
※この記事は2023年9月に更新されています。
不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタル化が進むなかで、ITやセキュリティの重要性は年々高まっており、その需要は年々増加しています。
- 「フォレンジックサービスで具体的に何ができる?」
- 「技術力・セキュリティレベルが高く、安心して依頼できる調査会社は?」
- 「マルウェア・ランサムウェア感染が発生し、緊急で対応してもらえる企業が知りたい」
- 「フォレンジックサービスを使って社内不正調査をする際の具体的な流れは?」
このような疑問を解決すべく、フォレンジック調査の概要、メリットやフォレンジック企業選びのポイント、調査の活用事例や費用まで徹底解説いたします。
フォレンジックとは?
「デジタル・フォレンジック(フォレンジクス)」とは、発生したデジタルインシデントに対し、PC・HDD・スマホといったデジタル機器、もしくはネットワーク上のデジタルデータから、不正行為の事実確認を行ったり、サイバー攻撃の被害状況を割り出したりする調査手法です。
個人情報の流出などが問題視されている昨今、情報の流出が疑われる場合や、セキュリティの脆弱性を探る際に「フォレンジック調査」を行う必要があります。
- 証拠隠滅されたデータを復元して不正の証拠を確認したい
- 横領・文書改ざん・秘密情報の流出などの証拠をつかみたい
- 不正アクセス・マルウェア感染などによる情報漏えいの有無を確認したい
- マルウェア・ランサムウェアの感染経路を調査したい
- セキュリティ上の脆弱性やリスクを確認したい
こういった目的に対して、機器上のデータやログを分析し、証拠となるデータを特定するのがフォレンジック調査です。
警察等の捜査機関でも活用される技術
フォレンジック (forensic) は「法廷の」という意味を持ちます。フォレンジック調査を行うと、単なる事実確認だけでなく、法執行機関における公的な調査資料としても活用することができます。またフォレンジックは日本の警察でも「犯罪の立証のための電磁的記録の解析技術、およびその手続き」として積極的に活用されています。
フォレンジック調査は、裁判上の証拠保全に限らず、マルウェア感染調査や、不正アクセスによる顧客情報流出の事後調査など、さまざまな場面で、法人・個人を問わず、広く活用されています。以下はフォレンジック調査の調査事例です。
- サイバー攻撃
- マルウェア感染(トロイの木馬、エモテット感染)
- ランサムウェア感染
- 不正アクセス・ハッキングによる情報漏えい被害
- パスワード解除(デジタル遺品)
- 労務訴訟・労働争議(職務怠慢・残業代・ハラスメント)
- 社内不正・横領
- データの人為的な持ち出し・ダークウェブ上への流出
対応実績23,000件以上!多様なインシデントに対応しているフォレンジック調査会社はこちら >>
フォレンジック調査が義務づけられるケース
フォレンジック調査は、デジタルデータを介した様々なインシデントの調査において非常に有効です。
特に、法人は情報の取り扱いに関して厳格な管理を求められており、2022年に「改正個人情報保護法」が施行されたことで、万が一個人情報の漏えいが発生した場合には、個人情報保護委員会への報告・本人への通知が義務づけられました。
適切な対応を行わない企業には、最大で1億円の罰金と社名公開という重いペナルティが課せられることになり、フォレンジック調査の必要性も高まっています。
マルウェア・ランサムウェアなどに感染、不正アクセス、サイバー攻撃を受けた疑いがある場合は、感染経路や影響範囲を特定するために信頼できる調査機関でのフォレンジック調査を行いましょう。
フォレンジック調査会社の選び方
信頼できるフォレンジック調査会社を選ぶポイントは以下の通りです。
信頼できるフォレンジック調査専門会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
官公庁・捜査機関・大手法人からの調査実績がある会社は、大切なデジタル機器を預ける上で技術面でもセキュリティ面でも信頼できます。また、フォレンジック調査が必要なインシデントは、できるだけ早い調査が必要なケースが多いため、即日機器を送付して調査可能な会社や24時間365日相談可能な会社に調査依頼することが望ましいです。フォレンジック調査会社によっては調査対応できるインシデントが限られている・セキュリティが信用できない会社もあるので、HPをよく確認してから相談することが重要です。
中には無料で相談を受け付けているような優良な会社もあるようなので、まずは実績が豊富で信頼できる会社に相談しましょう。今回は、上記の6つのポイントから厳選したおすすめランキング1位のフォレンジック調査会社を紹介します。今回紹介する調査会社は、デジタルデータフォレンジックです。
【相談無料】累積相談件数が豊富な調査会社:デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計23,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門会社とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
デジタルデータフォレンジックは、累積ご相談件数23,000件以上を誇る、対応件数では国内最大級のフォレンジック会社です。マルウェア感染・情報漏洩・社内不正から、データ復元技術を活用したデータのサルベージまで幅広くサービスを展開しています。
フォレンジック調査を利用するケース
フォレンジック調査では、機器に発生しているインシデントによって、調査方法や収集する情報が異なります。ここでは、フォレンジック調査を利用する主なケースを紹介します。
- マルウェア感染・情報漏えい調査
- ランサムウェアの感染経路調査
- ハッキング・乗っ取り・不正アクセス調査
- ダークウェブ調査
- OSINT調査
- ペネトレーションテスト(ペンテスト)
- 脆弱性診断
- 社内の不正
- 労務訴訟・労働争議(残業代・ハラスメント)
- 遺産相続トラブル
- 知的財産の窃盗調査
- eディスカバリ(e-discovery)
調査会社によって、調査対象のインシデントは様々ですので、そもそも調査対応してもらえるかどうかを確認する必要があります。これらのインシデントに対応可能なおすすめ会社は、以下で紹介しています。
マルウェア感染・情報漏えい調査
マルウェア感染や、それによる情報漏えい被害に遭った場合、社内の情報が漏えいしているか、またはネットワーク上に侵入経路が設置されている恐れがあります。
そのため、個人情報を取り扱う事会社は、被害全容を早急に把握し、行政機関や関係各所への報告書を提出する「義務」があります。もちろん、これは再発防止も含めての対応となります。
しかし、個人での被害調査には限界があります。マルウェアによる被害全容を正確に把握したいという方は、マルウェアの感染調査に対応しているフォレンジック調査会社まで相談しましょう。フォレンジック調査会社では以下のような項目が調査可能です。
- 情報漏えいなどの被害状況
- ウイルス感染による不正アクセスの有無
- いつ、どのような経路で不正アクセスされたのか
