ネットワーク内を流れるパケットデータをキャプチャし、中からインシデントの原因、被害状況、不正行為を解明する「ネットワークフォレンジック」。
日本ではまだまだ聞き慣れない用語ですが、「不正侵入の経路」「漏えいの疑われるデータ」「悪意あるユーザーが利用した脆弱性」などを迅速に特定することができることから注目を集めています。
この記事では、ネットワークフォレンジック調査の概要、メリット、フォレンジック企業の選び方、調査の活用事例について解説しています。ぜひ参考にしてください。
目次
ネットワークフォレンジックとは
個人情報の漏えい・データ持ち出しなどインシデントが疑われる場合や、セキュリティの脆弱性を特定する場合においては「デジタルフォレンジック」という手法を活用する必要があります。
デジタルフォレンジックとは、デジタル機器やネットワーク上に残されたデータを解析して「いつ」「誰が」「どこへ」「どのように」「どのような」情報をやり取りしていたのかを特定し、インシデントの原因や経緯を解明する調査手法です。
特にネットワーク上でやり取りされる情報から、メールやデータの送受信、サイト閲覧履歴などを取得し、不正行為や不正アクセスの証拠を確保する調査手法を「ネットワークフォレンジック」と呼び、この手法を用いることで、サイバー攻撃の被害状況確認や、情報漏えいの経路などの究明を迅速に行うことができます。
ネットワークフォレンジックは、なぜ必要なのか
ネットワークフォレンジックは、サイバー攻撃やインシデントの被害を最小限に抑えるために不可欠です。
従来のセキュリティ対策は、サイバー攻撃を未然に防ぐことを目的としていましたが、近年のサイバー攻撃は巧妙化しており、完全な防御は困難です。そのため、サイバー攻撃が発生した後でも、被害を最小限に抑えるために、ネットワークフォレンジックが重要視されるようになりました。
例えば、セキュリティ上のインシデントが発生した場合、ネットワークフォレンジックを行うことで、侵入経路を特定し、漏えいしたデータの詳細を含めた被害実態を把握することができます。また、これにより再発防止策を講じることも可能です。
注意しておきたいことは、自力で調査しようとして不用意な操作を行うと、重要なデータを上書きしてしまう恐れがあることです。一方、ネットワークフォレンジックでは適切な証拠保全を施すことで、不用意な操作による証拠の破壊を防ぐことができます。
ネットワークフォレンジックで調査できる内容
ネットワークフォレンジックで調査できるのは以下のようなインシデントとなります。
ネットワークフォレンジックで調査できる内容
- ハッキング・不正アクセス
- マルウェア感染(ランサムウェア・Emotetなど)
- フィッシング詐欺
- 情報漏えい
- 社内不正
以上のインシデントなどが発生した場合、ネットワークトラフィックなどを解析することで、マルウェアなどの通信先や侵入経路、社員のアクセス履歴などネットワーク上のデータを証拠として収集する場合があります。実際のフォレンジック調査では、調査目的や調査内容に応じて更に別の端末やデータの調査も行い、被害の全容の把握を行うこともあります。
フォレンジック調査についてより詳しく知りたい方は以下の記事を参考にしてください。
インシデント発生時、初期化やバックアップからの復旧だけでは不十分
マルウェアやランサムウェア感染などが発生した場合、迅速なシステムの復旧が望まれますが、感染経路や被害状況を特定せず、初期化やバックアップからの復旧だけでは不十分です。
理由としては、攻撃者が利用した脆弱性や侵入経路が特定されず、適切な対策が講じられない場合、再び攻撃を受けるリスクがあるからです。加えて、マルウェアなどの種類によってはバックアップファイルに感染するものもあるため、初期化でマルウェアを除去してもシステム復旧後に再感染する恐れもあります。
インシデント発生時、企業は再発防止に努めるためにも被害範囲や影響を調査・報告し、フォレンジック調査の専門家と提携することをおすすめします。
ネットワークフォレンジックが必要な理由・メリット
ネットワークフォレンジックは、インシデント対応において以下のメリットをもたらします。
- インシデント発生時、被害を最小限に抑えるため
- 侵入経路やセキュリティホールを把握するため
