お問い合わせ
- 「何が起きたのか分からない」
- 「社内の誰かが関わっているかもしれない」
- 「本当に証拠として使える情報は残っているのか」
こうした不安をお持ちのお客様に対して、サーバに対するフォレンジック調査では次のような工程を通じて、見えないサイバー攻撃や内部不正の全貌を可視化し、証拠として保全・報告します。
目次
サーバーに対するフォレンジック調査の流れ
調査の流れは明確に4ステップに分かれており、それぞれの工程でお客様に提供される成果物やアウトプットがあります。以下で、その流れをわかりやすくご説明いたします。
データの保全(Collection)
最初のステップでは、調査対象となるサーバーやクラウド環境上のデータを改変されない状態で保全します。ここでの目的は、裁判や警察提出にも耐えうる証拠としてデータを保持することです。
- 対象サーバーの稼働状況を確認し、必要に応じてメモリ内容(RAM)をダンプとして保存します。
- 物理サーバーであれば、ハードディスクの内容をビット単位(bit-by-bit)で丸ごとコピーします。
- 仮想環境(例:AWS、Azure)では、該当インスタンスのスナップショットを取得し、完全な状態を保存します。
- 保全したデータにはハッシュ値を付けて改ざんの有無をチェックできる状態にします。
注意: データ保全に失敗すると、ログが書き換えられたり、重要な証拠が消失してしまいます。誤った操作を避けるためにも、必ず専門業者による対応をおすすめします。
データ解析(Examination)
保全されたデータをもとに、調査に必要なログ、ファイル履歴、通信履歴などを抽出していきます。お客様にはこの時点で「不審な操作履歴があったかどうか」「ファイルが削除されていたかどうか」などの中間報告が可能になります。
- 専用のフォレンジックツールで保全データを読み込みます。
- ファイルの更新・作成・削除時間を解析し、時系列に沿ったタイムラインを作成します。
- レジストリやシステムログから、実行されたアプリや操作履歴を抽出します。
- 削除済みのファイルの復元や、隠しファイルの検出も行います。
この工程で、「いつ、誰が、何をしたのか?」を可視化するための下準備が整います。
分析(Analysis)
抽出されたデータをもとに、実際に起こった不正やサイバー攻撃の詳細を解析します。お客様にとってはここが核心フェーズであり、「被害範囲・侵入経路・攻撃手法」などの事実が明らかになります。
- タイムラインやログから、疑わしいアクティビティ(ログイン、ファイル転送など)を検出します。
- 発見されたマルウェアについて、動作解析を行い、感染後の挙動を分析します。
- 被害端末から社外へのデータ転送履歴があるかを確認します。
- 他端末への拡散や二次被害の兆候を精査します。
この段階では、実際に使われた手法(例:リモートアクセスツール、フィッシングリンク、脆弱性悪用)も特定可能です。
報告(Reporting)
調査で得られた全ての情報を整理し、お客様にとって実用的で法的にも有効な報告書を作成します。必要に応じて、証拠ファイル・操作履歴の出典・スクリーンショット付きの図解なども含め、わかりやすくまとめます。
- 調査結果をタイムライン形式で整理し、全体像を可視化します。
- 被害内容、原因、再発防止策を明文化します。
- 証拠ログ・ファイルの取得経緯や改ざん防止策についても記載します。
- 報告書の末尾には調査担当者の署名と調査手法・使用ツールを明記します。
報告書は、警察提出や裁判資料、内部処分などにも使用される重要資料です。そのため、調査会社の技術力と報告品質は、依頼前に必ず確認しておきましょう。
サーバー上のデータ保全時の注意点
サーバー上のデータを保全する際には、些細なミスが証拠の破壊や無効化につながりかねません。特に法的証拠として使用する場合、データの真正性(オリジナル性)を担保できるかが非常に重要です。
このセクションでは、データ保全の際に気を付けるべき代表的なポイントを解説します。これらを把握しておくことで、後々の分析や報告フェーズで問題が発生するリスクを未然に防げます。
直接サーバーを操作しない
ハッキングが疑われるサーバーに対して、調査前に管理者が不用意に操作を加えることは最も大きなリスクです。
- サーバーにログインしてコマンド操作やログ確認を行うと、その時点の操作ログが新たに記録されます。
- これにより、犯人のログと自分の操作ログが混在し、誰が何をしたのか分からなくなってしまいます。
- 調査の初動では一切の操作を避け、すぐに専門業者へ連絡することがベストです。
システムの再起動・シャットダウンに注意
