
※この記事は2023年3月に更新されています。
不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタル化が進むなかで、ITやセキュリティの重要性は年々高まっており、その需要は年々増加しています。
この記事では「フォレンジック調査」のメリットや業者選びのポイント、調査の活用事例から気になる費用まで徹底解説いたします。
フォレンジックとは?
「デジタル・フォレンジック(フォレンジクス)」とは、発生したデジタルインシデントに対し、PC・HDD・スマホといったデジタル機器、もしくはネットワーク上のデジタルデータから、不正行為の事実確認を行ったり、サイバー攻撃の被害状況を割り出したりする調査手法です。
警察等の捜査機関でも活用される技術
フォレンジック (forensic) は「法廷の」という意味を持ちます。フォレンジック調査を行うと、単なる事実確認だけでなく、法執行機関における公的な調査資料としても活用することができます。またフォレンジックは日本の警察でも「犯罪の立証のための電磁的記録の解析技術、およびその手続き」として積極的に活用されています。
フォレンジック調査は、裁判上の証拠保全に限らず、マルウェア感染調査や、不正アクセスによる顧客情報流出の事後調査など、さまざまな場面で、法人・個人を問わず、広く活用されています。
フォレンジックの種類
フォレンジック調査は、調査の対象によって分けられ、大きく下記の2つに分けられます。
- コンピュータフォレンジック
- ネットワークフォレンジック
コンピュータフォレンジック
コンピュータフォレンジックとは、PC・ハードディスク・メモリなどの機器からデジタル情報を特定・保存・復元・分析し、不正操作の証明や被害全容を特定する技術のことです。
コンピュータフォレンジックは、さまざまなコンピュータ犯罪の捜査に活用されているほか、裁判・訴訟においても信頼できる技術として広く受け入れられています。
デジタル機器から証拠となる既存データを抽出するのはもちろん、場合によっては意図的に削除されたデータの復元を行うなどして、そのコンピュータで不正な操作が行われていたかについて証明します。
モバイルフォレンジック
コンピュータ・フォレンジックでも、モバイル端末に特化したフォレンジック調査は「モバイルフォレンジック」と呼ばれます。
モバイルフォレンジックでは「通話履歴やメール履歴」「アプリのインストール履歴」「アクセスログの解析」などを行い、場合によっては「削除されたデータの復元」なども行います。
なお、モバイル端末はパソコンと構造が大きく異なり、その上、OSの更新も早いため、解析には高度な技術力が必要不可欠です。
ネットワークフォレンジック
ネットワークフォレンジックとは、ネットワーク上のデータの動きを解析対象とした調査方法のことです。
不審な挙動を検出するため、必要に応じて通信内容の復元を行うほか、不正アクセスの経路などを分析し、不正が疑われる端末を絞り込むことで、被害状況の解明につなげます。
ファストフォレンジック
近年は「ビッグデータ時代」と呼ばれるほどデータが膨大になっており、フォレンジックの手間が増えて調査に時間を要してしまうのも現状です。そうした課題を解決するための新しい手法に「ファストフォレンジック」があります。
ファスト・フォレンジックとは、名前の通り「短時間で適切かつ迅速な初動対応」が行えるデジタル・フォレンジックであり、社内全体のPCの中から、どのPCに異常が発生し、侵入経路や不正な挙動をとっているのかを調査することが可能で、インシデントの早急な把握・解消に役立ちます。
ファスト・フォレンジックについては下記のページで詳しく紹介しています。
フォレンジック調査会社を選ぶときのポイント
調査会社を選ぶときのポイントは次の6つです。
実績がある
上場企業や警察・官公庁からの依頼実績があるかどうかも、業者の信頼性を判断する上で重要なポイントとなります。
多数の相談実績を持つ業者は、高度な技術力やノウハウ、データ復旧に関する知識が蓄積しており、膨大なデータベースから適切な方法を選択し、証拠データを抽出することが可能です。
スピード対応している
サイバーインシデントが発生した際、感染拡大や証拠隠滅を防ぐため、早急かつ正確に把握する必要があります。この際、24時間・365日営業している業者であれば、素早い対応を期待できるでしょう。また「ファストフォレンジック」「DFIR(デジタルフォレンジック・インシデントレスポンス)」などスピード対応に特化したフォレンジック調査が可能である業者を選ぶのも、重要なポイントとなってきます。
なお、いつまでに対応が完了し、調査対象機器が手元に戻るのかは、相談時に事前確認したほうが良いでしょう。
セキュリティ体制が整っている
セキュリティ対策をしっかりと行っている業者では「プライバシーマーク」や「ISO認証」などの認定を得ています。これらの認定は、世界基準で規定されている厳しい調査をクリアした業者のみ習得できるもので、フォレンジック業者の信頼性を判断するポイントにもなります。
