デジタルフォレンジックはデジタル機器を調査する方法として非常に優秀であり、様々なデジタルデバイスやデータから証拠を収集し、解析することが可能です。ただ、技術にはいくつか限界や課題が存在します。近年、パソコンやスマホなどのデジタル機器を使用している会社は増加し、多くのデータがデジタル機器上で管理されています。
その反面、サイバー攻撃や社内不正など、デジタル機器を利用した被害も多く発生しています。デジタル機器を利用した犯罪の調査において、証拠の保存は必要不可欠です。特にデジタルデータは削除・複製・上書きが簡単にできてしまいます。そのため迅速で確実に証拠を保存する技術が求められています。
これらの被害を調査する時に必要な技術「デジタルフォレンジック」が注目を浴びています。デジタルフォレンジックは、データの侵害や漏えいを調査し、真実を明らかにするための最先端技術です。今回はデジタルフォレンジックとは何か、その特徴や調査方法などについて徹底解説します。
目次
デジタルフォレンジックとは
そもそもフォレンジック(forensic)とは、「法廷の」や「法的に有効な」「法医学の」などといった意味で、元々犯罪捜査の分析や鑑識、法廷での立証といった、「法的な分野で扱うこと」を指します。
近年需要が高まっているフォレンジックは本来の意味とは異なり、フォレンジック分野の中でもコンピュータやその他のデジタルデバイス(PC・HDD・USBメモリなど)上からデータを保全・取得・解析し、犯罪が実行された証拠を押さえるための専門分野を指します。
デジタルフォレンジックの対象となる電子機器には、以下のようなものがあります。
- パソコン(PC)
- サーバー
- スマホ(iphone,android)
- タブレット
- ストレージデバイス(HDD,USBメモリ) など
これらの機器からファイル、メール、Web閲覧履歴、画像、動画などの情報を収集し、犯罪や不正行為の証拠を調査します。デジタルフォレンジックでは次のようなメリットを得ることが出来ます。
- 企業の情報システムの脆弱性、不正行為を効率的かつ正確に把握できる
- 流出時の調査で得られた情報が証拠として利用できる
デジタルフォレンジックの専門家は、データ収集、データ分析、証拠保全に関する知識を持ち、専用のツールや技術を駆使してデータを取得・解析します。日本においても、大阪地検の証拠改ざん事件を契機にデジタルフォレンジックが各地検の特捜部に導入されました。
フォレンジック調査については以下の記事でも紹介していますので是非参考にしてください。
警察等の捜査機関で活用される技術
フォレンジック調査は警察庁や検察庁などの捜査機関においても活用されている技術です。日本でも「犯罪の立証のための電磁的記録の解析技術、およびその手続き」として積極的に活用されています。
警察庁のHPには、「犯罪を立証する上で重要な役割を果たすデジタルフォレンジック(犯罪の立証のための電磁的記録の解析技術及びその手続)を強化し、適正な手続による客観的証拠の収集の徹底を図っています。」との記載があるほどです。
引用npa.go.jp
警察などの捜査機関であっても、デジタルデータの適切な証拠化が難しいことが多数があります。そのため、サイバー犯罪捜査技術会議の開催やNFTへの職員派遣、民間のフォレンジック調査会社の間で技術向上のための取り組みが行われるほど、フォレンジック調査の需要は高まっています。
デジタルフォレンジックの応用で個人調査も可能
デジタルフォレンジックの技術は警察などの官公庁や法人だけでなく、故人で利用しているデジタル機器の調査にも利用されています。個人での調査利用として多いインシデントは以下のようなものがあります。
- ハッキング調査(スマホ・ハッキング)
- ウイルス感染調査
- サポート詐欺調査
- パスワード解除/デジタル遺品解析
- データ復元 など
このように情報セキュリティに関するインシデントは大企業のみに発生するものではなく、いつ誰に発生してもおかしくないトラブルです。異常が発生した時点ですぐに調査しなければ、個人情報が盗まれたり、SNSアカウントやクレジットカードなどを悪用される危険があります。
フォレンジック調査会社では、個人・法人問わず調査依頼を受け付けている会社が多いので、初めて相談する方も安心してすぐに相談するようにしましょう。
