以前、Facebookに掲載しましたデジタル・フォレンジックに関する記事をフォーカスNAVIでもご紹介させて頂きます。
デジタル・フォレンジックとは
そもそも「フォレンジック」とは、「法廷の」「科学捜査の」という意味を持つ言葉で、「デジタル・フォレンジック」というと「デジタル鑑識」というような意味になります。
デジタル・フォレンジックとはどのような技術なのでしょうか?
IT化が進み、人間の行動記録は残りやすくなっています。電話であれば会話の記録は残りませんが、メールの記録は残ってしまいますね。秘密のメールやファイルを完全に消したと思っていても、パソコンの中にデータが残っているケースが多く、それらはフォレンジック技術により復元できてしまうのです。そして、コンピュータやネットワークに残るデジタルデータの解析によって、5W1Hに関するいろいろな情報が引き出せてしまうのです。
コンピュータやスマートフォンなどデジタル機器の普及によって、それらを悪用した犯罪が増えている現代社会。犯罪立証のための証拠として重要になってきたのが、そこに残されたデジタルデータであります。
事件が発生しました!(とします...)
犯罪の証拠を得るために、何をするか。
1.現場を立ち入り禁止にし、犯行現場に残された毛髪や血痕といった証拠を採取する。
2.それらを保全し、それらを元に調査・分析を行う。
3.調査結果を証拠として法廷に提出する。
という一連のプロセスで犯人を追及していきます。
(すみません、テレビドラマ程度の知識しかありません.....)
デジタル・フォレンジック(デジタル鑑識)の場合は、
1.容疑者のパソコンや携帯電話を押収し、それらの記憶媒体の中のデータを特殊な技術で正確にコピーし、解析用のクローンを作る。(証拠保全)
2.隔離された環境で解析し、証拠となり得るファイルやメールを復元したり、過去にそのコンピュータで行われた操作状況を洗い出したりして、犯罪の痕跡を特定する。(データ解析)
3.証拠化した解析結果が、押収したデータと同じものを元に行ったものであることを明確にし、事案解決の一助となる資料として報告する。(証拠化、報告)
そのうちテレビドラマでも「フォレンジック・ミステリー」なる言葉が一般的になるかも知れませんね。
デジタル・フォレンジック活用の事例
デジタルデータが事件解決の鍵を握る。
古くは、1995年のオウム真理教事件。押収したフロッピーディスクの名簿などにかけられていた高度な暗号の解読の過程で、フォレンジック技術が実用化されていったようです。
フォレンジックが広く知られるようになったのは、2001年、アメリカのエンロン事件の調査からです。10テラバイトものデジタルデータの解析が行われたようです。10テラバイトというと、(計算方法にもよりますが)A4用紙で4~5億枚、積み重ねると50km以上にもなるようです。すごい情報量ですね。
2006年、ライブドア事件における、証拠隠滅のために消された大量メールの復元も話題になりました。
事件だけではなく東日本大震災においても、被災したパソコンのデータ復元にもデジタル・フォレンジックの技術が活用されました。
その他にも、
2010年の尖閣諸島における中国漁船の衝突映像の流出事件。
2011年の大相撲八百長問題における携帯電話のメールの分析。
2012年の電子掲示板を介して他人のPCを遠隔操作し、犯罪予告を行った事件。
2014年の某通信教育会社における顧客情報の流出事件。
2015年の年金管理システムサイバー攻撃による年金加入者情報の流出事件。
記憶に新しい事件だと思います。
フォレンジックの目的は犯罪捜査だけではありません。
もう一つの大きな適用分野は、民間企業、官公庁・自治体の情報セキュリティ管理部門や監査部門への導入です。
フォレンジックの導入により、社員の不正(いわゆる”ホワイトカラー犯罪”)や情報資産に対する事故への対応を、自ら行うことが可能となります。
デジタル・フォレンジックは、民間企業や自治体等の内部監査や不正抑止対策の手段としても導入が進んでいます。
監視されていると知らしめるだけで、個人情報や秘密情報の漏洩などの社内不正や私的利用の抑制につなげることができます。
そういう意味では、事が起こる前に自社システムへ組み込んでおくのは上策です。
皆さんの会社はいかがされていますか?