なお、近年では、Emotetの感染被害も急増しており、フォレンジック調査の利用機会も増えていますが、中には技術力が乏しいフォレンジック調査会社も存在します。調査会社を選定する際は、相談から見積りまで無料で対応しているため、個人での対処が難しい場合は専門会社に相談してみましょう。中には最短当日での調査も対応している調査会社もあります。
ランサムウェアの感染経路調査
「ランサムウェア」に感染すると、データが暗号化され、身代金を要求されます。また近年は、ネットワークにつながっている別の端末・サーバも被害を受ける傾向があり、この場合、膨大な情報が攻撃者に抜き取られてしまいます。
ランサムウェアに感染すると、機関システムが利用できない場合の業務停止による損失・顧客や取引先からの信用の失墜・窃取されたデータをダークウェブ上で販売される二重攻撃の被害の可能性もあり、非常に危険です。
端末を初期化・バックアップからデータを復元して乗り切ろうとする企業もあるようですが、被害の全容を特定していない状態で端末の初期化を行うと、感染した範囲・経路が不明瞭なため、初期化後に再度、別の機器に潜伏していた機器から感染することも考えられます。
専門会社で実施しているフォレンジック調査では、ランサムウェアの感染経路・脆弱性の特定はもちろん、漏えいした範囲、さらには関係各所への被害報告書の作成・再発防止の提案が可能ですので、ぜひ相談してください。
ハッキング・乗っ取り・不正アクセス調査
フォレンジック調査では、パソコンやスマートフォンなどのデジタル機器に向けたハッキング・乗っ取り・不正アクセスの有無を調査することができます。ハッキング・乗っ取り・不正アクセスの攻撃手法として以下のようなものがあります。
- ソーシャルエンジニアリング
- ブルートフォースアタック
- SQLインジェクション
- ゼロデイ攻撃 など
これらのサイバー攻撃(ハッキング・乗っ取り・不正アクセス)が発生すると、他人のデジタル機器のID・パスワードを盗み内部に保存されているデータの取得・閲覧・改ざんされる危険性があります。
ハッキング・不正アクセスの兆候が見られた場合には、すぐに侵入経路や被害範囲を特定して、二次被害の抑制・再発の防止対策を行うことが必須です。ハッキング不正アクセスについては以下の記事でも紹介しているので、是非参考にしてください。
>ハッキング・不正アクセス調査「フォレンジック」の方法やおすすめ会社について徹底解説
ダークウェブ調査
ダークウェブとは、GoogleやYahoo!といった検索エンジンからはたどり着くことのできないインターネット上のWebサイトを指します。一般的なブラウザ(Chrome、Internet Expoler、bing、Safariなど)からは閲覧できず、匿名性の高いネットワーク上に構築されているため、犯罪取引に利用されることも多くあります。
ダークウェブ上では、本来は公開されていないはずの企業が保有する顧客データや、製品の情報、社内システムの管理者情報、ID/パスワードなどの情報が売買され、サイバー攻撃の足掛かりにされるケースが多発しています。サイバー攻撃によって盗んだ情報を取引する場として最適であり、金銭目的の犯行によって転売・拡散されることが多いです。
自力ではそもそもアクセスすることが難しく、ダークウェブにアクセスすること自体がとても危険です。フォレンジック調査会社では、専門技術を利用してダークウェブ上のデータを安全に調査し、情報が漏えいしていないか調べることができます。
ダークウェブにアクセスしての調査は、危険を伴う上に難易度が高いため、知識や技術を持った専門家に相談しましょう。
>ダークウェブ調査とは?概要から専門業者に依頼するメリットまで解説
OSINT調査
OSINT(Open Source Intelligence)とは、公開されている情報を収集・分析することを意味するサイバーインテリジェンスの一種のことです。フォレンジック分野のOSINT調査は本来の員にとは異なり、公開されているインターネット上(ダークウェブを含む)に、流出された個人情報や秘密情報がないかの情報収集・調査する作業を指します。調査可能な項目は以下のようなものがあります。
- データの漏えいの有無
- どこにデータが漏えいしていたか
- なぜデータが漏えいされていたか
- 何のデータが公開されているか など
個人情報や社内の情報などを知らぬうちに公開されていて、そのままの状態で放置すると、情報漏えい被害の拡大や、営業損失が発生する危険があります。
OSINT調査を行うことで、インターネット上に情報が漏えいされた場合でも早期に発見し、被害拡大や二次被害の発生を防ぐことができます。併せて調査結果のレポート作成も可能なため、インシデント発生時の報告もスムーズに行うことができます。
ペネトレーションテスト(ペンテスト)
ペネトレーションテストとは、日本語で侵入テストのことを指します。フォレンジック調査会社では、システムコンポーネント上のセキュリティ機能に侵入できる可能性があるかテストを行います。その調査手法として特徴的なのが、デジタル機器の所有者同意のもと、ハッカーが実際に使用する手口と同様の方法で社内システムへ侵入してセキュリティのテストを行うことです。
特に個人情報や社内の機密情報などの重大な情報を管理している端末やセキュリティシステムを対象としてテストし、情報漏えいによる被害の発生を未然に防ぎます。
テストを実施した後に、問題点を特定・報告を行います。調査範囲はインフラや組織・ルールなどを含むセキュリティシステム全般を対象としています。調査会社によっては、脆弱性の診断だけでなく、見つかった脆弱性に対する今後のセキュリティ対策を提案してもらえるため、セキュリティ対策に不安がある時は一度調査を依頼しましょう。
脆弱性診断
22年4月の改正個人情報保護法の施行以後、企業の情報漏えいに対する対応の厳格化・厳罰化が進んでいます。インシデント発生前の情報漏えい対策の需要も高まっており、事前にセキュリティホール(情報セキュリティ上の欠陥)を把握する「脆弱性診断」を実施する企業が増えてきました。
脆弱性診断では、企業のサーバー・ネットワーク、使用しているアプリケーションにセキュリティ上の脆弱性がないかどうかテストします。予め脆弱性をチェックして改善しておくことで、サイバー攻撃被害のリスクを回避することができます。脆弱性診断は、以下を対象として脆弱性がないかを診断します。
- アプリケーション(スマホアプリ・WEBアプリ)
- プラットフォーム(CMS・ミドルウェア・サーバー・ネットワーク)
- その他(業者によって調査可能な範囲が異なる)
WEB上で入手可能なアプリやプラットフォームなどのシステムは、悪意を持って配信されているものも多いので、脆弱性を確認しておくことで事前にセキュリティ対策を実施することが可能です。
社内不正の調査
フォレンジック調査は「社外」だけでなく「社内」での不正行為を調査するのに有効です。社内調査が可能なインシデントは主に以下のようなものがあります。
- 横領・脱税・データ改ざん
- 情報漏えい・退職者調査
横領・脱税・データ改ざん
フォレンジック調査では、事実をねつ造した不正経理や、背任・業務上横領などを調査できます。社用端末には、背任にまつわる形跡が記録されていることも多いものの、社内不正を起こす従業員は、パソコンのアクセスログや、電子メールの送受信履歴などを削除し、証拠隠滅に走る傾向があります。