フォレンジック調査を依頼する際は、機器はもちろんその中に保存されているデータも業者側に一定期間預けることになりますので、大切なデータを安心して預けることができるセキュリティ体制が整っているかを確認するようにしましょう。
法的証拠となる調査報告書を発行できる
フォレンジック調査の報告書は、裁判所や行政機関に提出できる「法的証拠」として活用することが可能です。もし民事・刑事訴訟を視野に入れている場合は、あらかじめ法的証拠となる調査報告書を発行できるフォレンジック専門業者に対応を追依頼することを視野に入れておきましょう。
データ復旧作業に対応している
フォレンジック技術と、データ復旧技術は、両輪として活用されています。たとえば、社内不正などでは、対象となるデータやファイルが削除されていたり、あるいは対象となる機器が破壊されていることも多く、通常のアクセスが不可能ということも珍しくありません。そのため、データ復元を行ったうえで、調査を行う必要があります。しかし、メモリ機器、または深刻な傷が付いたHDDからのデータ復旧は難易度が高いことから、適切に対応するには、データ復旧技術の実績をHP上に記載しているフォレンジック調査に対応を依頼することが重要となってきます。
費用形態が明確である
デジタルフォレンジックの費用は、調査する内容によって大きく変わります。作業にかかる手間や時間が大きく変わってくることが原因となります。 ただし、あとからどんどんと請求額が増えていく事は誰も望んでいないと思います。そのため、
目的とする調査がどの程度の価格が発生するのか依頼前に確認しましょう。基本的には「一律で費用が発生する」か、「ディスク自体の容量と調査内容で金額が決まる」というパターンが多いですが、暗号化や物理故障が関わってくると追加調査が必要な場合もあります。明確に調査したいことを決めておき、あらかじめ相談しておくことが重要です。
フォレンジック調査専門業者の実力を確実に見極めるためのポイント
上記の6つのポイントから厳選したおすすめランキング1位の業者が、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計14,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔11年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
こちらのデジタルデータフォレンジックは、累積ご相談件数14,000件以上を誇る、対応件数で国内最大級のフォレンジック業者です。データ復元技術を活用した証拠復元から、マルウェア感染・情報漏洩・社内不正といった企業インシデントに対して、幅広くサービス展開しています。
フォレンジック調査を利用するケース
ここでは、フォレンジック調査を利用する主なケースを以下4つ紹介します。
マルウェア感染・情報漏えい調査
ハッキングやマルウェア感染に遭った場合、機密情報が漏えいしているか、またはネットワーク上に侵入経路が設置されている恐れがあります。
そのため、個人情報を取り扱う事業者は、被害全容を早急に把握し、行政機関や関係各所への報告書を提出する「義務」があります。もちろん、これは再発防止も含めての対応となります。
しかし、個人での被害調査には限界があります。不正アクセス・ハッキングされているかどうか、またはランサムウェアによる被害全容を正確に把握したいという方は、ハッキング調査に対応しているフォレンジック業者まで相談しましょう。
フォレンジック業者では以下のような項目が調査可能です。
- 情報漏えいなどの被害状況
- ウイルス感染や不正アクセスの有無
- いつ、どのような経路で不正アクセスされたのか
なお、近年では、Emotetの感染被害も急増しており、フォレンジック調査の利用機会も増えていますが、中には技術力が乏しいフォレンジック業者も存在します。業者を選定する際は、相談から見積りまで無料で対応しているため、個人での対処が難しい場合は専門業者に相談してみましょう。中には最短当日での調査も対応している業者もあります。
ランサムウェアの感染経路調査
「ランサムウェア」に感染すると、データが暗号化され、身代金を要求されます。また近年は、ネットワークにつながっている別の端末・サーバも被害を受ける傾向があり、この場合、膨大な情報が攻撃者に抜き取られてしまいます。
ランサムウェアに感染すると、端末を初期化して、バックアップからデータを復元して乗り切る企業も多くありますが、この方法には誤りがあります。なぜなら、抜き取られたデータをはじめ、被害の全容を特定していない状態で、端末の初期化を行うと、感染原因や感染経路などが不明瞭になってしまうためです。
フォレンジック調査では、ランサムウェアの感染経路や、脆弱性の特定はもちろん、漏えいしたデータの把握、さらには関係各所への被害報告・再発防止の策定に貢献することができます。