デジタル・フォレンジック技術の肝
データの同一性確保(1)
パソコンは電源を入れるだけでハードディスクの内容が変化してしまうため、証拠物件として利用できなくなる可能性があります。
まずは、データを変化させずにコピーをするための技術、機器が必要なのです。
また、コピーを行う際には、ビットストリームコピーという方式を使います。これは、ハードディスクの未使用領域も含めて丸ごとコピーするやり方です。この未使用領域には、過去に存在したデータの痕跡があり、これにより、過去に存在したデータの解析・復元や、隠されたデータの発見が可能になります。
データの同一性確保(2)
裁判における証拠とするには、保管や解析の過程で解析用データに変更が加わっていないことを証明する必要があります。
それを証明する技術が、「ハッシュ値/ハッシュ関数」です。なかなか説明が難しいのですが、頑張って簡単に。
元のデータをAとします。それをコピーしたものをBとします。AとBに、同じ関数CをかけてA’、B’という値を求めます。A’=B’ならば、A=Bとなります。これを可能ならしめる計算手順Cのことをハッシュ関数、A’およびB’のことをハッシュ値と言います。
なんとなくおわかりになりますか?説明が物足りないのはお詫びいたします。
弊社のデジタル・フォレンジック・サービス
【その1】証拠保全、データ解析のためのソフトウェア、ハードウエアの販売・導入。
米国BlackbagTechnologies社、米国GuidanceSoftware社、米国AccessData社、米国Passware社、豪州Nuix社をはじめとした各社製品を取りそろえています。
【その2】パソコンの調査サービス。
情報漏えいやコンピュータの不正利用、マルウェア(悪意ある不正ソフトウェア)の感染など、コンピュータの調査・解析を行います。
【その3】トレーニングコースの提供
フォレンジック調査の基礎から応用までのトレーニングを提供します。
なぜトレーニング?それは、コンピュータやフォレンジックの知識を得ることにより、セキュリティ事故への効果的な対応を行うことができるからです。また自社で対応することで社内のデータを外部に委託する必要もなくなり、コスト削減にも繋がります。簡単な社内調査であれば、訓練を受けた技術者にてご担当いただけるようになります。
【その4】eDiscovery(電子情報開示) の製品販売・サービス提供
eDiscoveryとは米国民事訴訟の特徴の一つで、公判の前に当事者同士双方で公判に関連のある電子情報を保全、開示する手続きをいいます。
米国に進出する日本企業が、知的財産権などで訴訟に巻き込まれる事例が多く発生しています。当社ではeDiscoveryを自社で対応するための製品や、データ保全などのピンポイントサービスから訴訟対応のためのトータルサービスまで、ニーズに合わせてご提供します。
技術には限界があり、対立する新しい技術との格闘の連続です。
PCデータのセキュリティ確保のための消去技術の進歩や、フォレンジック調査を妨げるアンチフォレンジック製品。新しい記憶メディアや電子デバイス、高度化・大容量化する記憶装置などへの対応。
まさに、イタチの追いかけっこ、ですね。
デジタル・フォレンジックにつきましては、弊社公式ホームページのWebマガジン『人跡森踏』の中のWebマンガ『フォレンジック刑事』にて、主人公のフォレンジック刑事がデジタル・フォレンジック技術を使い痛快にサイバー事件を解決していきながらデジタル・フォレンジックをわかりやすく説明していますので、こちらも是非ご覧ください。
長文におつきあいいただき、ありがとうございました。
デジタル・フォレンジックのフォーカスシステムズを、どうぞよろしくお願い致します。
サイバーフォレンジックセンター・ホームページも、是非ご覧下さい!