削除されたデータから正確な情報を掴みたいという場合は、不用意な機器の操作は行わず、データ復元も行うフォレンジック調査会社に依頼することが有効です。
>従業員不正・社内不正が起きたら?証拠の調査や対応方法を徹底解説
情報漏えい・退職者調査
不正社員は、盗んだ情報を他社に売り込んだり、退職時、端末から情報を抜き取ったりします。この場合、端末や過去ログを調査することで他社との不正なやり取りや、データのコピー履歴を調査することが可能です。
なお、退職者の移籍に伴う訴訟では、移籍した会社へ対し、証拠保全手続き(民事訴訟法234条)を行い、調査を行う場合もあります。
不正アクセスなどのサイバー犯罪よりも、紛失や置き忘れ・誤操作など、人為的なミス・過失による情報漏洩が、情報漏洩原因の50.8%を占めているというのが事実です。
情報漏えいが発生した際に企業は損害賠償責任・機密情報の紛失・業務の停止・刑事罰などのリスクがあるので、対策しておくことは重要です。
労務訴訟・労働争議(残業代・ハラスメント)
会社内部における労務関連のインシデント調査にも、フォレンジック調査が活用されています。
具体的な活用例は次のとおりです。
- 残業代の不当請求の証明
- 職務怠慢の証明
- ハラスメントの証明
残業代の不当請求・職務怠慢の場合、フォレンジック調査でパソコンの利用状況から勤務実態を把握できます。またハラスメント証明では、チャット履歴やメール履歴の復元によって、ハラスメントに該当するやり取りの履歴を確認し、労務訴訟の証拠として法廷で利用することも可能です。
>職務怠慢を証明するには?証拠データの調査方法や裁判への準備について徹底解説
遺産相続トラブル
遺産相続に必要な資料は多岐にわたり、電子データとして一元管理される事も目立ってきています。しかし、データが記録されたPCやHDDなどデジタル端末には厳重なセキュリティがかかっていることも多く、ロックがかかった機器からデータを取り出そうとすると解除が不可能になったり、データが消えてしまうことがあります。
フォレンジック調査では、このようなケースでもパスワード解除などを行うことで、適切に対応することが可能となっています。
デジタル遺品の種類から、起こり得るトラブルについては下記の記事でも詳しく解説しています。
>デジタル遺品とは?整理の仕方からパスワードの解除方法まで徹底解説
知的財産の窃盗調査
デジタルデータも知的財産の一部として認められています。技術開発データや顧客リストといった知的財産を窃盗し、証拠がわからないように窃取時のログを偽装・削除する事案は多発しています。デジタル・フォレンジック技術を活用することで窃盗の痕跡を復元し、法的措置のための証拠として使用することができます。
eディスカバリ(e-discovery)
eディスカバリ(e-discovery)とは、米国において民事訴訟を起こされた際に、訴訟に関わる電子証拠をすべて収集し、開示を行うことを規定した制度です。万が一違反したと判断された場合は膨大な罰金が科せられることもあり、裁判でも不利になるため注意が必要です。
日本国内の訴訟であれば直接関連はありませんが、たとえ日本の企業であっても、米国で民事訴訟を起こされた場合には対応必須となります。フォレンジック技術を活用することで、eディスカバリへの対応が可能です。
個人情報の漏えい等が発生した場合は専門的な調査が必要
マルウェア感染や社内不正などで個人情報の漏えい・流出等の危険性がある場合には、適切な対処をしなければ罰則の対象となる可能性もあります。
情報漏洩すると、各方面への報告が義務になる
個人情報保護法は2022年4月に改正されました。個人の権利利益の保護を重視し、情報漏えいに対する事会社の漏えい時の報告義務が追加されています。情報漏えいに関して改正された主な内容は以下の通りです。
- 漏えい等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知を義務化
- 個人情報保護委員会・被害を受ける可能性への報告義務(速報:発覚日から3~5日以内、確報発覚日から30日以内)
- 課せられる罰金の増大(30万円~50万円→50万円~1億円)
情報漏洩が起きた場合、「個人情報保護委員会」と「被害を受ける可能性がある本人」に対して、事実調査と報告の義務が発生します。指定の期間までに行わなかった場合には、最大で1億円の罰金が科せられるだけでなく、最悪の場合には事会社名が公表される可能性があります。
企業の情報漏えいは信頼関係の失墜だけでなく、金銭的なペナルティや業務停止のリスクがあるため、発生した際にはすぐに報告を行い、原因や被害状況の調査を依頼しましょう。
個人情報保護法とは
個人情報保護法とは、「個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的とした法律」を指します。
ここでいう個人情報とは、氏名・住所・電話番号・生年月日・メールアドレス・クレジットカード番号・パスワードなどのことですが、個人情報でなくとも、1,000件以上の大規模な情報漏洩の場合は報告・通知が義務付けられています。また、未確定の段階で合っても事案発生の「おそれ」がある場合は報告が必要です。
個人情報保護法による「個人情報保護委員会への報告義務」については以下の記事でも紹介していますので是非参考にしてください。
>情報漏えいが発生した企業の個人情報保護委員会への報告義務について解説
正式な報告書作成のためにはフォレンジック調査会社への依頼を推奨
個人情報の漏えい等が発覚し、各方面への報告義務が発生した際には、情報漏えいの発生期間や事実の有無、経緯や発生原因などを詳細に調査した報告書の作成が必要です。自社調査は証拠能力不十分と判断される可能性があるため、第三者機関に調査を依頼することが一番です。
フォレンジック調査会社では、法的にも証拠能力を持つ正式な資料の作成が可能です。ただし、会社によって調査能力やスピードに差があったり、調査目的や調査できる機器などの対応範囲が異なります。
正式に報告が必要になった場合には、より実績豊富で信頼できるフォレンジック調査会社に相談しましょう。おすすめの調査会社は以下で紹介しています。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計23,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門会社とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)
デジタルデータフォレンジックは、累積ご相談件数23,000件以上を誇る、対応件数では国内最大級のフォレンジック会社です。マルウェア感染・情報漏洩・社内不正から、データ復元技術を活用したデータのサルベージまで幅広くサービスを展開しています。
フォレンジック調査を怠ると発生するリスク
サイバーインシデントというのは、些細な変化の時点ですでに被害が発生し始めていることも考えられます。
- デジタル機器の動作が重い・バッテリーの減りが早い
- あったはずのデータが削除されている・改ざんされている
- 心当たりのないメールを受信する・不審なアプリがダウンロードされた
- 社内で不審な操作履歴を発見した など
これらの異変を感じた時は、情報漏えいやマルウェア感染などの被害が発生する予兆である可能性があります。サイバー攻撃は思っているよりも身近な存在で、気づかぬうちに取り返しのつかない被害が発生します。
