2006年の「ライブドア事件」をご記憶の方は多いと思う。当時の報道によると、家宅捜索を察知した関係者は、数万通もの電子メールや重要なファイルを削除し証拠隠滅を謀ったという。しかし、東京地検特捜部はこれらの大部分を復元し、法的証拠としたことで有罪判決が下された。
ライブドアはIT企業である。単にコンピュータ上のファイルを削除をしただけで証拠隠滅を謀るなど不可能なことは知識として十分持っていたはずである。それでも復元できたのはなぜか、ここで「デジタル・フォレンジック」という言葉が注目を浴びたのである。
「デジタル・フォレンジック(Digital Forensics)」とは、犯罪や不正の証拠を、情報処理機器やネットワーク上に残された電磁的記録の中から調査・分析し、保全する技術や手順のことを言う。フォレンジックとは直訳すると「法の」とか「法廷の」という意味を持ち、将来起こり得る裁判に備え、証拠の採集・保全を行う鑑識のような活動を、デジタルデータを対象に行うものと思っていただければイメージしやすいかもしれない。
今や企業活動のあらゆる内容が電磁的記録として保存されるようになり、個人や組織のコミュニケーションも電子メールなどの形でスマートフォン等に蓄えられるようになった。サイバー犯罪だけでなく、殺人事件や窃盗のような事案においても、デジタル・フォレンジックが重要視され、今後IoTの発展に伴い、ますます需要は増していくと思われる。
そして現在、デジタル・フォレンジックは警察捜査だけのものではなく、企業の中で内部不正が発生した場合に、ダメージを最小限に抑えるための知識として広がり始めている。社内にフォレンジックチームを設置し、インシデント発生時に素早く対応できる体制を整え、不正抑止策として役立てている先進企業もある。
では実際にデジタル・フォレンジックとはどのようなことを行うのか、その手順を大まかに紹介すると下記の5つとなる。
■準備段階:インシデントの認識過程
1) 被疑者が使用していたパソコンの確保
2) 証拠取得用のHDDの用意
■第一段階:収集過程
1) 確保したパソコンからHDDを取り出し、証拠取得用HDDへ物理コピー
2) 対象HDD(コピー元)と証拠HDD(コピー先)のデータ同一性の確保
3) 物理コピーされたデータを解析ソフトに適したイメージファイルに変換
■第二段階:検査(復元)過程
1) 第一段階3) のデータを解析ソフトで認識
2) 削除データの復元、暗号化されたファイルの復号など
■第三段階:分析過程
1) ファイルデータを分別
2) 解析ソフトにて解析
3) レジストリエリア等の解析
■第四段階:報告書作成
法廷などにおいて重要視されるレポートの作成
実際にインシデントに遭遇した際、上記の過程をデジタル・フォレンジックの専門業者に依頼することになるが、デジタルデータは揮発性が高く、時間の経過とともに消去・改ざんの可能性が高くなるため、「被疑者のパソコンの確保」はなるべく早い段階で行う必要がある。
このとき、証拠となるパソコンの電源がオフ状態であった場合、決して電源を入れてはならない。また逆に電源がオン状態の場合、決してシャットダウンしてはいけない。使用OSやシステム時計の正確性の確認、ネットワーク環境の確認、画面やプリンターに表示・出力されていた状況を記録した上で、電源プラグを抜いて強制的に電源をオフにするべきであり、この場合は専門業者の到着を待ち全てを任せる方が良いだろう。いずれも起動時やシャットダウン時にタイムスタンプやレジストリ等の書き換えにより、証拠となり得るデータが揮発するのを防ぐためだ。
いずれにしてもデジタル・フォレンジックは高度な専門知識が必要な領域であり、専門業者に依頼することが望ましい。しかし高額の費用が発生することも確かだ。HDDは年々大容量化しており、上記に述べた手順の通りに証拠保全を行うにはかなりの時間を要することや、また企業からすれば、インシデント発生時のメディア対応をより迅速に、より適切に行いたいというニーズがあり、デジタル・フォレンジックの現場にもスピードが求められている。
そこで注目されているのが「ファスト・フォレンジック」である。原因究明のための必要最低限のデータを抽出し解析することであるが、専門業者でなくとも簡単に扱えるツールも存在している。インシデントの重大さによって慎重に行動することが第一であるが、自社のIT部門や総務部門でも扱えるファスト・フォレンジックツールを用意しておくことで、インシデント発生時のダメージを抑えることができるかもしれない。
以上、簡単にデジタル・フォレンジックの概要を述べてきた。企業活動が人間によって営まれている以上、不正やミスは決してゼロにはできないだろう。デジタル・フォレンジックの知識や備えが、リスク軽減の一助となれば幸いである。
参考図書など:
「基礎から学ぶデジタル・フォレンジック」特定非営利活動法人デジタル・フォレンジック研究会
「デジタル・フォレンジックの基礎と実践」佐々木良一
「証拠保全ガイドライン第7版」デジタル・フォレンジック研究会
https://digitalforensic.jp/wp-content/uploads/2018/07/guideline_7th.pdf
■執筆者プロフィール
岡崎 敦子
ITコーディネータ、情報セキュリティ監査人、ソーシャルメディアオフィサー、ISO9001:2015審査員
株式会社アキュレートアドバイザーズ
■コンサルティング事業
■保険調査事業
■IT事業
・システムコンサルティング・システム開発・セキュリティコンサルティング・デジタルフォレンジック
コメントをお書きください