デジタルフォレンジックの種類
デジタルフォレンジックの種類は、大きく以下の3つに分けることができます。
- コンピュータフォレンジック(PC端末のデータやログを調査・解析する技術)
- ファストフォレンジック(デジタル機器やネットワーク全体を調査・解析する技術)
- ネットワークフォレンジック(ネットワークの通信ログやデータを調査・解析する技術)
コンピュータフォレンジック
コンピュータフォレンジックは、デジタル機器(PC・HDD・USBメモリなど)からデータを収集し、解析する技術を指します。
デジタルデバイスのデータやログ(アクセスログ・メールなどの履歴など)を収集・解析し、サイバー犯罪や社内不正の証拠を掴みます。コンピュータフォレンジックについては以下の記事で解説していますので是非参考にしてください。
コンピュータフォレンジックとは? PCやサーバーから証拠を調査する方法を解説>
モバイルフォレンジック
モバイルフォレンジックとは、携帯電話やタブレットなどのモバイルデバイスからデータを収集し、解析する技術を指します。モバイルフォレンジックでは、通信記録や連絡先データを解析することで、サイバー犯罪や社内不正の証拠を掴みます。
モバイルフォレンジックについては以下記事で解説していますので是非参考にしてください。
モバイルフォレンジックとは?メリットや活用事例、価格について徹底解説>
ファストフォレンジック
ファスト・フォレンジックでは、必要最低限のデータ抽出・コピーだけで、社内全体のPCの中から、どのPCに異常が発生し、侵入経路や不正な挙動をとっているのかを調査することが可能です。
ファスト・フォレンジックについては以下記事で説明しているので是非参考にしてください。
ファスト・フォレンジックとは?活用事例やメリット、おすすめ調査会社まで徹底解説>
ネットワークフォレンジック
ネットワークフォレンジックとは、ネットワーク上で発生するセキュリティインシデントや社内不正などに関する証拠を収集し、分析する技術を指します。ネットワーク上で、デジタル機器がいつ、どの経路で、どんなデータを送受信したかなどの情報を収集・解析します。
ネットワークフォレンジックについては以下の記事で詳しく紹介しています。
ネットワークフォレンジックとは?仕組みやメリットデメリット、価格について徹底解説>
調査対象機器・調査期間・発生しているインシデントによって調査する項目や必要な技術が異なります。フォレンジック調査を依頼する時は、必要な調査をしてもらえるか確認する必要があります。
まずは、発生しているインシデントに対応してもらえるか調査会社に相談しましょう。相談~見積まで無料で対応できる業者もあるので、気軽に相談してみることをおすすめします。
デジタル証拠を法的に利用する時に知っておくべきこと
法的な場で証拠として利用するためには条件があります。この条件を満たしていない場合には、調査結果を法的に利用することができない場合があります。
デジタル証拠を法的に利用する時に知っておくべきことは以下のようなものがあります。
- デジタルフォレンジックは個人情報保護法の観点でも重要
- デジタルデータの証拠能力の証明は難しい
- 法的に証拠を利用するために必要な要素
- 調査結果を法的証拠として扱いたい場合は調査会社に相談
デジタルフォレンジックは個人情報保護法の観点でも重要
マルウェア感染や社内不正などで個人情報の漏えい・流出等の危険性がある場合に、デジタルフォレンジックで調査をすることは重要です。
情報漏洩が起きた場合、個人情報保護法に従って、「個人情報保護委員会」への報告と「被害を受ける可能性がある本人」への通知の義務が生じます。
改正個人情報保護法とは
個人情報保護法は2022年4月に改正されました。個人の権利利益の保護を重視し、情報漏えいに対する会社の漏えい時の報告義務が追加されています。情報漏えいに関して改正された主な内容は以下の通りです。
- 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化
- 個人情報保護委員会・被害を受ける可能性への報告義務(速報:発覚日から3~5日以内、確報発覚日から30日以内)
- 課せられる罰金の増大(30万円~50万円→50万円~1億円)