- 内部不正の抑制につながるため
- コンプライアンス対応ができるため
- 企業・組織は個人情報の漏えい等が発生した場合、専門的な調査が必要になるため
ここではその理由を詳しく説明します。
インシデント発生時、被害を最小限に抑えることができる
ネットワークフォレンジックでは、トラフィックを詳細に監視し、異常なアクティビティや攻撃を検出することで、脆弱性のあるサーバーやアプリケーション、未更新のソフトウェア、脆弱なパスワードなど、攻撃の発生箇所を特定します。その結果、脆弱性に適切な対応が行えるようになり、被害が広がるのを防ぐことにつながります。
侵入経路やセキュリティホールを把握するため
ネットワークフォレンジックは、攻撃の手法やパターンを分析し、攻撃者の行動を理解するのに役立ちます。
例えば、攻撃者が脆弱性を利用して侵入した可能性がある場合、ネットワークフォレンジックでログファイルを分析し、不正な挙動を特定することで、侵入の手法を特定します。調査対象のログには攻撃者が行った操作や、ログイン試行回数などが記録されているため、このような情報を調査することで侵入手口を具体的に理解し、脆弱性を修正する措置を講じることができます。
内部不正の抑制につながるため
横領や情報持ち出しといった不正行為もネットワークフォレンジックの技術で調査することが可能です。社内端末のアクセスログやネットワークトラフィックなどを確認し、特定の社員による不正な活動を検出します。インシデント発生前より、社内不正が発覚した際は調査を行うことを事前に社員共有しておくことで。内部不正の抑制につながります。
コンプライアンス対応ができるため
データ漏えいやサイバー攻撃が発生した場合、企業はコンプライアンスを遵守するために、事実関係を調査する必要があります。
そこで活用できるのが、フォレンジック調査会社が作成する報告書です。
フォレンジック調査会社が作成した報告書は、第三者機関によって正確な調査が行われていること証明できます。また、これはデータの改ざんや削除がないことを客観的に確認できる証拠となり、法的に正しい手続きを踏んだ報告資料として、警察や裁判所など法執行機関、あるいは行政機関や第三者委員会などにも提出することが可能です。
企業・組織は個人情報の漏えい等が発生した場合、専門的な調査が必要になるため
法人は個人情報(氏名・住所・電話番号・生年月日・メールアドレス・クレジットカード番号・パスワードなど)の取り扱いに関して厳格な管理を求められています。
2022年に施行された「改正個人情報保護法」では、下記に当てはまる個人情報が漏えいした場合、個人情報保護委員会への報告・本人への通知が義務づけられました。
- 不正アクセスが疑われる情報漏えいのおそれがある場合
- 1,000人以上の個人情報が流出する(した)おそれがある場合
- 要配慮個人情報(疾病歴や健康診断結果など)が1件でも漏えいした場合
また不適切な個人情報の取り扱いに対する罰金は、最高1億円へ引き上げられました。
要するに、企業の情報漏えいは信用の失墜だけでなく、金銭的なペナルティや業務停止のリスクがあるため、インシデントが発生した際にはすぐに個人情報保護員会まで報告を行うことが義務化されました。
情報漏えい調査を行う際に自社で端末の調査を行うと、必要な調査が行えない可能性があるため、情報漏えいを調査する際は、専門の調査会社に調査を依頼するようにしましょう。調査会社ではサービスの一環として、調査結果をレポートにまとめているところもあります。このようにしてまとめられたレポートは個人情報保護委員会や警察などの公的機関に証拠として提出可能です。
マルウェア・ランサムウェア感染や情報漏えいにはフォレンジック調査がおすすめ
情報漏えいが発生した場合、個人情報保護委員会への報告が必要です。しかし、デジタルデータは改ざんや削除が容易なため、一般的な方法では証拠として機能しません。
このような場合、ネットワークフォレンジックが有効です。
ネットワークフォレンジックでは、データの改ざんや削除がないことを証明したうえで、端末やネットワークのログ、電子メールの内容、マルウェアの感染経路、不正アクセスの形跡などの情報を収集・解析することができます。
サイバー攻撃や社内不正などの被害を受けた場合は、事態を正確に把握するために、高いデータ復旧技術を兼ね備えたフォレンジック調査会社に速やかに相談しましょう。
