーなどのハードディスク（HDD）、コンピューターに保存されたデータを調査、解析する技術です。
そのコンピュータでどのような操作が行われたか、不正操作や情報漏えいに関わっていたかを証明します。d
場合によっては隠蔽のために記録媒体内の情報が削除されていることもあり、その場合は特殊な技術を用いて復元します。消去データの復元以外にも、暗号化・パスワードの解除やログ調査、不正調査等も行われます。 下記のようなデジタルデータの調査、解析から復元、証拠データの保全を行います。

データ削除：メールデータ（Eメール本文、添付データ）、Excel、Word、写真、各種ファイルなど
暗号化・パスワード解除：ログインパスワード、Excel、Word、Outlook、FileMakerなど
ログ履歴：インターネット閲覧履歴、操作ログ、接続機器のログ、アプリケーションログなど
クラウド調査：Gmail、Yahoo!メール、Dropboxなど
※クラウド調査には、IDとパスワードが必要です

デジタルフォレンジック技術とは

デジタル・フォレンジック技術はITスペシャリストによる特殊技能が必要となります。

デジタル・フォレンジック調査の作業内容、ならびに得られる成果物にはイメージがつきにくいものです。IT化した昨今、セキュリティ対策、インシデント調査に対して非常に注目された技術になりました。 企業の情報セキュリティをお守りするため、デジタルフォレンジックエンジニアは解析・分析・調査に立ち向かっていきます。

デジタル・フォレンジック技術は、ヒアリング調査も重要です

お客様の御事情、御要望は千差万別です。お客様の御事情に合わせて、最適な解決策、そして最適な技術を組み合わせ、サービス構築をして行く必要があります。弊社は個人情報の取得も行っております。プライバシーマークやISO27001（ISMS）の取得も行っております。フォレンジック調査はまさしくプロのなせる技術の賜物です。
やり方・技術の内容を紹介いたします。

証拠保全を行うため、まずは複製が大事

証拠保全を行うために、まず初めに行う作業として、HDDやSSD等、データ保存媒体の複製作業を行います。
単なるデータコピーではなく、複製作業はクローン作業と呼ばれ、解析対象の保存メディアの情報を別HDDに対し、セクタ単位で複製を実行し、イメージファイルのデータとして、内部情報を保存します。
この作業の良い利点は、クローンやイメージファイルのデータがあれば、万が一、物的証拠となりうるオリジナルHDDのデータが書き換えられていたとしても、

イメージデータを保存しておくことで、データ保全できる利点があります。

さらに利点として、オリジナルのHDDやSSDの精密機器はある日突然にクラッシュし、証拠物が破損してしまう恐れがあります。データをイメージファイルとして、形に残すことでリスクヘッジにも繋がります。このイメージファイルから以下に紹介するような特殊技術を用いて、各種複数のデータ復元、調査解析を行っていきます。

不正削除されたメールの送受信データを抽出させる

メールデータは重要な証拠物になります。 実例では、不正な取引先とのメールの送受信記録、不正な納品数値の操作記録等が抽出されたケースもありました。

メールデータの解析の流れは以下のとおりです。
「お客様からのヒアリング」→「解析メディアの複製」→「サルベージを行い、消失データを抽出」→「報告書の提出」となります。
こちらがデジタルフォレンジックの一連の解析の流れになります。
ヒアリングでは、「どのようなメールが、いつ削除された可能性があるか」「なぜ不正をした社員はメール削除をしたか」、こういった情報が解析の指針、調査結果に大きく影響を及ぼします。

また、メールデータの復元は非常に難航を極めます。
それは、メーラーによって圧縮形式が異なるからです。

Outlookを使用していれば、「PSTファイル」
Thunderbirdを使用していれば、「Profiles」

フォルダに一式でデータが圧縮されて保存されております。
Becky！であれば、「C:\Becky!\ログオン名」にデータが一式で圧縮されて保存されております。
そこでコンピュータ・フォレンジック調査では、こういった圧縮データを細分化し、