企業の情報漏えいは信頼関係の失墜だけでなく、罰金や業務停止のリスクがあります。発生した際にはすぐに報告を行い、原因や被害状況の調査を依頼しましょう。
デジタルデータの証拠能力の証明は難しい
デジタルデータは、データの改ざんや削除が簡単にできてしまうため、証拠能力の証明をするのが難しいです。
民事裁判では、当事者の自白した内容や顕著な内容以外については、民事訴訟法179条より、証拠の提出によって証明する必要があります。原則として、何を証拠として提出してもよいとする自由心証主義の「証拠方法の無制限」によって、デジタルデータも証拠として扱うことが可能です。
しかし、デジタルデータを証拠として利用する場合には、データが改ざん・削除されていない事実も含めて証明する必要があります。裁判が有利に進むような情報に書き換えたり、自身に不利な情報を隠蔽する疑惑が生じるためです。
デジタルデータを法的証拠として利用するために必要な要素
デジタルデータを法的証拠として利用するためには、以下の要素が必要になります。
- 証拠を含む機器を電源を切らずに保管する
- 証拠保全作業を行う
- 機器を調査して必要な証拠を収集する
- 証拠データと改ざんがないことを証明したレポートを作成して提出
これらの4つの工程において、証拠の改ざん・削除を行っていないことを証明するための作業である、「証拠保全」が重要になります。これはデータの複製を作成するのですが、データの単なるコピーではなく、専用のツールを使用して対象の機器と全く同じクローンを作成する必要があります。
その後、保全したデータを元に調査します。結果として元の機器と複製(クローン)のデータのハッシュ値を比較して、値が同一であることで、改ざんや削除が行われていないことが証明できます。
ハッシュ値とは
ハッシュ値とは、元となるデータから一定の計算手順によって求められた、適当な値のことを指します。値には規則性がなく、一定の長さの数字となっており、同じデータから同じハッシュ値が求められます。元のデータに上書き・消去といった操作が加わりデータが書き換わった場合、ハッシュ値も変化します。
調査結果を法的証拠として扱いたい場合は調査会社に相談
調査結果を法的証拠として扱いたい場合は、基本的に第三者機関のフォレンジック調査会社に相談して調査する必要があります。
フォレンジック調査は報告レポートを作成する際に、法的効力の証明まで含めて作成するため、法廷や公的な調査資料として提出することが可能です。また、当事者に利害関係を持たず、中立的な立場で調査を行うため、裁判でも信頼性の高い資料として認められます。調査結果を法的証拠として扱いたい場合は、フォレンジック調査会社に相談するようにしましょう。
調査会社を選定する際にもどのような基準で判断すればいいのかわからない方のために、対応領域や費用・実績などを踏まえ、編集者がおすすめするフォレンジック調査専門業者を紹介します。今回紹介するのは、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計39,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門会社とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
こちらのデジタルデータフォレンジックは、累積ご相談件数39,000件以上を誇る、対応件数で国内最大級のフォレンジック会社です。データ復元技術を活用した証拠復元から、マルウェア感染・情報漏えい・社内不正といった企業インシデントに対して、幅広くサービス展開しています。
デジタルフォレンジックの活用目的
デジタルフォレンジックの活用目的として以下があります。
- マルウェア・ランサムウェアの感染経路調査
- ハッキング・乗っ取り・不正アクセスの侵入経路調査
- 社内不正(労務問題・データ改ざんなど)の事実調査
- 情報漏えい(情報持ち出し・退職者)調査
- デジタル機器のパスワードや暗号化の解除・解析
- セキュリティの脆弱性診断・対策
マルウェア・ランサムウェアの感染経路調査
デジタルフォレンジックは、マルウェア・ランサムウェアに感染した原因や経路を調査できます。