国内に50社以上存在する調査会社の中から厳選した、おすすめランキング1位の調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門会社とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
デジタルデータフォレンジックは、累積ご相談件数32,000件以上を誇る、対応件数では国内最大級のフォレンジック会社です。マルウェア感染・情報漏洩・社内不正から、データ復元技術を活用したデータのサルベージまで幅広くサービスを展開しています。
ネットワークフォレンジックの活用事例
ここではネットワークフォレンジックの活用事例についてご紹介します。
- 情報漏えいやマルウェア感染の経路
- 社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡
- 電子メールの送受信やWEBの閲覧などのインターネット通信の履歴
- ファイアウォールなどに記録されているセキュリティログの確認
情報漏えいやマルウェア感染の経路
ネットワークフォレンジックは、情報漏えいやマルウェア感染の原因を特定するために活用されます。
例えば、不正アクセスによって機密情報が外部に流出した場合、不正アクセスの経路や、機密情報の流出経路を特定することができます。
社内サーバー・ネットワークへのハッキング・不正アクセスの痕跡
ネットワークフォレンジックは、社内サーバーやネットワークへのハッキングや不正アクセスの痕跡を調査するためにも活用されます。
例えば、不正アクセスによってサーバーに侵入された場合、ネットワークフォレンジックによって、攻撃者が行った操作や、侵入に使用したツールなどの痕跡を特定することができます。
電子メールの送受信やWEBの閲覧などのインターネット通信の履歴
ネットワークフォレンジックは、電子メールの送受信やWEBの閲覧などのインターネット通信の履歴を調査するためにも活用されます。
例えば、従業員が社内情報を不正に持ち出した疑いがある場合、ネットワークフォレンジックによって、外部サーバーやドメインとの通信、従業員の電子メール、WEB閲覧履歴を調査することで、不正行為の証拠を収集・保全することができます。
ファイアウォールなどに記録されているセキュリティログの確認
ネットワークフォレンジックは、ファイアウォールなどに記録されているセキュリティログの確認にも活用されます。例えば、DDoS攻撃を受けた場合、ネットワークフォレンジックによって、DDoS攻撃の発生時刻や対象、攻撃元などの情報を特定することができます。
このように、ネットワークフォレンジックは、情報セキュリティインシデントの調査や、内部不正の防止など、さまざまな場面で活用されています。
ネットワークフォレンジックの流れ
ネットワークフォレンジックの流れは、以下の5つのステップに分けられます。
- データ収集
- データ保存
- データ分析
- マルウェア分析
- 調査報告書の作成
1. データ収集
まずは、ネットワーク上で発生したイベントや通信データを収集します。収集するデータには、以下のようなものがあります。
- パケットキャプチャデータ:ネットワーク上でやり取りされたパケットのデータ
- ログデータ:ネットワーク機器やアプリケーションが記録したログデータ
- システム構成データ:ネットワークの構成情報や設定データ
2. データ保存
収集したデータは、改ざんや消去を防ぐために、適切な方法で保存します。データの保存方法には、以下のようなものがあります。
- 暗号化:データの改ざんや盗難を防止するために、データを暗号化して保存する
- タイムスタンプ:データの取得時刻を記録して、データの信頼性を高める
- 整合性チェック:データの整合性をチェックすることで、データの改ざんを検出する
3. データ分析
保存したデータを分析して、セキュリティインシデントの原因や被害状況を解明します。分析には、以下の手法が用いられます。
- パケット解析:パケットキャプチャデータから、ネットワーク上で発生した通信を分析する
- ログ解析:ログデータから、セキュリティインシデントの発生時刻や原因を分析する