そうならないためにも、フォレンジック調査の重要性を認知しておき、危機感を持っておくことが重要になります。ここでは、フォレンジック調査を怠ると発生する以下のリスクについて解説します。
- 認識していないところで被害が発生している可能性がある
- 同じインシデントが再発する可能性がある
- 自力の調査では証拠能力が認められない可能性がある
- 法的措置が発生する可能性がある
認識していないところで被害が発生している可能性がある
フォレンジック調査を怠ると、解消したと思っていたインシデント被害が、別の機器やネットワーク上で拡大していて、認識していないところで被害が発生している可能性があります。特にサイバー攻撃は対象機器だけでなく、同じネットワークを使用している機器や、外付け接続している機器から被害が拡大します。
フォレンジック調査会社では、インシデントが発生している被害範囲を特定することができます。被害が発生している機器だけでなく、周囲の機器に被害が拡大していないかも調査するようにしましょう。
同じインシデントが再発する可能性がある
フォレンジック調査を怠ると、インシデント事態を解消できたとしても、同じ手口で再発する可能性があります。サイバー攻撃の被害は一度だけとは限らず、何度も繰り返し攻撃されることもあります。そのため、何が原因でサイバー攻撃の被害を受けているのか特定することが重要です。
フォレンジック調査会社では、ハッキングやマルウェア感染などが発生した原因となる侵入経路の調査が可能です。インシデントが発生した時には、その解消だけでなく、原因を明確にしたうえで対策を行うようにしましょう。
自力の調査では証拠能力が認められない可能性がある
そもそもフォレンジック調査は、法的な手順を守る必要があるため、企業や組織内で調査を行うことは非常に難しいと言われています。
デジタルデータは、誰でも容易に復製・消去・改変することができます。そのため、調査結果を各所への報告レポートや裁判の証拠として利用する場合には、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要になります。そのため、知識や技術がないまま調査した結果は、「証拠能力」のない無効なデータとされる可能性があります。
この証拠保全作業には、普通のデータコピーではなく、専用のツールを使用する必要があります。正確な調査結果を利用したい場合は、自力で調査するのではなく、専用機器とノウハウを保有している調査会社に相談しましょう。
法的措置が発生する可能性がある
フォレンジック調査を怠ることで、本来受ける必要のなかった法的措置や、二次被害・三次被害が発生する可能性があります。
例えば、個人情報を漏えいしていた場合には、個人情報保護法に従って、発覚してから3~5日以内に速報、30日以内に確報を報告する義務が発生します。違反した場合には、最大一億円の罰金が発生します。
このように、インシデントが発生してからフォレンジック調査や各所への報告を怠った結果、法的措置や企業ブランドの低下などの取り返しのつかないことに発展するため、調査は怠らずすぐに対処するようにしてください。
フォレンジック調査を依頼する前に知っておくべきこと
フォレンジック調査を実施する際の注意点として、次の5点があります。
- 調査に時間がかかるため緊急の場合は土日祝日の営業日をチェック
- 企業の場合データが膨大のため社内連携も重要
- 自社調査は証拠能力不十分と判断される可能性がある
- 不審なファイルやデータは触らずに保管する
- 対応が遅れると二次被害が発生する可能性がある
調査に時間がかかるため緊急の場合は土日祝日の営業日をチェック
フォレンジック調査は、複雑かつ緻密なデータ分析を要するため、調査に1週間以上かかる場合がほとんどです。
調査する内容によっても大きく左右されますが、ウイルス感染の疑いがある場合などは、まず感染の範囲を調査した後、発信源の機器を特定・機器ごとの個別調査を実施する必要があり、2週間以上かかるケースもあります。
休日や祝日をまたぐ場合はさらに期間が伸びることもあるため、緊急性の高い依頼は土日・祝日も調査を進めてくれる会社を選ぶとよいでしょう。
企業の場合データが膨大のため社内連携も重要
企業では、顧客の個人情報や営業にかかわる大量のデータが保存・送信されており、データが複数のデバイスや場所に分散していることが想定されます。各所に分散したデータをまとめて調査する必要があるため、社内での連携も重要です。
フォレンジック調査を行うエンジニアなどに情報を事前に共有しておかないとより調査に時間がかかることなどがあるため、依頼をする際には、情報交換を密に行い連帯をしっかりしましょう。
自社調査は証拠能力不十分と判断される可能性がある
情報漏えいのように重大なインシデントが発生した場合、フォレンジック調査を行う必要がありますが、自社で調査を行わないようにしましょう。
個人情報流出などの重大インシデントの場合は、自社調査では不十分とされ、第三者の調査機関による調査結果を求められたり、第三者委員会を設置して追加調査を行うケースもあります。
社内不正・横領による刑事事件に発展した場合や、個人のトラブル等で法廷資料として証拠データを提出する際は、専門の調査会社によるフォレンジック調査で正しいステップを踏んで「証拠保全作業」を行わなければなりません。しかし、自力で調査を行うとデータが改変されたとみなされ、証拠能力を失います。データを証拠として活用する可能性のある場合は、フォレンジック専門調査会社に任せることをおすすめします。
不審なファイルやデータは触らずに保管する
フォレンジック調査で、正確な調査を行いたい場合は、不正の痕跡となる不審なファイル・データを消去してはいけません。これらデータは不正アクセスやハッキング、情報漏えい被害の証拠として、利用できる可能性があるためです。
誤操作で重要な痕跡となる通信のログを削除してしまったり、マルウェア感染が更に拡大する、不正調査の痕跡が消されてしまうといった二次被害が起きる可能性があります。
また、消去するつもりはなくても、個人で機器の解析作業などを行うと、必要なデータやログが上書きされ、「いつ」「どのように」「なぜ」インシデントが発生したのか不明瞭になってしまいます。たとえば、事件現場で鑑識調査が入る前に、第三者が至る所を物色すると、元の現場の様子が失われ、無関係な指紋がついてしまいます。デジタルデータでもこれは変わりありません。
対応が遅れると二次被害が発生する可能性がある
調査依頼が遅れることによって、以下のような二次被害が発生する可能性があります。
- システムが停止して業務が稼働できなくなり、金銭的な損失が発生する
- 別の機器にまで感染被害が拡大して必要なコストが増える
- データを上書きして調査が難しくなる
フォレンジックの種類
フォレンジック調査は、調査の対象によって分けられ、大きく下記の2つに分けられます。
- コンピュータフォレンジック
- ネットワークフォレンジック
コンピュータフォレンジック
コンピュータフォレンジックとは、PC・ハードディスク・メモリなどの機器からデジタル情報を特定・保存・復元・分析し、不正操作の証明や被害全容を特定する技術のことです。