例えば、「攻撃者が使用した手法」「侵入経路」「脆弱性」「影響を受けたデータやシステム」を正確に把握できます。この調査結果をもとに、再発防止のためのセキュリティ対策も対応できる場合があります。
マルウェア感染に関しては以下の記事でも紹介していますので是非参考にしてください。
マルウェアに感染した?原因究明や被害調査の対応方法を徹底解説>
ハッキング・乗っ取り・不正アクセスの侵入経路調査
デジタルフォレンジックでは、パソコンやスマートフォンなどのデジタル機器への、ハッキング・乗っ取り・不正アクセスの有無や侵入経路を調査できます。
ハッキング・乗っ取り・不正アクセスが発生すると、デジタル機器のID・パスワードや個人情報を覗かれ、データの取得・閲覧・改ざんなどをされる危険性があります。
ハッキング・乗っ取り・不正アクセスについては以下の記事でも紹介して今っすので是非参考にしてください。
ハッキング・不正アクセス調査「フォレンジック」の方法やおすすめ会社について徹底解説>
社内不正(労務問題・データ改ざんなど)の事実調査
フォレンジック調査では、事実をねつ造した不正経理や、背任・業務上横領などを調査できます。
これによって、組織は影響を受けたデータを復元、ないし修復することができます。社用端末には、社内不正を行った証拠が記録されていることも多いです。しかし、社内不正を起こす従業員は、パソコンのアクセスログや、電子メールの送受信履歴などを削除し、証拠隠滅に走る傾向があります。
削除されたデータから確実な証拠を掴みたいという場合は、データ復元も対応可能なフォレンジック調査会社に依頼することが有効です。社内不正については以下の記事でも紹介しています。
情報漏えい(情報持ち出し・退職者)調査
デジタルフォレンジックを使用することで、端末や過去ログの不正なやり取りや、データのコピー履歴を調査することが可能です。
情報漏えいが発覚した時点で、個人情報保護法に従って、会社は「①個人情報保護委員会への報告」と、「②被害を受けた可能性のある人への通知」が義務になります。報告資料作成のため、情報漏えいの有無や被害範囲などを調査する必要があります。
他にも会社は、情報を漏えいした社員に対して損害賠償請求や懲戒解雇を通告するために、決定的な証拠を掴む必要があります。
退職者のPCやスマホの情報持ち出しの対処法とチェック方法を解説>
デジタル機器のパスワードや暗号化の解析・解除
デジタルフォレンジックでは、自力で解除できないデジタル機器のパスワード解除を行っています。このパスワード解除技術は、暗号化されて解除できなくなったデータの暗号化を解除する方法としても利用されます。
他にも、亡くなった方が使用していたデジタル機器に保存されているデジタル遺品の解析にも用いられます。パスワードを解析・解除し、相続のメモ・資産の管理情報・生前の写真や動画などの重要なデータを取り出すことができる可能性があります。
デジタル機器のパスワード解除については以下の記事で紹介していますので、是非参考にしてください。
【Windows7,8,10,11】忘れたパソコンのパスワードを初期化せずに強制解除する方法・裏ワザを解説>
セキュリティの脆弱性診断・対策
インシデントの発生を防止するために、デジタルフォレンジックで社内のセキュリティに問題がないか調査することができます。セキュリティの脆弱性を調査する方法の例として、以下があります。
- 脆弱性診断
- ペネトレーションテスト(ペンテスト) など
特に個人情報や社内の機密情報などの重大な情報を管理している端末やセキュリティシステムを対象として、情報漏えいによる被害の発生を未然に防ぎます。
デジタルフォレンジックの3要素
デジタルフォレンジック調査は「証拠保全」「解析/分析」「報告」の3つのプロセスにより行われます。
証拠保全
証拠保全は、デジタルフォレンジックの最初に行われる工程です。
なぜ、証拠保全が必要かというと、電磁的記録は重要な証拠となり得る一方で、誰でも容易に復製・消去・改変できるからです。もし、調査のためにメディアの中身や数値を書き換えてしまうと、改ざんの嫌疑が生じてしまうため、証拠としての資格(=証拠能力)が失われてしまいます。
そのため、デジタルフォレンジックでは、調査対象のメディアを、保全の前後で全く変化させることなく、専用ツールで複製保存する必要があるのです。
