ディジタル・フォレンジック
ディジタル・フォレンジック (Digital Forensics)
ディジタル・フォレンジックとは
不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争・訴訟が生じた際に,電子的記録の証拠保全や収集・分析を行うとともに,電子的記録の改ざん・毀損等の分析に関する一連の科学的調査手法・技術の総称である. 対象は,パソコンやサーバ,ネットワーク機器,携帯電話,情報家電など,ディジタルデータを扱う機器全般である.
"forensics" には「法医学」,「科学捜査」,「鑑識」といった意味がある. ディジタル・フォレンジックはコンピュータ・フォレンジックとも呼ばれ,コンピュータ内部を調査して法的証拠を見つける手法である.
ディジタル・フォレンジックの目的
ディジタル・フォレンジックは,犯罪や法的紛争・訴訟が生じた際ばかりでなく,コンピュータセキュリティを積極的に維持することにも繋がる.
ディジタル・フォレンジックは,以下のような場面で利用される.
犯罪・訴訟の捜査
ハイテク犯罪や情報漏洩事件などの不正行為発生後にディジタル機器等を調査し,いつどこで誰が何をどのように行ったか等の情報を適切に取得し,問題の所在を分析する.
具体的には,次のような事実があるか否かを調査,検証する.ある場合,その証拠を取得する.
データの改ざん
重要ファイルや帳簿の改ざん等の有無と改ざんの証拠
重要情報の漏えい
重要情報が外部に漏れた経緯とその手段 (インターネット上のやり取り,USBメモリへのファイルコピーの形跡など)
定期監査
定期的にフォレンジックを用いた監査を行う事により,不正行為の発生を抑止するとともに発生後の対応を迅速に行えるようにする.
日常活動
ディジタル・データの保全,解析,保管等の日常的な取り扱いが適切に行われるよう,その手順や方法を常に見直し,ディジタル情報に関する法的権利が正しく守れるようにする.
ディジタル・フォレンジック手法
証拠の保全作業
ディジタルデータの証拠保全作業に際しては,次の点に留意する必要がある.
証拠の保全
電子的なデータは破壊や改ざんが容易であることから,法的紛争・訴訟において疑念の余地なく採用可能な証拠であることが十分に検証されねばならない.そのため,証拠は基本的に複製ではなくオリジナルなものが必要である (最良証拠の原則).
保全作業の記録
証拠の保全作業において,オリジナルな証拠が適切に選択,識別され,証拠性を損なうことなく取り扱われたことの客観的な証明ができるよう記録を残す.
オリジナルの物理的コピー
オリジナルデータを用いた解析作業はできないため,コピーを作成する必要がある.このとき,ディスクのコピーなどオリジナルのデータは正確にコピーされねばならない(論理的なデータのコピーではなく,物理的なコピーを行う).
証拠の一貫性
暗号学的ハッシュ関数を使い,オリジナルデータのハッシュ値が証拠保全から証拠の解析,提出までの間に変化していないことを示し,証拠の一貫性を証明する.
フォレンジック調査
フォレンジック調査は,基本的にはハードディスクやメモリにあるディジタル情報の解析である (クラウドやネットワーク上の情報を対象にする場合もある) .
具体的な分析・情報収集作業には次のようなものが含まれる.
押収したハードディスクから証拠となるファイルを探し出す (Eメール,データファイル,画像など).
サーバのログファイルから不正アクセスの記録を割り出す.
破壊・消去されたディスクを復元して証拠となるデータを押収する.
データが捏造されたものかどうかを検証する.
Windowsレジストリ上の疑わしい情報に関する調査
パスワードの発見とクラッキングによる情報解読
犯罪に関連した主題のキーワード捜査
フォレンジックの手順
ディスクの物理的コピー
対象ディスクを“証拠”として保管するために,ディスク内容を専用の装置(ソフトウェア)を使って物理的にコピーする.ディスクをセクター単位にコピーすることで,OS が認識できない部分も含めてオリジナルに忠実なディスクを作成する.
ファイルの抽出
コピーしたディスクに存在するファイルをを抽出する.このとき,Webブラウザが利用するキャッシュ・ファイルを基に Webアクセスの履歴を明らかにしたり,レジストリ情報から外部記憶装置の利用状況を調べたりする.
削除ファイルの復元
削除されたファイルをできる限り復元する.
OS のファイル・システムは,個々のファイルの管理情報 (ファイル名称,作成日時,アクセス権,ディスク上の位置情報など) をテーブルの形で保持している. ファイルを削除すると OS から認識できなくなるが,ディスク上でデータが完全に消去されるわけではない.その領域が再利用されない限り,データはディスク上に残っている.この場合,位置情報を特定できれば,ファイルのヘッダー情報を参照してファイル形式を特定し復元可能である.
アプリケーション対応の復元
主要なアプリケーション用のファイルに関しては,個別のノウハウを駆使してファイルを復元する. 例えばメール・ソフトであれば,送受信メールが格納されたファイルから,上記のファイル・システムと同様な方法で,メール管理情報を元に削除されたメールを復元する.
フォレンジックにおいてディスクの中身をできるだけ復元するためには,残っている“痕跡”を消さないことが重要である.異常が検出された場合,ネットワークから切り離すなど被害が拡散しないような対処をした後,不用意に PC を操作したり,ファイルにアクセスしないことが重要である.
フォレンジック技法
削除されたファイルの回復(Recovery of deleted files)
管理情報からの復元
通常のファイルの削除操作では,ファイル管理情報の特定の管理データが変更されるだけで,データ本体が消えたわけでない.上書きされていなければ,ほぼ完全な形で復元が可能である.
痕跡から復元(データカービング)
ファイルの種別ごとに特徴的な要素を捉え,その痕跡からデータを復元する.復元方法はファイルの種類ごとに異なる. 例えば,HTML ファイルならば,先頭に文書型宣言があり,特定のタグ要素が続くなどを順次解析しながら元のドキュメントを復元していく.
タイムライン解析
ファイルシステムやログファイルなどのタイムスタンプ情報 (データ更新日時,データアクセス日時など) を元に,発生した事象を時系列に並べ因果関係や原因を調査する方法である.タイムスタンプ情報を適切に解析することにより,ファイルシステムに対して何が行われたかを確認することができる.
文字列検索
ディスクのセクタやクラスタ,ダンプされたメモリイメージに対して文字列検索する.検索キーワードを適切な文字コードで指定する必要があるため,記録されているデータの文字コードを事前に調べておく必要がある.
削除されたデータの痕跡の発見や,削除ファイルの断片的な内容を確認できる可能性がある.
メモリフォレンジック
対象マシンのメモリイメージを取得し,メモリ上にしか存在しないマルウェアの実行イメージを抽出し解析する.また,ファイルシステムに痕跡が残りにくいアプリケーションの利用履歴を解析したり,メモリから鍵を抽出して暗号化された情報を復号するなどを行う.
ネットワークフォレンジック
ネットワークを利用したリモートからのフォレンジック
ネットワークを流れるパケットを解析するフォレンジック