フォレンジック調査のやり方・手順・技術など徹底解説|サイバーセキュリティ.com

フォレンジック調査のやり方・手順・技術など徹底解説

フォレンジック調査のやり方・手順・技術など徹底解説

誰もがデジタル機器を扱う時代になり、フォレンジック調査の存在感はますます高まっていますが、具体的な手順や実施するメリットについては、まだまだ世間に認知されているとはいいがたいのが現状です。

フォレンジック調査は、コンピュータやデジタルデータを用いた不正行為、たとえば不正アクセス、情報漏えいなどのセキュリティインシデント、ないしデータ改ざんによる不正会計やデータ持ち出しなどの不法行為の調査において、頻繁に用いられています。

この記事では、フォレンジック調査の手順・方法から、実施する際に気を付けておきたい注意点まで総合的に解説します。フォレンジック調査を検討しているという方は、ぜひこの記事を参考にしてみてください。

>おすすめのフォレンジック調査業者はこちら

フォレンジック調査とは

フォンジック調を具体的

フォレンジック調査とは、デジタルデバイス(スマートフォン、パソコンなど)から収集されたデータを解析し、インシデントの真相を解明する手法です。電子的証拠はデジタル機器の普及にともない、民事・刑事をとわず法的証拠としての価値を帯びるようになってきましたが、その取り扱いに関しては、まだ正しい認識が広まっていないのが現状です。

たとえば電子データは非常に不安定です。容易に改ざん・消去される恐れがあることから、インシデントの解明ないし法的機関への証拠提出に際しては「法的に正しい手続き」で証拠となるデータを体系的に保存する必要が生じました。

これには専門的な知識が要求されるため、自力でやみくもに対応すると、大きなリスクが生じます。もし不用意な操作でアクセスログが上書きされてしまうと、たとえば法的機関に電子的証拠を提出する場合、法的な証拠能力を失う恐れがあります。

そこで、法的証拠を正しい手続きで解析し、セキュリティインシデントも体系的に調査することができる「フォレンジック調査」の需要が高まりました。現在、フォレンジック調査は警察や検察庁はもちろん、企業内の社内不正でも採用されており、あらゆる場面、あらゆる分野で頻繁に用いられています。

フォレンジック調査にかかる費用や相場については、下記の記事でも詳しく紹介しています。

フォレンジック調査の種類

フォレンジック調査の種類としては次のものがあります。

  • コンピュータフォレンジック
  • モバイルフォレンジック
  • ネットワークフォレンジック
  • ファストフォレンジック

コンピュータフォレンジック

コンピュータフォレンジックとは、コンピュータ機器を用いた犯罪や不正行為の捜査や証明で使われる調査で使われます。

デジタル機器から証拠となる既存データを抽出するのはもちろん、場合によっては意図的に削除されたデータの復元を行うなどして、そのコンピュータで不正な操作が行われていたかについて証明します。

コンピュータフォレンジックについての詳細は下記の記事で詳しく紹介しています。

モバイルフォレンジック

コンピュータ・フォレンジックでも、モバイルデバイス(スマートフォンやタブレットなど)に特化したフォレンジック調査は「モバイルフォレンジック」と呼ばれます。

モバイルフォレンジックでは、モバイルデバイスから収集された通信記録や連絡先データを解析することで、犯罪や不正行為を証明することができます。たとえば履歴データやアプリケーションの使用履歴を解析することで、特定の行動や状況を把握することができるほか、削除された写真や動画を復元・解析することで、犯罪や不正行為が行われた現場や状況を把握することができます。

ただし、モバイル端末はパソコンと構造が大きく異なるため、データ復元や解析には一般的なプロセスと違った、高度な技術力が必要不可欠です。

ネットワークフォレンジック

ネットワークフォレンジックとは、オンラインやネットワーク上のデータを対象とした調査・解析手法です。ネットワークフォレンジックは、ネットワーク上で実行されている不審な挙動を収集し、分析することで、不正な行為を検出し、追跡できます。

これは主にサイバー攻撃の被害全容を把握するのに使用されます。たとえば不正アクセスの経路、漏えいしたデータの特定などに役立つほか、セキュリティ対策の検討および実施のためにも必要不可欠となります。

ファストフォレンジック

企業が扱うデータや端末は膨大なことから、通常のフォレンジック調査では、被害全容を解明するにも手間が増えてしまい、調査に時間を要してしまうのも現状です。そこで、デジタル情報の分析を迅速かつ正確に行うことが求められるようになりました。この際によく使われるのが「ファストフォレンジック」という技術です。

ファスト・フォレンジックは、名前の通り「短時間で適切かつ迅速な初動対応」が行えます。たとえば社内全体のPCの中から、どのPCに異常が発生し、侵入経路や不正な挙動をとっているのかを調査することが可能で、インシデントの早急な把握・解消に役立ちます。