なお、完全な複製が行われたことを確認するためには、オリジナル機器のハッシュ値(ファイルの指紋)を計算し、完全一致させるという非常に高度な作業が行われています。
解析/分析
解析/分析では、精度の高い調査を行い、対象メディアから目的に応じた情報を探し出します。
具体的には、専用のソフトウェアを使用し、各種ログを分析ないし、情報の窃取や攻撃に使用されたマルウェアなどを調査することで、インシデントの原因から被害状況、さらには攻撃者の手口までも割り出します。
なお、証拠隠滅目的でデータが改ざん・削除されている場合は、特殊な技術を用いてデータを復元し、コンピュータの使用者が何をしていたのか特定します。
データの復元
デジタルフォレンジックにおけるデータ復元とは、「データを復旧して証拠や事実調査で利用すること」を指します。フォレンジック調査で調査する不正行為などでは、データの削除や改ざんがされている可能性が高いため、そのままの状態では調査が正確に行えません。法的証拠となりえるデータを収集し、抽出・復元することで、真実を解明するための証拠として利用することが可能になります。通常のデータ復旧では、復旧の過程で証拠能力を失う可能性があるため、フォレンジック技術を用いてデータを復元する必要があります。
報告
最後に、調査で得られた情報(ローデータ)を元に、結果を整理して報告します。
一連の調査で得られる情報そのものは断片的であるため、第三者が理解できるように、解析結果の報告書では情報を点と点でつなげて事象の全容を整理し、読み⼿の理解を促します。
なお、報告書は、裁判の法廷(民事・刑事を問わない)だけでなく、幅広い用途で用いることができ、たとえば企業内や企業間における種々の紛争でも用いられることが可能です。これらのプロセスにのっとって調査可能な会社に相談しましょう。
デジタルフォレンジックに欠かせない要素とメリット
デジタルフォレンジックに欠かせない要素とメリットは次のとおりです。
- 手続きが正当であること
- 解析が正確であること
- 第三者による検証がされること
手続きが正当であること
デジタルフォレンジックでは、法的な要件に厳密に従い、適切な手続きを踏むことによって収集証拠の信頼性を高めます。これにより電子データを法執行機関に適切な「証拠」として提出することが可能となります。
解析が正確であること
デジタルフォレンジックの解析は高い正確性を持つ必要があります。デジタル証拠は複雑であり、解析手法やツールの適切な選択、適用が求められます。デジタルフォレンジックでは正確な解析によって「証拠の信頼性」を明らかにすることができ、インシデントの真相解明や適切な法的措置のための情報を提供できます。
第三者による検証がされること
第三者によるデジタルフォレンジックの検証は、被害者や攻撃者とは関係のない中立な立場にあります。そのため、客観的な視点で証拠や調査結果を評価することができます。第三者の検証により、情報の改ざんやバイアスの影響を受けず、信頼性の高い結論を導くことができます。
デジタルフォレンジックの手法
デジタルフォレンジックを実施する手法は、大きく3つに分かれます。
- フォレンジックツールを利用する
- セキュリティベンダーに相談して調査する
- フォレンジック調査会社に依頼する
フォレンジックツールを利用する
フォレンジックツールを利用して自力で調査する方法があります。目的によって、様々な種類のフォレンジック調査ツールがあるため、もし企業内に導入する場合は、目的に合わせたツールを見極めて導入することが必要です。
しかし、フォレンジック調査ツールは万能ではなく、そのどれもが簡易的なもので、フォレンジックサービスに比べて調査の正確性や信頼度も低いです。確実に調査したい場合は、フォレンジック調査会社に相談して調査してもらうことをおすすめします。
セキュリティベンダーに相談して調査する
セキュリティベンダーに相談してデジタルフォレンジックの調査ができるケースがあります。会社がデジタルフォレンジックをするときに、まずセキュリティベンダーに相談するケースが多いです。
しかし、セキュリティベンダーは調査専門の会社ではないため、調査会社と比較して調査実績やノウハウが乏しいです。そのため、調査はフォレンジック調査会社に外注している会社が多いです。セキュリティベンダーを挟むことで仲介手数料が発生し、直接依頼するより費用が高くなる可能性があります。