コンピュータフォレンジックは、さまざまなコンピュータ犯罪の捜査に活用されているほか、裁判・訴訟においても信頼できる技術として広く受け入れられています。
デジタル機器から証拠となる既存データを抽出するのはもちろん、場合によっては意図的に削除されたデータの復元を行うなどして、そのコンピュータで不正な操作が行われていたかについて証明します。
モバイルフォレンジック
コンピュータ・フォレンジックでも、モバイル端末に特化したフォレンジック調査は「モバイルフォレンジック」と呼ばれます。
モバイルフォレンジックでは「通話履歴やメール履歴」「アプリのインストール履歴」「アクセスログの解析」などを行い、場合によっては「削除されたデータの復元」なども行います。
なお、モバイル端末はパソコンと構造が大きく異なり、その上、OSの更新も早いため、解析には高度な技術力が必要不可欠です。
メモリーフォレンジック
コンピュータ・フォレンジックでも、メモリーに特化したフォレンジック調査は「メモリーフォレンジック」と呼ばれます。
メモリー上の悪意のあるソフトウェアによって外部に情報を流出させるなどの手口を利用している場合には、メインの記憶媒体にはデータが残らないことがあります。
ネットワークフォレンジック
ネットワークフォレンジックとは、ネットワーク上のデータの動きを解析対象とした調査方法のことです。
不審な挙動を検出するため、必要に応じて通信内容の復元を行うほか、不正アクセスの経路などを分析し、不正が疑われる端末を絞り込むことで、被害状況の解明につなげます。
ファストフォレンジック
近年は「ビッグデータ時代」と呼ばれるほどデータが膨大になっており、フォレンジックの手間が増えて調査に時間を要してしまうのも現状です。そうした課題を解決するための新しい手法に「ファストフォレンジック」があります。
ファスト・フォレンジックとは、名前の通り「短時間で適切かつ迅速な初動対応」が行えるデジタル・フォレンジックであり、社内全体のPCの中から、どのPCに異常が発生し、侵入経路や不正な挙動をとっているのかを調査することが可能で、インシデントの早急な把握・解消に役立ちます。
ファスト・フォレンジックについては以下のページで詳しく紹介しています。
フォレンジック調査の流れ
フォレンジック調査は、主に次の流れで行います。
①証拠保全
証拠データを法執行機関に提出する際、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要です。デジタルデータは重要証拠となり得る一方、誰でも容易に復製・消去・改変することができます。そのため、デジタルデータを証拠として認めさせるには、正しく情報を取り扱うフォレンジック調査サービスで正当な手続き(証拠保全)をとる必要があるのです。
なお、オリジナルの電磁的記録には手を加えず、「正当な手続きのもと調査・解析を行った」という証明を行うには、普通のデータコピーではなく、専用のツールを使用する必要があります。
さらに、機器自体のクローンも作成する必要があり、そのクローンから「ファイルにおける指紋」と呼ばれるハッシュ値や、データの完全性を保証するデジタル署名というメカニズムなどを用いて正確にデータを抽出する、高度なステップを踏まなければなりません。なお、クローンを作成するのは、元の機器が故障して、調査できなくなるリスクを防ぐ役割も兼ねています。
②データの復旧・復元
証拠となり得るデータが削除されている、もしくは、機器自体が破損している場合は、対象機器からデータの復旧・復元作業を行います。
確実性の高い調査を行うためには、証拠保全による証拠の信ぴょう性の有無が、調査結果を左右します。そのためには、破損したデータを修復したり、暗号を解除したり、ファイルの構成を修正したりするなど、抽出データを証拠として使用できる状態に復旧しなければなりません。こうした復旧作業には専用ツールや、高度な専門知識と技術力が不可欠となります。
なお、証拠保全の過程で行う「データ復旧作業」は、難易度が高く、到底個人で対応できるものではないため、データ復旧にも対応しているフォレンジック調査会社に対応を依頼することをおすすめします。
③データの解析・分析
取り出したデータを解析し証拠となり得るデータの有無を確認します。
フォレンジック調査では主に以下のような内容を解析・分析することができます。
- パケット(ネットワーク上に流れるデータ)
- サーバーログ
- ドキュメントファイルの作成・保存履歴
- メールの送受信履歴
- webサイトの閲覧履歴
- 不明なアプリケーションのインストール・実行履歴
④報告
調査結果の詳細をレポートにまとめ、提出します。
なお、提出されたレポートは証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、法廷利用可能な資料になります。そのためレポートを「第三者の中立的な資料」として扱うことが可能です。
フォレンジック調査にかかる期間
フォレンジック調査にかかる期間は、大体1週間から2週間ほどです。調査する機器の台数が大規模な場合にはさらに時間がかかることもあり、期間が決まる要因は調査機器の台数・調査項目・調査目的などが挙げられます。
場合によっては初期調査で1~2週間、そのあとのコンピュータフォレンジックやネットワークフォレンジックなどの本調査でさらに1~2週間ほどかかり、全体で約1ヶ月以上かかるケースもあるようです。裁判の証拠提出期日や調査結果の公表期限が決まっている場合は早めに調査会社に相談しましょう。
フォレンジック調査会社を選ぶときのポイント
調査会社を選ぶときのポイントは次の6つです。
官公庁・捜査機関・大手法人の依頼実績がある
上場企業や警察・官公庁からの依頼実績があるかどうかも、調査会社の信頼性を判断する上で重要なポイントとなります。
多数の相談実績を持つ調査会社は、高度な技術力やノウハウ、データ復旧に関する知識が蓄積しており、膨大なデータベースから適切な方法を選択し、証拠データを抽出することが可能です。
スピード対応している
サイバーインシデントが発生した際、感染拡大や証拠隠滅を防ぐため、早急かつ正確に把握する必要があります。この際、24時間・365日営業している調査会社であれば、素早い対応を期待できるでしょう。また「ファストフォレンジック」「DFIR(デジタルフォレンジック・インシデントレスポンス)」などスピード対応に特化したフォレンジック調査が可能である調査会社を選ぶのも、重要なポイントとなってきます。
なお、いつまでに対応が完了し、調査対象機器が手元に戻るのかは、相談時に事前確認したほうが良いでしょう。
セキュリティ体制が整っている
セキュリティ対策をしっかりと行っている調査会社では「プライバシーマーク」や「ISO認証」などの認定を得ています。これらの認定は、世界基準で規定されている厳しい調査をクリアした会社のみ習得できるもので、フォレンジック調査会社の信頼性を判断するポイントにもなります。
フォレンジック調査を依頼する際は、機器はもちろんその中に保存されているデータも調査会社側に一定期間預けることになりますので、大切なデータを安心して預けることができるセキュリティ体制が整っているかを確認するようにしましょう。
また、一定の技術レベルやセキュリティの高さを見極めるために、経済産業省が規定した「情報セキュリティーサービス基準」にクリアした企業から依頼先を選ぶようにしましょう。
情報セキュリティサービス基準とは?