シャットダウンや再起動によって、揮発性の情報(RAM内のプロセス・接続履歴など)が消失してしまう可能性があります。これは非常に重要な証拠です。
- 感染しているプロセス情報や、通信先IPアドレスはメモリ上に存在している場合があります。
- これらの情報は、電源を切った時点で完全に消失してしまいます。
- 現場では電源を落とさず、状態を維持したまま、メモリダンプの取得を優先しましょう。
ネットワークはすぐに遮断する
サーバーが不正アクセスやマルウェア感染などのインシデントに見舞われていると判断された場合、ネットワーク接続は直ちに遮断する必要があります。これは、攻撃者によるリモート操作やデータの持ち出し、証拠の削除を未然に防ぐためです。
- インシデントが発生した時点で、ログや痕跡は多くの場合すでにサーバー内に残っています。
- 通信が継続していると、攻撃者がログを消去したり、さらなる侵入・感染を試みる可能性があります。
- そのため、すぐにLANケーブルを抜く、仮想環境であればインターフェースを切断するなどの措置を取りましょう。
通信の遮断は、さらなる被害拡大を食い止めるための初動対応として最優先です。ログ取得のタイミングに迷うよりも、まずは攻撃経路を断つことが先決となります。
ログやメタデータの改変に注意
サーバーに接続することで、ファイルの「最終アクセス日時」や「更新日時」が意図せず書き換えられてしまうことがあります。
- 特にWindows環境では、エクスプローラーでフォルダを開いただけでタイムスタンプが変更されるケースがあります。
- Linuxでも、コマンド操作(cat, ls, viなど)でファイルにアクセスするとメタデータが更新されます。
- データに触れずに、ディスクイメージを丸ごとコピーする方式が安全です。
これらの注意点を守らずに個人または社内だけで調査を進めてしまうと、証拠能力を損ねてしまう危険があります。法的トラブルに発展する恐れがある場合は、必ず専門のフォレンジック調査会社に相談することを推奨します。
サーバーの調査はデジタルデータフォレンジックに相談
適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
サーバーの記録保持とログ管理の重要性
フォレンジック調査の成否を大きく左右するのが、日々の「ログ管理」と「記録の保持状況」です。実際に多くの企業インシデントで、「ログが残っていなかった」「必要な証跡が上書きされていた」といった事例が後を絶ちません。
どんなに高度なフォレンジック技術があっても、調査対象となるデータが残っていなければ真相解明は困難です。そのため、平時からのログ保存設定や記録管理が非常に重要です。
Windows・Linuxのログ保存期間を確認する
標準設定のままだと、多くのシステムでログが短期間しか保存されていません。例えば、Windowsのイベントログは最大でも20MB程度。ログが一定量に達すると古い情報から順次削除されていきます。
- Windowsでは「イベントビューアー」を開き、「セキュリティ」「システム」などのログサイズを確認します。
- 必要に応じてグループポリシーでログの最大サイズを拡張する設定に変更します。
- Linux環境では、syslogやjournaldの設定ファイルを確認し、ログローテーションの期間を延長しましょう。
ログが数日〜数週間しか保存されない環境では、インシデント発生時に手遅れとなる可能性が高まります。
仮想環境はスナップショット取得を優先
VMwareやAWS EC2、Azureなどの仮想環境で稼働するサーバーでは、ログ保存だけでなくスナップショット機能を活用した状態保存が極めて重要です。
- インシデント発生直後に、対象インスタンスのスナップショットを取得してください。
- その時点のディスク状態やRAM情報をまるごと凍結できるため、調査対象としての信頼性が高まります。
- クラウドの場合、APIやCLIからの自動取得も可能です。緊急時用のスクリプトを用意しておくのが望ましいです。
記録媒体の容量や上書きルールを見直す
フォレンジック調査で必要なログが消えてしまっているケースの多くは、ログを保存する領域が足りない、またはローテーション設定が甘いといったシステム設定ミスによるものです。
- ファイアウォール、ルーター、NASなども含め、ログ保存容量を定期的にチェックしましょう。
- 容量不足が懸念される場合は、外部ストレージやSyslogサーバーへの転送設定を構成します。
- ローテーション期間・圧縮・自動削除の条件も併せて見直す必要があります。
サーバーの関連機器のログの取得