結局フォレンジック調査会社に相談するのであれば、直接相談したほうが時間も労力も費用も抑えて調査することができます。
フォレンジック調査会社に依頼する
フォレンジック調査会社はデジタル機器の調査を専門としています。専門資格を持つエンジニアが在籍し、調査目的に合わせて適切な手順で調査します。
また、調査結果を法的証拠として利用可能な報告用レポートとして作成可能なのもフォレンジック調査会社だけです。デジタル機器の調査を依頼するときは、必ずフォレンジック調査会社に相談しましょう。
信頼できるフォレンジック調査会社の選び方
デジタルフォレンジックは、複雑かつ専門的な分野のため、個人ないし格安の業者に依頼すると、情報の取り扱いを誤り、法的な証拠能力が失効してしまうリスクがあります。
これを回避するためにも、経験豊富で技術力のあるデジタルフォレンジック専門家に調査を選ぶことが重要です。信頼できるフォレンジック調査会社を選ぶポイントは次のとおりです。
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している・出張での駆けつけ対応が可能
- 費用形態が明確である・自社内で調査しており、外注費用がかからない
- 法的証拠となる調査報告書を発行できる
- 調査に加え、データ復旧作業にも対応している
- セキュリティ体制が整っている
デジタルフォレンジックのおすすめ調査会社
フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社を紹介します。
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計3.2万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
特長 | ✔官公庁法人・捜査機関への協力を含む、累計39,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載✔警視庁からの表彰など豊富な実績✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※) (※)データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年) |
デジタルフォレンジック調査の費用
デジタルフォレンジック調査の料金は、一般的に数万~数十万円程度の費用がかかることが多いようです。しかし「調査を行う業者」「調査対象の種類」「調査内容の規模」「調査の難易度」などによって料金はまちまちであるため、まずは信頼できるフォレンジック業者に相談して、見積りをとりましょう。
フォレンジック調査の費用については以下の記事でも詳細に説明していますので、ぜひ参考にしてください。
デジタルフォレンジック依頼前の注意点
デジタルフォレンジック依頼前の注意点は次のとおりです。
- 自力で操作するのはNG
- 機器の電源は切らない
- 不審なファイルでも削除しない
自力で操作するのはNG
デジタルフォレンジックを完遂させるためには、元のデータに手を加えないことが大切です。
インシデント発生後、証拠に必要なデータを操作すると、証拠を損傷する可能性があります。たとえば上書きしてしまったり、アクセス日付を更新してしまったりすると、正しい保全が行われず、フォレンジック業者が証拠保全を行うまでの間に、証拠能力がなくなってしまうことがあります。
インシデントが発生した後は、該当コンピュータが「フォレンジックの対象となっている」ことを周知し、不用意にシステムに触らせない意識を持たせることが重要です。
機器の電源は切らない
デジタルフォレンジックの調査を依頼する場合には、機器の電源は切らないで、スリープモード状態で管理するようにしてください。機器の電源を落としてしまうと、データの保存領域におけるRAMなどに保存されているデータが完全に削除されてしまい、証拠保全が十分に行われない可能性があります。また、ネットワークからは遮断し、他の機器とは隔離した状態にしましょう。
不審なファイルでも削除しない