社内の不正
フォレンジック調査は「社外」だけでなく「社内」での不正行為を調査するのに有効です。
横領・データ改ざん
フォレンジック調査では、事実をねつ造した不正経理や、背任・業務上横領などを調査できます。社用端末には、背任にまつわる形跡が記録されていることも多いものの、社内不正を起こす従業員は、パソコンのアクセスログや、電子メールの送受信履歴などを削除し、証拠隠滅に走る傾向があります。
削除されたデータから正確な情報を掴みたいという場合は、不用意な機器の操作は行わず、データ復元も行うフォレンジック業者に依頼することが有効です。
情報漏えい・退職者調査
不正社員は、盗んだ情報を他社に売り込んだり、退職時、端末から情報を抜き取ったりします。この場合、端末や過去ログを調査することで他社との不正なやり取りや、データのコピー履歴を調査することが可能です。
なお、退職者の移籍に伴う訴訟では、移籍した会社へ対し、証拠保全手続き(民事訴訟法234条)を行い、調査を行う場合もあります。
労務訴訟・労働争議(残業代・ハラスメント)
会社内部における労務関連のインシデント調査にも、フォレンジック調査が活用されています。
具体的な活用例は次のとおりです。
- 残業代の不当請求の証明
- 職務怠慢の証明
- ハラスメントの証明
残業代の不当請求・職務怠慢の場合、フォレンジック調査でパソコンの利用状況から勤務実態を把握できます。またハラスメント証明では、チャット履歴やメール履歴の復元によって、ハラスメントに該当するやり取りの履歴を確認し、労務訴訟の証拠として法廷で利用することも可能です。
遺産相続トラブル
遺産相続に必要な資料は多岐にわたり、電子データとして一元管理される事も目立ってきています。しかし、データが記録されたPCやHDDなどデジタル端末には厳重なセキュリティがかかっていることも多く、ロックがかかった機器からデータを取り出そうとすると解除が不可能になったり、データが消えてしまうことがあります。
フォレンジック調査では、このようなケースでもパスワード解除などを行うことで、適切に対応することが可能となっています。
デジタル遺品の種類から、起こり得るトラブルについては下記の記事でも詳しく解説しています。
日本でのフォレンジック活用事例
日本での主要なフォレンジック活用事例は次のとおりです。
フロッピーディスクの改ざん事件
2009年、厚生労働省局長が制度悪用の嫌疑で起訴された際、検察側がフロッピーディスク内に保存されていた文書データを偽造したとして大問題になりました。この事件では、検事が上書きによる証拠隠滅をはかったのですが、フォレンジック調査で内部情報と更新日付に齟齬があることが発覚し、文書偽造の証明につながりました。
従業員の情報漏えい
不正な持ち出しが原因で発生した個人情報流出事件に「ベネッセの大規模情報流出」(2014年)があります。このようなケースでも、フォレンジック調査で内部のサーバやネットワーク機器を解析することで、情報流出に至った原因や過程を調査することが可能です。また解析で得られた情報は、不正社員を相手取った民事訴訟でも法廷資料として活用する事が可能です。
横領調査
企業の従業員が横領をした場合、何らかの処分をするには、事前に十分なフォレンジック調査をして、横領の有無や被害金額を確定することが最も重要になります。たとえば、弊社に寄せられた情報では、次のようなケースでフォレンジック調査が活用されました。
- 数千万円の着服が発覚。社内サーバーはだれでも触れる状態で、共有パスワードが原因で不正アクセスされた。
この場合、端末を解析することで「外部の人間とのやりとり」「本件に関わるやり取り」、さらには転売先の特定につながりました。
遺族の機器のパスワード解除
弊社に寄せられた情報では、次のようなケースでフォレンジック調査が活用されました。
- 亡くなった家族がPCで金融機関とやり取りしており、PCのロック解除・取引状況・IDやパスワードを確認したい。
この案件では、パスワード解除後、ブラウザのブックマークなどから登録された金融機関を確認でき、問い合わせること取引状況の確認に成功しました。
隠滅されたデータの復元
本来はデータが入っているはずの機器が破壊されていたり、フォルダごと削除されているなど証拠隠滅が行われている場合、データ復元をおこなう必要があります。
データ復元は、市販ソフトで手軽に行うこともできますが、データを取り出せる確率は低く、仮に復元できたとしても、データに法的証拠能力を持たせる手続き(フォレンジック)を踏んでいないと、証拠としては認められないこともあります。
そのため、隠滅されたデータを復元し、犯罪や不正行為を立証するには、フォレンジック調査を行うことが重要となってくるのです。
フォレンジック調査の流れ
フォレンジック調査は、主に次の流れで行います。
①証拠保全
