フォレンジックとは 1

日々セキュリティ管理を担当されている皆さんなら、「フォレンジック」という言葉を耳にしたことがあるかと思います。今回のブログでは、「フォレンジック」について色々ご紹介したいと思います。

フォレンジックの由来

フォレンジック(Forensic)とは、古代ローマのフォーラム(Forum)というラテン語に由来する言葉で、「法医学的な」「犯罪科学捜査の」「法廷の」「裁判に関する」等の意味を持つ形容詞です。

フォレンジックは一般的に法廷弁論の為に利用される科学、すなわち法廷科学、または法科学という概念で使用されます。最近では犯罪捜査や民事・刑事訴訟など、法廷で使われる証拠の収集、保存、分析のための応用科学分野を総称する言葉として使用されています。

コンピュータ関連におけるフォレンジックとは

上記の通り、本来の意味は「法医学的な」「犯罪科学捜査の」「法廷の」という意味を持つフォレンジックですが、コンピュータ分野で使われる場合は、デジタル環境と装置から法廷に提出するデジタル証拠データを収集・分析することを意味します。

1991年にアメリカ・ポートランドのIACIS(International Association of Computer Investigative Specialists、国際コンピュータ捜査専門家協会)で開設された教育課程で「デジタルフォレンジック」という言葉が初めて使われ、1990年代中盤になって広く使用されるようになりました。2000年代に入ると、国家別にデジタルフォレンジック標準が確立され、国家機関を中心にデジタルフォレンジック政策の樹立や新技術に対する研究が始まりました。

21世紀になり、デジタルフォレンジックはコンピューターを利用した不法行為だけではなく、インターネットやネットワーク等を目標としたサイバー攻撃を予想し、攻撃に備える適切な手順の為にデジタルな証拠を収集して法的効力がある証拠を確保、そして裁判へ提出するという、一連の過程を含むようになりました。

また「デジタルフォレンジック」は他にも「コンピュータフォレンジック」、「コンピュータ法科学(computer forensic science)」とも呼ばれたりします。(以降は「フォレンジック」として統一します)

フォレンジックの技術

フォレンジックの技術は、フォレンジックの対象により大きく4つほどに区別されます。保存媒体を対象とし、物理的または電子的に復旧する「デバイスフォレンジック」、ネットワークとシステム、そしてソフトウェアを対象とし、システム情報とネットワークパケット等を分析する「ネットワーク・システムフォレンジック」、アプリケーションの利用情報、ファイルを分析する「アプリケーションフォレンジック」、ファイルシステムを論理的に復旧させたり、ファイルに含まれたデータを可読性のあるものに変え分析する「データフォレンジック」に分けられます。

1:デバイスフォレンジック

デバイスフォレンジック技術は、外部の衝撃から物理的に破壊されたり、電源遮断やショートなどによる電子的に破壊されたデジタル証拠が保存されている各種保存媒体を、破壊される以前の状態に復旧する技術です。また、原本保存媒体に保存されているデジタル証拠資料を破損させないよう保存する技術のことをいいます。

2:アプリケーションフォレンジック

暗号化されたデータを復号化したり、意図的に隠ぺいされた情報を識別し、可読性のある状態にする技術です。またインターネットを利用した場合には、システムに保存されているインターネットブラウザーのクッキー、ヒストリーファイルを利用し、アクセスしたウェブサイトの情報を獲得・分析します。

3:ネットワーク・システムフォレンジック

ネットワークパケット、周辺ネットワークの情報などのログファイルを収集・分析し、システムに設置されたソフトウェアの情報を獲得、実行ファイルを分析する技術です。特にシステムの場合、RAMは電源が消えると同時に保存されていたデータも自動的に削除される揮発性メモリーの為、システム遮断以前にメモリー内に含まれていた情報を書き出して出力したり、モニター画面をキャプチャーし保存し、デジタル証拠として確保する必要があります。

4:データフォレンジック

データが保存されている保存媒体を論理的に破損される前の正常な状態に復旧したり、ディスク、ディレクトリファイル等に対する情報を可読性のある状態で出力する技術です。例を挙げると、不法行為者が自身の証拠を消す為にファイルを削除したり、拡張子を変えたりする可能性があります。しかし削除や変更をしたとしても、全てのデータが削除されるわけではありません。ファイルの削除はシステムでFAT(File Allocation Table)、MFT(Master File Table)、オペレーティングシステムでディスクのファイル位置を記録する為に使用するデータ構造で、項目一つを削除することにより、連結されないようすることです。
よって復旧プログラムを実行し、このような項目を再度結合させます。また一般利用者が電子的・物理的な破損に備え、重要なデータを周期的にバックアップするように、不法行為者もバックアップデータを維持しようとします。すなわち、外部ハードディスク、CDなどの保存媒体や、圧縮ファイルが存在する場合、バックアップファイルがある可能性が高いです。バックアップファイルを収集し分析する事も、重要なデジタル証拠資料を獲得する方法の一つといえます。

次回のブログでは、フォレンジックの手順を詳しくご紹介したいと思います。