不審なファイルやフォルダをフォレンジック調査対象のメディアから発見した場合、攻撃者が残した重要な証拠となることがあります。そのため、不審なファイルであろうとも、不用意に削除するのではなく、まずはバックアップを取るなどして、データを復元できる状態にしておきましょう。調査前に機器を操作するのはなるべく避け、早急に調査業者に依頼することが一番確実です。
フォレンジック技術を活用した国内の調査事例を紹介
ここでは、国内で過去にフォレンジック技術を利用して情報収集を行い、解決した調査事例を紹介します。
- 力士八百長事件の調査
- 大阪地検特捜部主任検事証拠改ざん事件調査
- パソコン遠隔操作誤認逮捕調査
- 徳洲会グループ公職選挙法違反調査
- ディオバン事件(論文データ改ざん事件)調査
力士八百長事件の調査
2010年に、相撲業界で、現役力士・親方ともに関与している、暴力団を胴元とする野球賭博問題が話題となりました。それがきっかけで、翌年2011年に「大相撲の八百長事件」が発覚した。押収した携帯電話をモバイルフォレンジック技術を用いて調査したところ、携帯電話のメールやLINE上のメッセージから八百長関与の証拠を収集することに成功しました。
参考時事ドットコム
大阪地検特捜部主任検事証拠改ざん事件調査
障害者団体向けの郵便料金の割引制度に関する調査について、障害者団体や厚生労働省などが調査対象となり、厚生労働省元局長らが逮捕・起訴された事件が始まりとなりました。証拠物件であるフロッピーディスクの内容が改ざんされている疑いが発覚し、フォレンジック調査を行ったところ、改ざんされた証拠が発見された。これによって主任検事が証拠隠滅罪で逮捕されました。更新日時の変更は、タイムスタンプ変更用のツールを利用して行われていました。
参考NHK
パソコン遠隔操作誤認逮捕調査
2012年に、インターネットの掲示板に対して他人のPCからアクセスし、犯罪予告を行いました。犯罪予告を送付していた端末の所有者である四名は逮捕されました。しかし、機器をフォレンジックの技術を用いて調査したところ、機器の内部でトロイの木馬やマルウェアが海外サーバーの指示で犯罪予告を送っていたことが発覚しました。犯人は別のPCから海外サーバーにアクセスし、犯行指示を送っていた人物だと発覚し、デバイスの持ち主である4人については誤認逮捕であったことを発表しました。
参考日経XTECH
徳洲会グループ公職選挙法違反調査
2012年12月の衆議院議員総選挙が開かれました。鹿児島2区選出の徳田毅衆院議員陣営は、医療法人徳洲会グループの病院職員に選挙運動をさせる目的で報酬を支払っていたとして、公職選挙法違反の容疑で逮捕されました。家宅捜索からパソコンや書類等を押収し、フォレンジックで調査を行ったところ、消去された裏金明細書データや現金配布先の情報が記された資料などが復元されました。これらは重要な証拠として利用されました。
参考日経新聞
ディオバン事件(論文データ改ざん事件)調査
2014年 6月に、降圧剤バルサルタン(商品名ディオバン)の医師主導臨床試験の論文データを改ざんした疑いで、京都府立医科大学の元社員が逮捕されました。被疑者が所持していたUSB メモリーの調査を行ったところ、論文に記載されていた45症例が水増しされていたことが発覚しました。事件としては、捏造は事実だとしても、論文の結論は変わらないこと、論文掲載は虚偽広告の「準備行為」にとどまると判断され、被告は無罪となりました。
参考日本医師会
デジタルフォレンジック調査する時に必要な知識
ここでは、デジタルフォレンジック調査をする上で必要な知識を紹介します。デジタルフォレンジック調査では、専門機器やノウハウを利用して、より正確な手順で調査を行う必要があります。その中で、以下のような知識に裏付けた調査結果を収集・解析することが重要になります。
- コンピュータやネットワークの知識
- デジタル・情報取り扱い関連の法律知識
- セキュリティに関する知識
コンピュータやネットワークの知識
フォレンジック調査を行う時には、コンピュータやネットワークなどの仕組みや関連性に関する知識が必要不可欠になります。主に以下のような知識が必須となりますので、これらの調査が可能なエンジニアが所属する調査会社に依頼する必要があります。
- PCのデータ・ログの調査・解析に関する知識
- サイバーインシデントに関する知識