- システム構成解析:システム構成データから、ネットワークの脆弱性を分析する
4. マルウェア分析
セキュリティインシデントの原因がマルウェアである場合、マルウェアを分析して、マルウェアの特徴や動作を解明します。マルウェア分析には、以下の手法が用いられます。
- 静的解析:マルウェアのソースコードやバイナリコードを解析する
- 動的解析:マルウェアを実行させて、その動作を解析する
5. 調査報告書の作成
調査結果をまとめた調査報告書を作成します。調査報告書には、以下の内容が記載されます。
- インシデント概要
- インシデントの原因
- インシデントの被害状況
- インシデントの対策
ネットワークフォレンジックにかかる期間
ネットワークフォレンジックにかかる期間は、一般的に数日から数週間程度ですが、調査機器の台数、インシデントの規模、そしてデジタルフォレンジックを行うエンジニアの技術力や経験などによって大きく異なります。
特に大規模な調査や複雑な調査の場合は、調査にかかる時間が1か月以上かかる可能性もあります。企業内のインシデントなど調査結果の公表期限が決まっている場合は、適切な時間内に調査を終了し、必要な文書や証拠を提出できるよう、専門の調査会社と早めに連携をとりましょう。
ネットワークフォレンジックの方法
ネットワークフォレンジックを行うには、大きく分けて2つの方法があります。
- ツールを購入する
- フォレンジック業者に依頼する
ツールを購入する
ネットワークフォレンジックを自社内で行うにはパケットキャプチャを行う専用機器が必要です。
機器の価格は、CPUの性能やキャプチャ可能な通信回線の速度、データを保存するためのストレージ容量などによって異なります。なお、専用の機器を販売している企業はいくつかありますが、実際にネットワークフォレンジックを行うための機器としては、数百万円程度の価格のものが多く、素人では扱えないため、自社のみでネットワークフォレンジックを行うのは、現実的ではありません。
フォレンジック業者に依頼する
ネットワークフォレンジックを効率的かつ正確に行う方法として、高度なリテラシー技術と豊富な経験を持つ「フォレンジック専門業者」に依頼することがおすすめです。
フォレンジック専門業者に依頼することには、以下のようなメリットがあります。
- 専門的な知識と技術を駆使して、迅速かつ正確に調査を実施できる
- それぞれのシチュエーションに見合った適切な対応をとることができる
- 法的な証拠を適切に保全することができる
例えば、ある企業ではランサムウェアに感染した際、フォレンジック専門業者に依頼することで、以下の対応をとることができます。
- 迅速かつ正確な初動対応のアドバイスをもらい、被害拡大の防止に役立てられる
- ランサムウェアの種類や侵入経路を特定する
- 感染した機器から情報漏えいの有無を特定する
フォレンジック専門業者に依頼することで、インシデントの原因を早期に特定し、被害を最小限に抑えることができます。
また、ネットワークフォレンジック以外にも、特定の端末を詳細に調査するコンピュータフォレンジック、短時間で適切かつ迅速な初動対応が行えるファストフォレンジックを行うことも、非常に有効な手段です。
正式な報告書作成のためにはフォレンジック調査会社への依頼を推奨
個人情報の漏えいが発覚した場合、詳細な調査報告書の作成が必要となります。
しかし、自社調査は証拠能力不十分の可能性があるため、第三者機関の協力が重要です。
この場合、フォレンジック調査の専門会社(第三者機関)に調査を依頼することで、エンジニアが証拠を収集し、法的にも証拠能力を持つ報告書を得ることができます。またフォレンジック調査会社の調査結果は法的にも認められた証拠力を持ち、法的機関へのインシデント報告はもちろん、訴訟や紛争解決に重要な役割を果たします。
ただし、会社によって調査能力やスピード、料金に差があり、対応範囲も異なります。
情報漏えいの発覚時には、技術力のあるフォレンジック調査会社に調査を依頼し、信頼性の高い結果を得ることが重要です。
ネットワークフォレンジックにかかる費用・相場
フォレンジック調査にかかる費用は、一般的に、機器1台につき数十万円から数百万円程度が相場とされています。
ただし、調査目的や調査端末の台数によって必要なフォレンジック調査の内容は変化します。