証拠データを法執行機関に提出する際、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要です。デジタルデータは重要証拠となり得る一方、誰でも容易に復製・消去・改変することができます。そのため、デジタルデータを証拠として認めさせるには、正しく情報を取り扱うフォレンジック調査サービスで正当な手続き(証拠保全)をとる必要があるのです。
なお、オリジナルの電磁的記録には手を加えず、「正当な手続きのもと調査・解析を行った」という証明を行うには、普通のデータコピーではなく、専用のツールを使用する必要があります。
さらに、機器自体のクローンも作成する必要があり、そのクローンから「ファイルにおける指紋」と呼ばれるハッシュ値や、データの完全性を保証するデジタル署名というメカニズムなどを用いて正確にデータを抽出する、高度なステップを踏まなければなりません。なお、クローンを作成するのは、元の機器が故障して、調査できなくなるリスクを防ぐ役割も兼ねています。
②データの復旧・復元
証拠となり得るデータが削除されている、もしくは、機器自体が破損している場合は、対象機器からデータの復旧・復元作業を行います。
確実性の高い調査を行うためには、証拠保全による証拠の信ぴょう性の有無が、調査結果を左右します。そのためには、破損したデータを修復したり、暗号を解除したり、ファイルの構成を修正したりするなど、抽出データを証拠として使用できる状態に復旧しなければなりません。こうした復旧作業には専用ツールや、高度な専門知識と技術力が不可欠となります。
なお、証拠保全の過程で行う「データ復旧作業」は、難易度が高く、到底個人で対応できるものではないため、データ復旧にも対応しているフォレンジック業者に対応を依頼することをおすすめします。
③データの解析・分析
取り出したデータを解析し証拠となり得るデータの有無を確認します。
フォレンジック調査では主に以下のような内容を解析・分析することができます。
- パケット(ネットワーク上に流れるデータ)
- サーバーログ
- ドキュメントファイルの作成・保存履歴
- メールの送受信履歴
- webサイトの閲覧履歴
- 不明なアプリケーションのインストール・実行履歴
④報告
調査結果の詳細をレポートにまとめ、提出します。
なお、提出されたレポートは証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、法廷利用可能な資料になります。そのためレポートを「第三者の中立的な資料」として扱うことが可能です。
フォレンジック調査の前後で行うこと
初動対応およびフォレンジック調査
インシデント後は、被害の拡大を防止する「初動対応」(インシデント・レスポンス)がマストです。しかし、不適切な初動対応を行うと、証拠データが上書き・消失する恐れがあります。たとえば「ウイルスソフトで不正なソフトを削除・隔離した」「履歴を削除した」「再起動を繰り返した」といった些細な操作であっても、データ消失のリスクがあるため、あらかじめ、初動対応で連携可能なフォレンジックの専門業者とコミュニケーションをとりながら対応するのが、重要です。
対外的対応(外向きの対応)
個人情報の漏えいが疑われる場合、保護委員会や監督官庁など行政機関への報告を行いましょう。また被害全容を特定した状態で、損害補償など今後の対応を広く公表し、場合によっては、公式HPやプレスリリースなどでも情報開示を行いましょう。
復旧および再発防止(内向きの対応)
フォレンジック調査の報告書をもとに、関係する職員の処分をはじめ、セキュリティ上の脆弱性を徹底的に排除しましょう。またセキュリティ教育を行うなどコンプライアンス意識を高め、再発防止策を計画的に実施していきましょう。
フォレンジック調査に必要な知識とは
デジタルデータの保全・収集作業の際、必要不可欠となる知識は次の3つです。
コンピュータやネットワークの知識
大前提として、フォレンジック調査では、対象機器を構成するパーツをはじめ、データが消去・記録される仕組みを工学的に理解する必要があります。また、デジタル機器では日々、マイナーチェンジが行われるため、その差異を日々、明瞭にキャッチアップし、調査に組み込む必要があります。
法的手続きにおける知識
「フォレンジック」を直訳すると、法的証拠を見つける手続きです。つまり、技術的な知識のほか、法律の知識が必要不可欠となってきます。
前提として、デジタルデータは性質上、簡単に改変することが出来ます。そのため、法執行機関などにデータを「証拠」として提出する際、そのデータが適切な手続きで取り出されたことを証明する必要があります。
フォレンジック調査では、まず現状の状態を押さえるために「保全」を行います。そして、法的に通用する手続きを用いて、必要に応じて削除・破損したデータを復元し、専門技術をもって対象のデータを復元します。
セキュリティにおける知識
フォレンジック技術を用いて、サイバー攻撃を調査する際、サイバーセキュリティの知識が必要です。たとえば「どのような攻撃手法で」「どのように侵入し」「結果として、どのような被害が生じたか」を知るには、攻撃手法やそれに使われているツール(トロイの木馬などマルウェア)の構造を知る必要があります。