ファスト・フォレンジックについては下記のページで詳しく紹介しています。

フォレンジック調査の実施が必要となるケース

フォレンジック調査が必要となるケースは、次のようなものがあります。

  • ハッキング・不正アクセスが疑われるケース
  • 内部不正・不祥事が疑われるケース
  • オンラインハラスメントを調査するケース

ハッキング・不正アクセスが疑われるケース

ハッキング・不正アクセスが疑われる場合、不正アクセスがどのように行われ、どのような被害を受けたのかを特定・把握する必要があります。また今後、同様の被害を防ぐためにも、適切なセキュリティ対策を講ずる必要があります。

この際、フォレンジック調査でハッキングや不正アクセスが行われた経路や手段を把握することで、ハッカーが使用したツールや技術を特定することができるほか、ネットワーク上の脆弱性の特定にも役立ち、調査から対策までを一気通貫して行うことが出来ます。また、どのようなデータが改ざん、ないし流出したかを確認することで、どの程度の損害をもたらしたかを把握することができます。

内部不正・不祥事が疑われるケース

内部不正・不祥事が疑われるケースでは、証拠の収集や解析を行うことで、実際に不正が行われたかどうかを証明することができます。この際、法的に正しい手続きを取ったうえで調査をおこなうことが重要です。なぜなら内部不正の調査で収集された電子的証拠は、民事・刑事をとわず、裁判所に提出する可能性が高く、もし法的手続きを守らなかった場合、その証拠が無効と認定されることがあるからです。

よって自力でのデータ収集や体系化は難しく、フォレンジック調査業者と提携しての対応が最も無難です。また、社内不正(特にデータ持ち出し)を行った人物をフォレンジック調査で特定ないし証明することによって、警察や検察による犯罪者の逮捕や起訴を促すことも可能です。

なお、高度なデータ復旧技術を保有するフォレンジック業者では、端末から消去されたデータの復元も迅速かつ正確に行うことが可能です。業者に依頼する前には、この点も必ずおさえておきましょう。

従業員によるデータの持ち出しの被害を受けた企業が、どのような調査を行うべきかについては、下記の記事でも詳しく解説しています。

オンラインハラスメントを調査するケース

フォレンジック調査は、オンライン上で行われるハラスメントの証拠を収集するのに有効です。たとえばドクシング(晒し)、ストーカー行為、オンラインいじめ、脅迫、名誉毀損、DDos攻撃などがこれにあたります。

現在、さまざまなハラスメント行為、特にパワーハラスメントは、チャットで行われることも多くなりました。しかし、事件が表明化する前に当事者が端末のデータを取り消すことも多いことから、このようなケースでもしっかりフォレンジック調査をおこなうことでハラスメントの詳細を特定し、必要な措置を講ずる必要があるのです。


上記のようなケースで、フォレンジック調査の専門業者の実力を確実に見極めたい場合、注目すべきポイントは次のとおりです。
  • 実績がある
  • スピード対応している
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記の6つのポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。

デジタルデータフォレンジック

デジタルデータリカバリー
公式HPデジタルデータフォレンジック

✔警視庁への捜査協力を含む、累計14,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)

こちらのデジタルデータフォレンジックは、累積ご相談件数14,000件以上を誇る、対応件数で国内最大級のフォレンジック業者です。データ復元技術を活用した証拠復元から、マルウェア感染・情報漏えい・社内不正といった企業インシデントに対して、幅広くサービス展開しています。

フォレンジック調査を実施する際の注意点

フォレンジック調査を実施する際の注意すべき点は、次のとおりです。

  • そもそも、フォレンジック内製化は困難
  • 調査プロセスの正当性を確保する
  • 調査の目的を明確化する

そもそもフォレンジック内製化は困難

「フォレンジック内製化」とは、企業や組織内でフォレンジック調査を行うことを指します。社内でフォレンジック調査を行えば、自社のシステムに精通した管理者が、企業や組織にとって重要な情報を保護することができるため、いくつかのメリットもあることでしょう。

しかし「フォレンジック内製化」は非常に難しいと一般的にみなされています。

なぜなら、フォレンジック調査で収集されたデータは、法的手段や手順を守る必要があるからです。要するに裁判所や監督官庁など、行政機関や法執行機関でも通用する「証拠としての能力」を確保しなければならないのですが、これには法的知識と解析技術をあわせもったエンジニアが必要不可欠となっています。

これは一般企業のシステム担当者では代替しにくく、「フォレンジック内製化」が非常に難しい根拠のひとつとなっています。

調査プロセスの正当性を確保する

デジタルフォレンジックでは調査プロセスの正当性を確保する必要があります。なぜなら、調査プロセスが不正確であると、デジタルフォレンジックの証拠や結果が信頼できなくなるからです。

