フォレンジックとは 2

前回はフォレンジックの意味、歴史、色々なフォレンジック技術などをご紹介しました。今回はフォレンジックの手順について、詳しく見ていきたいと思います。

フォレンジックの手順

膨大で様々な情報が保存されているネットワークシステムでサイバー攻撃が行われた事を立証する証拠の確保は、非常に複雑な作業となります。またその証拠が法的効力を持つように分析・加工するのも大変難しい作業です。特にサイバー攻撃者がコンピュータに関する幅広い知識を持ち、様々な技術を利用し自身の攻撃の痕跡を隠していたとすれば、証拠を見つけ立証するのはさらに困難を極めます。

よってフォレンジックは多様な情報収集、分析技術を利用し、体系的な手順を踏みサイバー攻撃の証拠資料やサイバー攻撃者を特定しなければなりません。一般的なフォレンジックの手続きは以下のようになり、実際の一般捜査過程と大きく違うところはありません。

1:準備段階(Preparation)

フォレンジックを行う専門家を集め、各種装備、ソフトウェアまたはハードウェアを準備し点検する段階です。特にフォレンジックに使用されるソフトウェアは、フォレンジックの一連の手続きを効果的、体系的に実施出来るようにする独立、または総合ツールです。フォレンジックソフトウェアはハードディスク使用防止、ディスクイメージングツール、各種ファイル検索ツール、分析・復旧ツール、総合分析ツールなどがあります。

2:証拠資料収集・検査段階(Collection)

不法行為が発生した場所で、ネットワークシステム、または行為者が使用したコンピュータを押収し各種保存媒体からデジタル証拠を獲得する段階です。デジタル証拠(Digital Evidence)はデジタル形態で保存、転送される証拠としてファイル、ネットワークパケット、メモリー情報、オペレーティングシステムまたはソフトウェアの情報など、価値ある情報を意味します。
デジタル証拠を獲得する段階では、証拠の完全性が非常に重要となってきますが、万一、専門家がファイルを開き最終アクセス時間が変更されてしまったら、不法行為が行われた時に文書が作成されたという事を証明するのは不可能です。よって証拠資料の獲得段階では原本データの完全性を維持する為、ディスクイメージングや不法行為へ使用されたコンピュータの時間確認、モニター画面の写真、実行中のプロセス確認などの過程が必ず必要となります。
ハードディスクのような保存媒体へ保存されたデータを抽出する過程をディスクイメージング(Disk Imaging)と言います。ディスクのコピーとは違い、ディスク内になる隠しファイル、一時ファイル、損傷したファイルや削除済みファイルの残余情報がそのまま存在するので、ハードディスクを直接接続しなくてもフォレンジック分析を実施することが出来るという長所があります。

3:請求・移送段階(Request Receipt・Transport)

日常生活で発生する一般的な犯罪の場合でも証拠資料の保管・移送途中に何らかの問題が発生し、法的効果を失う場合が時折発生することがあります。
デジタル証拠資料も同様に、物理的に破損してしまったりウィルスによる破壊や完全性の喪失など、法的効果を失ってしまう場合があります。よって収集された証拠資料を分析室、または保管所に安全に移す為の方法を講じなければいけません。
デジタル証拠資料は大部分が磁気記録保存媒体に保存されているので、電磁波(EMP)や電子爆弾(E-Bomb)による攻撃を受ければ、保存されたデータが全て破壊されてしまいます。なので不法行為者は証拠移送途中や、保管所から遠く離れた場所から電子武器を使用し、全てのデジタル証拠資料を無力化することが可能です。これを防ぐ為、証拠資料は必ず二重に保護し、電磁波と物理的衝撃にも耐える静電気防止用パック、ハードケース等の保管ツールを使用することが必要です。

4:分析段階(Analysis)

獲得したデジタル証拠資料を調査・分析する段階として、ディスクブラウジング、データビュー、ファイル復旧などの様々な企業が活用されています。確認過程で不法行為の証拠が発見されると、原本データの完全性を維持しつつデータ確認過程を文書化しなければなりません。

5:報告書作成(Reporting)

フォレンジック全ての段階の内容を文書化する段階で、一連の過程を正確に作成し、証拠資料から妥当性を提供することが必要です。よって証拠資料獲得、保管・移送、分析などの全ての過程を明確に客観的な視点で説明し、不法行為を立証できるよう論理的に作成します。万一、フォレンジック専門家にアドバイスや相談を要請したならば、専門家所見書も含めて報告書を作成するのが望ましいでしょう。

このような手順を経て、コンピュータ関連調査・捜査を支援し、デジタルデータが法的効果を得られるようにする科学的・論理的な手順と方法を研究する法科学の一分野として、事件を解決へと導きます。但し、これだけの手順を自社の組織が単体で行うことは非常に困難であると言えます。サイバーセキュリティ犯罪に関する豊富な経験と知見を持ち合わせたシングテルのサイバーセキュリティ部門、Trustwaveのマネージドセキュリティサービスでは、フォレンジックサービスも提供しています。ぜひ、この機会にご検討ください。