フォレンジック調査を検討する場合は、まずは信頼性のあるフォレンジック調査会社に相談し、詳細な見積もりを取ることが非常に重要です。調査の範囲や必要なサービスに応じて、費用がどの程度になるのかを明確に把握し、予算を立てることがマストとなります。
信頼できるフォレンジック調査専門会社を選ぶポイント
フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計3.2万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
特長 | ✔官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
ネットワークフォレンジック以外のフォレンジック調査の種類
フォレンジック調査にはネットワークフォレンジック以外の種類も存在します。
- コンピューターフォレンジック
- モバイルフォレンジック
- クラウドフォレンジック
- メモリーフォレンジック
- ファストフォレンジック
コンピューターフォレンジック
コンピュータフォレンジックとは、PC・ハードディスク・メモリなどの機器からデジタル情報を特定・保存・復元・分析し、不正操作の証明や被害全容を特定する技術のことです。
コンピュータフォレンジックは、さまざまなコンピュータ犯罪の捜査に活用されているほか、裁判・訴訟においても信頼できる技術として広く受け入れられています。
デジタル機器から証拠となる既存データを抽出するのはもちろん、場合によっては意図的に削除されたデータの復元を行うなどして、そのコンピュータで不正な操作が行われていたかについて証明します。
モバイルフォレンジック
スマートフォン、携帯電話(ガラケー)モバイル端末に特化したフォレンジック調査は「モバイルフォレンジック」と呼ばれます。
モバイルフォレンジックでは「通話履歴やメール履歴」「アプリのインストール履歴」「アクセスログの解析」などを行い、場合によっては「削除されたデータの復元」なども行います。
なお、モバイル端末はパソコンと構造が大きく異なり、その上、OSの更新も早いため、解析には高度な技術力が必要不可欠です。
クラウドフォレンジック
クラウドフォレンジックとは、クラウドコンピューティング環境で発生するサイバー犯罪や不正行為の証拠を収集、分析するための手法です。クラウド環境のアクセスログやネットワークトラフィックなどを調査して、インシデントの証拠収集と証拠保全を行います。
従来のフォレンジック調査と異なり、過去のログの保存について取り決めが必要であったり、データが海外に保存されているなどインシデント発生前からフォレンジックができる環境を整える必要があります。
メモリーフォレンジック
コンピュータ・フォレンジックでも、メモリーに特化したフォレンジック調査は「メモリーフォレンジック」と呼ばれます。この調査では、マルウェアなどの侵入経路や侵入後のプロセスなど、被害の実態がわかりやすくなります。
一方で、メインメモリーなどの揮発性(通電しなければデータを保存しておくことができない)のメモリを調査したい場合、不適切な保全方法を行った場合は、記憶媒体にはデータが残らず、調査が困難になるため、以下の記事に注意点など詳しく解説しています。
ファストフォレンジック
ファスト・フォレンジックとは、名前の通り「短時間で適切かつ迅速な初動対応」が行えるフォレンジック技術です。データ量や台数が多い社内の端末の中から、どの端末に異常が発生し、侵入経路や不正な挙動をとっているのかを調査し、一般的なデジタルフォレンジック調査よりも迅速に証拠を確保できる性質があります。
ファスト・フォレンジックについては以下のページで詳しく紹介しています。
まとめ
ネットワークフォレンジックは、社内不正やサイバー攻撃の実態を把握するのに効果的な調査方法です。しかし、単にアクセスログやネットワークログを調べればよいというわけではなく、外部に報告する際は、調査の客観性が求められます。調査の一環である証拠保全を自社内で行うと、ログの改ざんがないことを客観的に証明することが困難です。インシデントが発生した際にネットワークフォレンジックを行うのであれば、外部の調査会社と連携して対応することをおすすめします。