そのため、デジタルフォレンジックの調査プロセスでは、収集されたデータの正確性を確認・検証したうえで、形式的な手順を踏むなど、あらかじめ体系化されたプロセスをきちんと実行する必要があります。しかし、このようなプロセスは一般的ではないため、自力でのフォレンジック調査は不正確かつ不適切になりやすい傾向があります。

調査の目的を明確化する

フォレンジック調査では、あらかじめ調査の目的を明確化する必要があります。目的が明確化されていないと、たとえばチーム制で調査にあたる場合、個々人でばらばらの情報を収集したりしてしまい、統率が取れなくなります。そのため、フォレンジック調査にあたる際は、前提条件のコンセンサスを全員が認識しておく必要があります。

フォレンジック調査のやり方・手順

フォレンジック調査は、主に次の流れでおこないます。

  1. ヒアリング
  2. 証拠保全
  3. データの解析・分析
  4. データの復元
  5. 報告書の作成

①ヒアリング

フォレンジック調査では、まずインシデントの状況や背景を把握するために、ヒアリングを行います。さらに詳しい情報を収集する場合、質問をし、対象者からの回答を入手するなど事実関係を確認することもあります。

②証拠保全

証拠データを法執行機関に提出する際、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要です。デジタルデータは重要証拠となり得る一方、誰でも容易に復製・消去・改変することができます。そのため、デジタルデータを証拠として認めさせるには、正しく情報を取り扱うフォレンジック調査サービスで正当な手続き(証拠保全)をとる必要があるのです。

なお、オリジナルの電磁的記録には手を加えず、「正当な手続きのもと調査・解析を行った」という証明を行うには、普通のデータコピーではなく、専用のツールを使用する必要があります。

さらに、機器自体のクローンも作成する必要があり、そのクローンから「ファイルにおける指紋」と呼ばれるハッシュ値や、データの完全性を保証するデジタル署名というメカニズムなどを用いて正確にデータを抽出する、高度なステップを踏まなければなりません。なお、クローンを作成するのは、元の機器が故障して、調査できなくなるリスクを防ぐ役割も兼ねています。

③データの解析・分析

取り出したデータを解析し証拠となり得るデータの有無を確認します。フォレンジック調査では主に以下のような内容を解析・分析することができます。

  • パケット(ネットワーク上に流れるデータ)
  • サーバーログ
  • ドキュメントファイルの作成・保存履歴
  • メールの送受信履歴
  • webサイトの閲覧履歴
  • 不明なアプリケーションのインストール・実行履歴

④データの復元

証拠となり得るデータが削除されている、もしくは、機器自体が破損している場合は、対象機器からデータの復旧・復元作業を行います。

特に社内不正では端末上のデータが改ざんされていることも多く、そのため、フォレンジック調査では、削除されたデータを、可能な限り元の状態に戻すことが求められます。

しかし、証拠保全の過程で行う「データ復旧作業」は、難易度が高く、到底個人で対応できるものではないため、データ復旧にも対応しているフォレンジック業者に対応を依頼することをおすすめします。とくにメモリを搭載したモバイル端末からのデータ復元に対応している業者は、そう多くはありません。

また、破壊されたHDDなど重度障害を負ったデジタル機器から証拠となるデータを復旧できる業者は世界的にも少なく、あらかじめ端末の状態を認識したうえで、高度なデータ復旧も行えるフォレンジック業者を見きわめることが重要になってきます。

⑤報告書の作成

調査結果の詳細をレポートにまとめ、提出します。

なお、提出されたレポートは証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、法廷利用可能な資料になります。そのためレポートを「第三者の中立的な資料」として扱うことが可能です。

おすすめのフォレンジック調査業者

ここでは、フォレンジック調査に対応している専門業者の中でも「実績」と「スピード」を重視して選定しました。

デジタルデータフォレンジック


公式HPデジタルデータフォレンジック

デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。

相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。

費用 ■相談から見積もりまで無料
※機器の種類・台数・状態によって変動
調査対応機器 スマートフォン(iPhone/Android)、RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど
調査実施事例 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など
特長 大手企業や警察を含む累計14,233件の相談実績
個人での調査依頼にも対応
■「Pマーク」「ISO27001」取得済のセキュリティ

デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ

まとめ

フォレンジックをおこなうには、あらかじめ、どのような調査をおこなうのかを整理したうえで専門業者に対応を依頼しましょう。また、フォレンジック調査を依頼する際は、業者に丸投げするのではなく、情報共有の面で提携することが大切です。

SNSでもご購読できます。