近年高まるセキュリティ対策の必要性に応じて、専門知識をもたない人でも一定以上のサービス品質を満たしているかどうか判断できるように経済産業省が規定した基準です。
セキュリティーサービス基準を満たした調査会社についてはこちらの記事でも紹介しています。
法的証拠となる調査報告書を発行できる
フォレンジック調査の報告書は、裁判所や行政機関に提出できる「法的証拠」として活用することが可能です。もし民事・刑事訴訟を視野に入れている場合は、あらかじめ法的証拠となる調査報告書を発行できるフォレンジック専門調査会社に対応を依頼することを視野に入れておきましょう。
データ復旧作業に対応している
フォレンジック技術と、データ復旧技術は、両輪として活用されています。たとえば、社内不正などでは、対象となるデータやファイルが削除されていたり、あるいは対象となる機器が破壊されていることも多く、通常のアクセスが不可能ということも珍しくありません。そのため、データ復元を行ったうえで、調査を行う必要があります。しかし、メモリ機器、または深刻な傷が付いたHDDからのデータ復旧は難易度が高いことから、適切に対応するには、データ復旧技術の実績をHP上に記載しているフォレンジック調査会社に対応を依頼することが重要となってきます。
費用形態が明確である
デジタルフォレンジックの費用は、調査する内容によって大きく変わります。作業にかかる手間や時間が大きく変わってくることが理由です。
目的とする調査がどの程度の費用か依頼前に確認しましょう。基本的には「一律で費用が発生する」か、「ディスク自体の容量と調査内容で金額が決まる」というパターンが多いですが、暗号化や物理故障が関わってくると追加調査が必要な場合もあります。明確に調査したいことを決めておき、あらかじめ相談しておくことが重要です。
おすすめフォレンジック調査会社
フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧会社が提供しているフォレンジックサービスです。累計2.4万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
特長 | ✔官公庁法人・捜査機関への協力を含む、累計23,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年) |
フォレンジック調査の前後で行うこと
フォレンジック調査をの前後では以下の3点を行ってください。
- 初期対応およびフォレンジック調査
- 外部向けの対応
- 内部での対応
初期対応およびフォレンジック調査
インシデント後は、被害の拡大を防止する「初動対応」(インシデント・レスポンス)がマストです。しかし、不適切な初動対応を行うと、証拠データが上書き・消失する恐れがあります。たとえば「ウイルスソフトで不正なソフトを削除・隔離した」「履歴を削除した」「再起動を繰り返した」といった些細な操作であっても、データ消失のリスクがあるため、あらかじめ初動対応で連携可能なフォレンジックの専門調査会社とコミュニケーションをとりながら対応するのが、重要です。
外部向けの対応
個人情報の漏えいが疑われる場合、保護委員会や監督官庁など行政機関への報告を行いましょう。また被害全容を特定した状態で、損害補償など今後の対応を広く公表し、場合によっては、公式HPやプレスリリースなどでも情報開示を行いましょう。
内部での対応
フォレンジック調査の報告書をもとに、関係する職員の処分をはじめ、セキュリティ上の脆弱性を徹底的に排除しましょう。またセキュリティ教育を行うなどコンプライアンス意識を高め、再発防止策を計画的に実施していきましょう。
フォレンジック調査にかかる費用・相場
フォレンジック調査にかかる費用は「調査内容」「調査規模」など様々な要因によって異なるため、フォレンジック調査会社に見積りをとる形になります。
相場としては機器1台につき数十万~数百万円程度はかかるのが一般的ですが、金額はフォレンジック調査会社・調査会社によってもまちまちのため、まずは相談して見積りをとりましょう。
なお、ハッキングや不正アクセスの被害を受けているか明確でないときや、被害状況が分からない場合でも、適切なフォレンジック調査会社に相談すれば、有効なアドバイスを受けることができます。
調査以外の費用の内訳
フォレンジック調査以外の領域で以下の費用がかかることも考慮に入れておくべきでしょう。
調査費用
フォレンジック調査費用はだいたい数万~数百万とかなり幅があり、全体費用をもっとも左右します。
調査する機器の台数や調査項目によって費用が変動するため、実際にどの程度の費用がかかるのかは調査会社にて見積を出してもらわなければいけません。
データ復旧費用
データ復旧費用は「復元対象のデータ数」「対象メディア」「機器の障害レベル」によって大きく異なります。
あらかじめ、復旧費用の見積もりを受けることをおすすめします。
ハードウェア復旧費用
ランサムウェアによる暗号化などでハードウェア自体を復旧する必要が生じた場合、システム全体の再構築などで費用が掛かる場合があります。ただし、ハードウェア復旧費用は必ずしも発生するわけではなく、条件次第であることを考慮しましょう。
再発防止費用
脆弱性を特定後、セキュリティ対策まで対応できるフォレンジック調査も存在します。再発防止費用は今後の対応次第で考慮に入れておく費用と言えるでしょう。
日本でのフォレンジック活用事例
日本での主要なフォレンジック活用事例は次のとおりです。
フロッピーディスクの改ざん事件
2009年、厚生労働省局長が制度悪用の嫌疑で起訴された際、検察側がフロッピーディスク内に保存されていた文書データを偽造したとして大問題になりました。この事件では、検事が上書きによる証拠隠滅をはかったのですが、フォレンジック調査で内部情報と更新日付に齟齬があることが発覚し、文書偽造の証明につながりました。
従業員の情報漏えい
不正な持ち出しが原因で発生した個人情報流出事件に「ベネッセの大規模情報流出」(2014年)があります。このようなケースでも、フォレンジック調査で内部のサーバやネットワーク機器を解析することで、情報流出に至った原因や過程を調査することが可能です。また解析で得られた情報は、不正社員を相手取った民事訴訟でも法廷資料として活用する事が可能です。
横領調査
企業の従業員が横領をした場合、何らかの処分をするには、事前に十分なフォレンジック調査をして、横領の有無や被害金額を確定することが最も重要になります。たとえば、弊社に寄せられた情報では、次のようなケースでフォレンジック調査が活用されました。
- 数千万円の着服が発覚。社内サーバーはだれでも触れる状態で、共有パスワードが原因で不正アクセスされた。