- 証拠保全に関する知識
- データの復元に関する知識
- その他コンピュータやネットワークに関する基本・応用知識
一般的な探偵事務所などでは、これらのコンピュータやネットワークに関する知識がなく、調査結果が正確に収集・解析できない可能性があります。デジタル機器の調査を依頼する際には、専門性の高いフォレンジック調査会社に依頼する必要があります。
デジタル・情報取り扱い関連の法律知識
フォレンジック調査を行う時には、調査期間や調査内容、調査手法が法律上問題ないかの判断が必要になります。以下のような法律に順守した内容で調査が可能な調査会社に依頼するようにしましょう。
- 調査対象がプライバシー上問題ない機器か(基本的人権の尊重・プライバシー侵害など)
- 調査結果に法的有効性があるか(民事訴訟法など)
- 法律に定められた対応ができているか(個人情報保護法の報告義務など)
これらの法律知識がないまま調査・依頼をした場合、調査できたとしても法律が順守できておらず、罰則や罰金などが発生する可能性があります。
セキュリティに関する知識
セキュリティに関する知識がなければ、調査結果から対策をすることができず、同じインシデントが再発する可能性があります。以下のような知識を持ち合わせている調査会社に相談しましょう。
- セキュリティ対策の知識(セキュリティソフト・サービスなど)
- サイバー攻撃の攻撃手口や流行に関する知識
- セキュリティの脆弱性に関する知識
フォレンジック調査は調査するだけでなく、インシデントの発生原因から今後の対策を実施するところまでが重要です。フォレンジック調査会社の中には、セキュリティの脆弱性を診断してもらえるサービスから、セキュリティ対策を提案してもらえるような良心的な会社もあるようです。
このような知識を持ち合わせている調査会社に相談するのが一番確実に調査を行う方法です。調査会社を選ぶときには、これらの観点で選ぶようにしましょう。
よくある質問
ここではよくある質問を紹介します。
- デジタルフォレンジックには限界がある?
- デジタルフォレンジックは義務化する可能性がある?
- フォレンジック調査会社の一覧は?
デジタルフォレンジックには限界がある?
- 調査会社によって調査できるインシデントに差がある
- 初期化されたデータを復元できない可能性が高い
- 最新機器が調査できるようになるまで時間がかかるケースがある
調査会社によって調査できるインシデントに差がある
デジタルフォレンジックで扱える技術や設備は、調査会社の調査実績や経験値に左右されます。同じインシデントでも調査会社によって、調査できる場合とできない場合があります。
まずは実績が豊富で、無料で相談から見積もりまで受け付けているフォレンジック調査会社に相談して、インシデントに対応可能か確認しましょう。
初期化されたデータを復元できない可能性が高い
初期化されたデータは、削除されたデータとは異なり、内部的なログも削除されてしまうため、デジタルフォレンジックを利用しても復元することが難しいです。同じように、何度も上書きされたデータも復元することが難しい場合があります。
調査できるかどうかは業者に相談してみなければ判断が難しいです。まずはフォレンジック調査会社に相談することをおすすめします。
最新機器が調査できるようになるまで時間がかかるケースがある
デジタルフォレンジックは機器を解析するのに知識やツールが必要になります。調査するためには、最新の機器を解析できるツールや、エンジニアの経験値が必要になります。
調査会社によっては積極的に技術開発を行っている業者もあるため、調査可能か相談してみることをおすすめします。
フォレンジック調査会社の一覧は?
フォレンジック調査会社は国内に30社以上存在します。フォレンジック調査会社の一覧は以下の記事で解説しています。
まとめ
ハイテク犯罪の解決にデジタルフォレンジックが活躍していることがお分かりいただけたかと思います。実際に犯罪が起きてから、容疑者特定のための証拠として使えるだけでなく、デジタルフォレンジックを導入すること自体が、ハイテク犯罪の抑止力にもなります。
デジタルフォレンジックを実施している企業は様々です。自社に取り入れる際には、しっかりとしたヒアリングと提案をしてくれる企業を選びましょう。