セクタ単位での複製作業を行うことで、メール１件１件をファイル単位で復元が可能となります。

解析結果の一例として、は以下のような解析が可能です。

・不正に削除されたメールの復元
・添付ファイルまで抽出
・送受信日時の特定
・CC、BCCデータの抽出

対応している主なメールソフト

これらメールソフトを用いて受送信したメールを復元いたします。

特にOutlookやThunderbirdなど通常のデータ復旧ソフトでは対応できないメールソフトにも対応可能な点が強みとなります。間違ってメールを削除してしまった、また不正にメールを消去された場合はご相談ください。

隠蔽のために削除されたファイルを検出していく

フォレンジック技術に欠かせないのが、証拠隠滅を目論み、不正に削除されたデータを復元することです。こちらも実際の解析に入る前、お客様よりヒアリングをさせていただき、 「データの種別　※エクセル、ワード、写真等」、「削除された日時の推定」、「削除した動機」を伺います。こういった情報を得ることで、最短の解析方法をフォンジックエンジニアは構築いたします。

ヒアリングで、どの程度のセキュリティインシデントにつながっているのか、

どの程度の損害が出てしまうか、詳細に状況を伺います。データ復元の2種類の解析方法を紹介いたします。
まず一つ目、データ復元技術として、フォレンジック技術の黎明期から存在する、管理情報の痕跡を探る「スキャン」という技術があります。こちらはファイルシステムというフォーマット情報の管理情報を手がかりとするものです。

Windowsでは「NTFS」フォーマット
Macでは「HFS」フォーマットを通常使用します。

Windows、Mac、双方のOSにおいて、削除処理事態がPC管理上からは認知・認識されていた場合でも、この解析作業で十分に復元できる可能性があります。しかし問題なのは、データの保存領域に別データの上書きが掛かってしまっている状況です。

二つ目、フォレンジック調査技術として要となるのは

「データカービング」という技術です。

こちらは、ファイルにはSignatureと呼ばれるファイルの種類を表すデータがあり、このSignatureの特徴からデータ復元を行います。ファイル名、ならびに保存されたファイルパスを示すフォルダ構造は崩れてしまいますが、不正に削除されたデータを特殊技術により抽出していきます。

・削除したデータを検出し、抽出
・ほぼすべてのデータに対応可能
・もし記録が残っていれば、作成日時、更新日ごとにソートした分析報告書をご提出

▲ページトップへ戻る

インターネット閲覧履歴の抽出を行い、社員の「動き」を見える化

コンピュータ・フォレンジック技術の中で、昨今注目されているのがWEBの閲覧履歴です。
こちらの技術が注目され始めたのが、従業員の勤務体制の調査という意味合いで、会社と従業員間で残業代金の裁判、労使交渉等が行われるようになったからです。
こういったトラブルの解決に、一役買っているのがこの技術であり、

Web閲覧履歴によって、業務外のインターネット利用がどの程度に行われているか解析が可能となります。

また昨今、クラウド化された現在、インターネットを活用して不正が行われるケースがあります。 こちらは社内ネットワークのファイルサーバ、メールサーバを活用しない不正事例です。外部インターネット上で使用可能なフリーメールにてデータ転送を行う、もしくはデータ転送の際にフリークラウドサービスを活用して不正をはたらく等、インターネットを介した犯罪が増加傾向にあります。

こうしたサイバー犯罪に対して、

デジタルフォレンジックでは外部インターネットの活用履歴を検出

できます。
・閲覧していたURL、WEBサイト、WEBサービスを見える化
・閲覧回数まで特定可能
・アクセス日時で並べ替え（ソート）を行った分析報告書をご提出

ソフトウエア実行履歴、PCの起動ログ解析を行い、不正社員の足跡を辿る

どのようなソフトウエアを実行したか、こちらもログの解析を取得することが可能です。
ファイルパスを特定することで、どのような不正を行ったか追跡が可能となります。
こちらはWindows、Mac、双方のOS上でももちろん特定が可能です。
不正を働く場合、勤務時間外で、例えば深夜や他の社員が休日時間帯にPCを立ち上げ、データ操作をするケースが多いものです。