この場合、端末を解析することで「外部の人間とのやりとり」「本件に関わるやり取り」、さらには転売先の特定につながりました。
遺族の機器のパスワード解除
弊社に寄せられた情報では、次のようなケースでフォレンジック調査が活用されました。
- 亡くなった家族がPCで金融機関とやり取りしており、PCのロック解除・取引状況・IDやパスワードを確認したい。
この案件では、パスワード解除後、ブラウザのブックマークなどから登録された金融機関を確認でき、問い合わせること取引状況の確認に成功しました。
隠滅されたデータの復元
本来はデータが入っているはずの機器が破壊されていたり、フォルダごと削除されているなど証拠隠滅が行われている場合、データ復元をおこなう必要があります。
データ復元は、市販ソフトで手軽に行うこともできますが、データを取り出せる確率は低く、仮に復元できたとしても、データに法的証拠能力を持たせる手続き(フォレンジック)を踏んでいないと、証拠としては認められないこともあります。
そのため、隠滅されたデータを復元し、犯罪や不正行為を立証するには、フォレンジック調査を行うことが重要となってくるのです。
力士八百長事件の携帯端末のデータの復元
2011年に、力士の野球賭博についての事件調査で押収した機器から、賭博事件とは関係のない八百長が疑われる証拠が検出されました。力士から押収した機器はスマートフォンで、大相撲協会主導でのフォレンジック調査を実施した。
押収した携帯電話に対するモバイルフォレンジックによって、メールおよびLINEの履歴などの解析作業を行いました。その結果、25人の力士や親方に対して解雇や引退勧告などの処分が発生した。
当人たちが削除したデータであっても、完全に上書き・初期化されていなかったためにデータの復元に成功した事例です。
フォレンジック調査にあたりしてはいけないこと
フォレンジック調査を行うにあたって以下の3点は行わないように注意しましょう。
- 自力でデータをコピーする
- 市販のデータ復旧ソフトを試す行為
- 機器の電源を切らない
自力でデータをコピー
自力でHDDのデータをコピーしても、そのデータが客観的な証拠として認められないケースがほとんです。
適切な手順を踏み、データをコピーする必要があります。
市販のデータ復旧ソフトの使用
市販のデータ復旧ソフトやツールを使用してしまうと、データ内の情報が対象に書き換わる可能性があり、フォレンジック調査の難易度が上がり、時間もコストも無駄にすることになります。
機器の電源を切らない
フォレンジック調査を依頼する時には、機器の電源を切らずにスリープモードで管理するようにしてください。フォレンジック調査では、機器に残されているログや過去の履歴からウイルス感染や情報漏えいの有無について調査します。
電源を切ってしまうと、一部のログが削除されてしまう可能性があるので、必ず電源を切らずにスリープモードの状態で調査を依頼するようにしましょう。
フォレンジック調査に必要な知識
デジタルデータの保全・収集作業の際、必要不可欠となる知識は次の3つです。
- コンピュータやネットワークの知識
- 法的手続きにおける知識
- セキュリティにおける知識
コンピュータやネットワークの知識
大前提として、フォレンジック調査では、対象機器を構成するパーツをはじめ、データが消去・記録される仕組みを工学的に理解する必要があります。また、デジタル機器では日々、マイナーチェンジが行われるため、その差異を日々、明瞭にキャッチアップし、調査に組み込む必要があります。
法的手続きにおける知識
「フォレンジック」を直訳すると、法的証拠を見つける手続きです。つまり、技術的な知識のほか、法律の知識が必要不可欠となってきます。
前提として、デジタルデータは性質上、簡単に改変することが出来ます。そのため、法執行機関などにデータを「証拠」として提出する際、そのデータが適切な手続きで取り出されたことを証明する必要があります。
フォレンジック調査では、まず現状の状態を押さえるために「保全」を行います。そして、法的に通用する手続きを用いて、必要に応じて削除・破損したデータを復元し、専門技術をもって対象のデータを復元します。
セキュリティにおける知識
フォレンジック技術を用いて、サイバー攻撃を調査する際、サイバーセキュリティの知識が必要です。たとえば「どのような攻撃手法で」「どのように侵入し」「結果として、どのような被害が生じたか」を知るには、攻撃手法やそれに使われているツール(トロイの木馬などマルウェア)の構造を知る必要があります。
なお、マルウェアは1日当たり100万個も増えており、日々脆弱性が生まれては、それに対する修正パッチが公開され続けています。つまり、サイバー攻撃の調査には、最新のマルウェアについての網羅的な知識が必要不可欠で、なおかつそれを日々アップデートしていく必要があります。
フォレンジック用の調査ツールを解説
ここでは、デジタルフォレンジックで利用されるツールを紹介します。ここでは主にサーバー攻撃関連のツール・社内不正調査関連ツール・その他のインシデントツールの3つに分けて紹介します。
サイバー攻撃関連のツール | 社内不正調査関連のツール | その他のインシデントのツール |
|
|
|
目的によって、様々な種類のフォレンジック調査ツールがあるため、もし企業内に導入する場合は、目的に合わせたツールを見極めて導入することが必要です。ツールのHPを確認すれば、どのような機能を持っているのか確認できるはずですので、導入する前には一度確認するようにしましょう。
しかし、フォレンジック調査ツールは数多く存在しますが、そのどれもが簡易的なものであって、万能ではありません。データの証拠保全はもちろん難しく、フォレンジックサービスに比べて調査の正確性や信頼度も低い内容となっています。簡易的な調査を実施したい場合には有効ですが、正確な調査をして結果の報告が必要な場合には適していません。
確実に調査したい場合には、フォレンジック調査ツールを利用するのではなく、すぐに実績が豊富な調査会社に相談しましょう。
サイバー攻撃、マルウェア・ランサムウェア感染、ハッキング調査を依頼する際の注意点
サイバー攻撃、マルウェア・ランサムウェア感染、ハッキング調査を依頼する際はいくつかの点で注意する必要があります。
- 不審なファイルは消去する前にバックアップをとる(証拠保全)
- 不用意にシステムに触らない
- ネットワークに接続しない
サイバー攻撃、マルウェア、ランサムウェア感染に対応している調査会社はこちら >>
不審なファイルは消去する前にバックアップをとる(証拠保全)