なお、マルウェアは1日当たり100万個も増えており、日々脆弱性が生まれては、それに対する修正パッチが公開され続けています。つまり、サイバ攻撃の調査には、最新のマルウェアについての網羅的な知識が必要不可欠で、なおかつそれを日々アップデートしていく必要があります。
フォレンジック調査を自力で行うリスク
フォレンジック調査で、正確な調査を行いたい場合は、不正の痕跡となる不審なファイル・データを消去してはいけません。これらデータは不正アクセスやハッキング被害の証拠として、利用できる可能性があるためです。
また、消去するつもりはなくても、個人で機器の解析作業などを行うと、必要なデータやログが上書きされ、「いつ」「どのように」「なぜ」インシデントが発生したのか不明瞭になってしまいます。たとえば、事件現場で鑑識調査が入る前に、第三者が至る所を物色すると、元の現場の様子が失われ、無関係な指紋がついてしまいます。デジタルデータでもこれは変わりありません。
とくに問題となるのが、裁判所に証拠データを提出する際、真っ先に改ざんを疑われることです。本来は、業者によるフォレンジック調査で「法的な手続き」に基づいた証拠保全作業を行わなければなりません。しかし、自力で調査を行うと必要なデータが改変され、証拠能力を失います。データを証拠として活用する場合は、フォレンジック専門業者に任せることをおすすめします。
おすすめフォレンジック業者
フォレンジック調査はメジャーなサービスではないため、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいのか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、おすすめのフォレンジック業者・調査会社を紹介します。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上NO.1のデータの復元業者が提供しているフォレンジックサービスで、データの削除や機器の破壊などが絡む場合には、特におすすめの業者です。
調査専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
そのため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの操作依頼実績も多数あることから実績面でも信頼ができます。法人/個人問わず対応しているため費用面でも安心でき、法人の社内不正調査やサイバー攻撃の被害調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い業者です。
費用 | ★見積り無料 まずはご相談ください |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
特長 | 法人限定の駆け付け対応サービスあり 11年連続国内売上No.1のデータ復元サービスの技術力を活用 ISO認証、プライバシーマーク取得 ★警視庁からの捜査協力依頼実績多数 |
フォレンジック調査にかかる費用・相場
フォレンジック調査にかかる費用は「調査内容」「調査規模」など様々な要因によって異なるため、フォレンジック業者に見積りをとる形になります。
相場としては機器1台につき数十万~数百万円程度はかかるのが一般的ですが、金額はフォレンジック業者・調査会社によってもまちまちのため、まずは相談して見積りをとりましょう。
なお、ハッキングや不正アクセスの被害を受けているか明確でないときや、被害状況が分からない場合でも、適切なフォレンジック業者に相談すれば、有効なアドバイスを受けることができます。
調査以外の費用の内訳
フォレンジック調査以外の領域で以下の費用がかかることも考慮に入れておくべきでしょう。
データ復旧費用
データ復旧費用は「復元対象のデータ数」「対象メディア」「機器の障害レベル」によって大きく異なります。
あらかじめ、復旧費用の見積もりを受けることをおすすめします。
ハードウェア復旧費用
ランサムウェアによる暗号化などでハードウェア自体を復旧する必要が生じた場合、システム全体の再構築などで費用が掛かる場合があります。ただし、ハードウェア復旧費用は必ずしも発生するわけではなく、条件次第であることを考慮しましょう。
再発防止費用
脆弱性を特定後、セキュリティ対策まで対応できるフォレンジック調査も存在します。再発防止費用は今後の対応次第で考慮に入れておく費用と言えるでしょう。
まとめ
今回は、フォレンジック調査の概要やサービスの流れ、業者選定の方法について解説しました。フォレンジックサービスは、まだまだ日本では認知度の低いサービスですが、IT化が加速しているなか、その需要はますます高まっています。デジタル機器やネットワークを通してインシデントが発生した場合には、フォレンジック調査サービスの利用を検討するのも解決に向けた一手になるでしょう。