ログ解析もフォレンジックの重要な技術になります。

データ解析にて、以下を特定していきます。
・実行したファイル名の表示
・実行ファイルのパスの特定
・不正な実行ファイルも特定
・PCの起動履歴の特定

USB機器等、外部保存メディアの接続履歴から、情報漏えいの可能性を探る

よく見受けられる例として、退職直前の社員が顧客データを外部へ、転職先を持ち出し使用する事例が頻発しております。

重要痕跡となるのは、外部保存メディアの接続履歴

がカギとなります。こちらの解析もWindows、Mac、双方のOS端末で特定が可能です。

企業にとってIT社会では情報セキュリティ管理は必須項目となってきました。
そうした中、会社に恨みがあり、顧客情報や機密情報を盗み出し、いずれ会社に攻撃をしてやろうと復讐心に燃えている犯罪者もいます。
攻撃者である不正社員の動きをあぶり出し、痕跡の追求を行っていきます。
調査内容、調査対象としては、以下のようになります。

・接続機器名を表示
・接続日時の特定
・USBメモリ、HDD、カードリーダーなどの種類の特定

レジストリ解析

レジストリとは、Windowsのシステムやソフトウェアの設定内容が記録されているファイルとなります。

Windowsを起動するために重要な設定内容が記録されているため、下手に改変などをしてしまうとWindowsが起動しなくなります。

なぜこのレジストリを解析する必要があるのかWindowsが不正な動作をしていた場合、このレジストリに記録されます。
通常とは異なる動作も記録されるため、不正なアクセスがされていなかったか、不正なアプリケーション（マルウェア）などが仕込まれていないか 様々なことがこのレジストリを解析することでわかります。

PCログインパスワード、暗号化パスワードの復活させる

ここ最近で非常に注目されている技術として、

パスワードの紛失したPCのパスワード解析、加えてソフトウエアのパスワード解析技術

がございます。
一例としては、企業の要職に疲れていた方が突然に他界してしまった、失踪してしまった等、使用端末のログイン情報、エクセル等に設定していたパスワードが不明となり、お困りの方が急増しています。
このようなケースに対して、パスワード解析する技術がございます。
こちらの調査対象は以下のとおりです。

・起動可能であるが、ログインが不明なパスワードのPC解析
・エクセル、PDF等のソフトウエアで設定したパスワードの解析

実際に起きた調査事例【製造関連企業】

先月末にITに詳しい社員が退職したことにより、次々とトラブルが起こりました。

退職者が新しい企業を立ち上げ、顧客データを流用している可能性が高いことが発覚。次々と得意先との契約が無くなっている。
退職した社員から別会社として営業があったとある顧客からの連絡を受け、顧客情報の漏洩が判明した。
パソコンへの不正アクセス、もしくはメール等でデータを持ち出した可能性が高いため、 退職者の使用していたPC2台を調べようとしたところ、メールデータが初期化されていました。

以上の状況から、退職した社員が他社へ機密情報をリークしていないか調査が必要だと判断しました。情報漏洩に関するやり取りをしていたと思われる期間のメールデータ（Microsoft Office Outlookで運用）であるPSTファイルの復元調査を専門業者に依頼することにしました。

デジタルフォレンジック調査の流れ

1.調査内容のヒアリング

このヒアリングによって、調査内容が決まりますので、非常に重要となります。どのような証拠が必要となるのか、より詳細な情報を知っておくことが重要です。お客様が必要とする情報を正確につかむことにより、調査や解析の時間の短縮にもつながります。