不正アクセスやハッキングの被害に遭ったパソコンに不審なファイルが見つかった場合は、消去する前にバックアップを取るようにしましょう。
不審なファイルからウイルス侵入、不正アクセス、ハッキングの形跡が見つかる可能性があり、サイバー攻撃を受けた証拠になります。
ウイルスの影響等でパソコンが使用できない場合は、ネットワークから隔離した状態でPCをそのまま保管しましょう。
不用意にシステムに触らない
サイバー攻撃、マルウェア・ランサムウェア感染、ハッキングを受けた可能性のある場合は、不用意にシステムを触らないようにしましょう。
フォレンジック調査に必要な証拠がウイルスの仕様で削除されてしまう可能性があります。
ネットワークに接続しない
サイバー攻撃、マルウェア・ランサムウェア感染、ハッキングの疑いがある場合は、感染・ハッキングが疑われるパソコンや端末はネットワークに接続せず、機内モードにして通信をオフにしておきましょう。
同一のネットワークを介して、他の端末へ感染を拡大させ、被害が大きくなることを防ぐためです。
退職者調査、情報持ち出し、職務怠慢、労働問題調査を依頼する際の注意点
退職者調査、情報持ち出し、職務怠慢、労働問題調査を依頼する際には、以下の点に注意する必要があります。
- 調査対象者本人にヒアリングしないようにする
- 退職後1年間は端末を初期化しない
退職者調査、情報持ち出し、職務怠慢、労働問題に対応している調査会社はこちら >>
調査対象者本人にヒアリングしないようにする
調査対象者本人に、疑いについてヒアリングや疑っていることを気づかれないようにしましょう。
それは、業務で使用しているパソコンや端末のデータを初期化されてしまう可能性があり、インシデントの証拠を完全削除されてしまうことを防ぐためです。
退職後1年間は端末を初期化しない
退職者調査、情報持ち出し、職務怠慢、労働問題が疑われる場合はあたり前ですが、従業員が会社を退職する際には、スマホ、パソコンのデータを1年ほどは保管しておくようにしましょう。
情報漏えいの事実が後から確認される場合もあるため、初期化してしまうと証拠となるデータが消去されてしまうためです。また、データを改ざんされる可能性があるため、退職者が使用していた機器を他の人に使用させないようにしましょう。これらは調査対象のデータに証拠性を担保するために重要なことと言えます。
デジタル遺品(パスワード解除)を整理する前に注意するべき点
デジタル遺品を整理する前に注意すべき点は以下の2点です。
- 遺品整理の段階で破棄・売却・譲渡しない
- むやみにパスワードを打ち込まない
遺品整理の段階で破棄・売却・譲渡しない
デジタル遺品のロックが解除できない場合でも、他人に譲渡したり、破棄・売却することはおすすめしません。個人情報の流出になり、事件に繋がる可能性もあります。
パスワードが分からずにロックが解除できない場合でも、専門会社に依頼すればロックの解除を行うことができる可能性があるため、仮想通貨などデジタルの財産を適切に分配できる可能性があります。
むやみにパスワードを打ち込まない
パスワード解析を依頼する際には「むやみにパスワードを打ち込まない」ようにしましょう。
近年のスマートフォンやパソコンは盗難対策として、入力上限回数が定められていることも多く、連続で入力に失敗してしまうと、ロックを解除できなくなったり、設定次第ではデータが強制削除される可能性もあります。
インシデントが発生しないためのセキュリティ対策
フォレンジック調査を実施した後には、インシデントが発生しないためのセキュリティ対策を実施することが重要になります。インシデントが発生しないためのセキュリティ対策として、以下のようなものがあります。
- 不審なメール・添付ファイルを開かず、マクロを無効化する
- 複雑なパスワードを設定する
- OSやソフトウェアのアップデート
- 適したセキュリティ製品を導入する
不審なメール・添付ファイルを開かず、マクロを無効化する
不審なメールや添付ファイルを安易にクリックしないようにしましょう。もっとも、攻撃者は不自然さをごまかすため、詐取した関係者の氏名を悪用したり、信頼度が高い大手ECサイトや運送会社を騙ったりするなど、あの手この手でメールおよび添付ファイルを開封させようとします。
とくにWindowsのoffice製品にある「マクロ」(自動的にファイルを展開する機能)は悪用されやすいので、マルウェア・ランサムウェアをダウンロードしても、自動で実行されないように、あらかじめ、マクロ機能は無効化しておきましょう。
複雑なパスワードを設定する
簡単なパスワードや、推測しやすいパスワードを特定され、ランサムウェアに感染させられたケースの場合は、複雑なパスワードを設定することで、ある程度の対策ができます。複雑なパスワードは以下のようなものが挙げられます。
- 可能な限り長い(12桁以上を推奨)
- 英数字記号が混在している
- 使いまわさない
用途によって使い分けることによって、もしパスワードが流出したとしても被害を最低限に抑えることができます。また、多要素認証を利用することも、セキュリティ対策の一環になります。
OSやソフトウェアのアップデート
WindowsやMax OSなどのOSやMS Officeなどのアプリケーションソフトウェアの定期的なアップデートを欠かさないようにしましょう。ソフトウェアには脆弱性が付き物であり、開発者は脆弱性を発見次第、すぐに修正を行い、最新版のソフトウェアを公開しています。
特に脆弱性の発見から開発者による修正のタイムラグを利用して攻撃する「ゼロデイ攻撃」による被害は深刻です。少しでも無防備な状態を短くするためにも、使用しているOSやソフトウェアのバージョンアップ情報を定期的にチェックし、常に最新のバージョンのソフトウェアを使用することが重要です。
適したセキュリティ製品を導入する
フォレンジック調査した後には、適したセキュリティ製品を導入して対策を強化することが重要になります。セキュリティ製品はどの脆弱性に対して対策するかによって適性が異なるため、フォレンジック調査の結果をもとに設置することが重要になります。
フォレンジック調査会社によっては、調査結果をもとに適切なセキュリティ製品や対策方法を紹介してもらえるので、セキュリティ対策のサポートも可能な調査会社を選ぶようにしましょう。
まとめ
今回は、フォレンジック調査の概要やサービスの流れ、調査会社選定の方法について解説しました。フォレンジックサービスは、まだまだ日本では認知度の低いサービスですが、IT化が加速しているなか、その需要はますます高まっています。デジタル機器やネットワークを通してインシデントが発生した場合には、フォレンジック調査サービスの利用を検討するのも解決に向けた一手になるでしょう。