2.証拠保全

エビデンスとは、証拠という意味となります。 デジタルフォレンジック調査でのエビデンスは、調査するPCやスマートフォンなどの機器を指します。証拠保全の確保には2種類あり、実際のPCなどの機器の確保と記憶媒体の複製をとることです。 今回のケースでは退職者が使用していたPCですので、HDDもしくはSSDの記憶媒体を取り外し、複製を作成します。保全作業を行うことで、データの改ざんを防ぎ、証拠の確保に繋がります。

3.エビデンスの調査・分析

ヒアリングした内容に沿った調査を実施いたします。 専用の機器を用いて複製の領域全てをまるごと解析してデータを抽出します。データ復旧よりも高度な技術を用いて、解析調査を行うため、調査機器のログやWEBの閲覧履歴などより高度なデータ分析が可能です。 デジタルフォレンジックの調査方法に関しては、こちらの記事をご覧ください。 解析方法やフォレンジックの調査など詳しく記載しています。消去したデータの復旧、解析などわからない点を知ることも重要です。

4.調査報告書の作成

調査した結果や使用したツール・ソフトウェアについて詳細な内容を作成します。偽証とならないように十分に注意して作成いたします。

5.納品及び報告

調査報告書、抽出したデータのご納品を行いデジタルフォレンジック調査は完了です。 この調査報告書は裁判で使用されることもあるため、偽証にならないように注意が必要です。 使用した、ツールやソフトフェア、調査したエビデンスの型番、シリアル、ハッシュ値なども全て記載いたします。

※注意事項※
①今回のケースでは、退職者が利用していたパソコンの機材です。しかし、在職中のデジタルフォレンジック調査が必要な場合もあります。その場合は、ご相談ください。
弊社では、夜間の証拠保全の確保のための複製作業なども実施しています。 社内の状況の判断の上、対応いたしますので、お困りの際には是非ご連絡ください。

②社内でデジタルフォレンジック調査を行わない。退職者のパソコン機器などを起動したり削除データの復旧・復元作業などを行うことは、デジタルフォレンジック調査・解析を困難にする場合もあります。

「起動することで、ログ情報の上書き」
「新しいデータの保存やアプリケーションのダウンロード」
「初期化されたPCに新しくメール設定を行う」など

以前の利用内容などがデータの上書きにより、復旧・復元不可能になる場合もあります。
詳しくはこちらの記事もご覧ください。

フォレンジック調査の実態

今回のケースでは、退職者と顧客とのやり取りを含む削除されたメールを抽出することに成功
「調査結果をもとに退職者に問いただしたところ、新しい企業の立ち上げのために協業者へ顧客データを横流ししたこと、また隠蔽のため意図的にメールを削除したことを認めました。

デジタルフォレンジックは、様々なところで活用されています。活用事例については下記からご確認ください。
https://www.forensic24.com/about/#case

例1 )削除された監視カメラの動画を復元
例2 )退職した元社員の不正取引疑惑調査
例3 )サイバー攻撃による情報漏洩を調査

顧客情報の流出問題、その対策

近年、デジタルデータによる顧客情報の流出が問題です。 特に流出の原因となっていることとしては 「不正アクセス」、「内部不正」、「誤送信」などがあり、セキュリティ対策が早急に必要となっています。 それでも、万が一、顧客情報の流出が発覚し、データの調査、証拠を保全する必要がある際は、弊社にご相談ください。解決できる可能性があります。

デジタルフォレンジック調査のまとめ

弊社では、上記のような技術を許可された熟練のエンジニアのみが対応しております。
また、基本的に専任担当制を敷いており、お客様のヒアリング、実際のデータ解析、復元、報告書のご提出まで専任担当が責任を持って対応させていただきます。

そして、こちらのフォレンジック調査技術は熟練のエンジニア同士で技術研修も盛んに行われており、日々最新の解析技術を社内でシェアし、サービス向上に務められるようシステム化を行っております。

この取り組みから、

セキュリティインシデントにより、会社に悪影響を及ぼす攻撃者を摘発、発見し会社の安全をお守りしてまいります。

お困りごとがございましたら、お気兼ねなくお問い合わせくださいませ。

▲ページトップへ戻る