サーバー単体のログだけでは、インシデントの全体像を把握するのは困難です。特に外部からの攻撃や社内ネットワークを介した不正アクセスの場合、関連機器(ネットワーク機器・セキュリティ製品など)のログが極めて重要な証拠となります。
ここでは、調査に役立つログの種類と、それらをどのように取得・活用すべきかについて具体的に説明します。
ルーター・ファイアウォールの通信ログ
不審な外部IPアドレスへの通信や、内部からの大量データ送信など、外部との出入りを監視する機器のログは、被害範囲の特定に不可欠です。
- ファイアウォールやUTMの管理画面にアクセスし、対象期間のログをCSVやSyslog形式でエクスポートします。
- 特に「拒否された通信」「未承認プロトコル」「異常なポート使用」などを抽出します。
- 不審な宛先IPは、IPレピュテーションデータベースと照合することで、マルウェアC2サーバーや不正ホストの可能性を評価できます。
Proxyサーバーのアクセスログ
HTTP/HTTPSの通信を通じて外部とやりとりがある場合、Proxyサーバーのログにはアクセス先ドメインやURLの履歴が記録されています。
- 対象サーバーや端末のIPアドレスをもとに、該当期間のアクセスログをフィルタリングします。
- 不審なURL(例:ランダム文字列、短縮URL、海外の非正規サイトなど)を洗い出します。
- 過去にアクセスされた悪性サイトの痕跡やリダイレクトURLなどを含めて報告対象とします。
セキュリティ製品のログ(EDR、IPS等)
企業によってはEDR(Endpoint Detection and Response)やIPS(Intrusion Prevention System)を導入しているケースがあります。これらは不審な挙動をリアルタイムに検知・記録してくれるため、非常に価値の高いログソースです。
- セキュリティ製品の管理コンソールから、対象デバイスに関連するログをエクスポートします。
- 検知された脅威、動作プロセス、ネットワークアクティビティなどを中心に確認します。
- アラートのレベルや種類を基に、調査優先度を分類します。
資産管理ソフト・監査ログ
社内で使用されている資産管理ツール(例:LanScope、SKYSEAなど)や、OSの監査ログからも有効な情報を取得できます。ユーザー操作やファイルアクセス履歴を確認することで、内部不正の兆候を捉えることが可能です。
- 該当端末のログイン履歴、USB機器の接続状況、アプリケーションの使用履歴を抽出します。
- 削除操作やファイルのコピー履歴など、証拠隠滅につながる行動がなかったか確認します。
- ユーザーごとの操作ログを可視化することで、責任の所在を明確にできます。
これらのログは、一見「関係なさそう」に見えても、攻撃の全体像を紐解く重要なピースになります。なるべく多くのログを横断的に取得・保存しておくことが、精度の高いフォレンジック調査につながります。
サーバーの個人での調査リスクと注意点
サーバーで不審な挙動や被害の兆候を確認した際、「とりあえず自分で調べてみよう」と考える担当者は少なくありません。しかし、ここで自己判断による調査を行うことは、証拠の破壊・法的トラブル・社内責任問題を引き起こす大きなリスクを伴います。
特にランサムウェアや不正アクセス、内部不正・横領といった警察・裁判沙汰に発展する可能性のあるインシデントでは、証拠能力の維持と対応の正確性が何よりも重要です。
ログや証拠の改ざん・消失リスクが高い
一般ユーザーが普段どおりの操作でサーバーにアクセスすると、それだけでファイルのアクセス日時が書き換えられたり、ログが上書きされることがあります。
- Windows環境では、エクスプローラーでファイルを開くだけでタイムスタンプが変更されます。
- Linuxでは、catやviコマンドでもログが更新され、調査対象の信頼性が損なわれます。
- 一度でも手を加えると、フォレンジック調査で「証拠が操作された」と見なされる可能性があります。
操作ミスによる事実の隠蔽や再現不能
調査経験のない方が誤って削除・再起動・遮断操作などを行った場合、証拠が完全に失われ、二度と調査できなくなることもあります。
- 調査対象のサーバーを再起動してしまうと、メモリ内の一時情報(通信履歴、実行中プロセス等)が消滅します。
- アクセスログを確認するつもりで開いた際に、証拠ファイルを上書きしてしまうことも珍しくありません。
- 操作の痕跡すら残らず、真相が不明なまま調査不能に陥るケースも実際に存在します。
法的に無効な証拠として扱われる可能性
個人や社内関係者が取得したログやファイルが、法的な証拠として認められないケースがあります。
- ログの信憑性(改ざんがなかったか)を証明するためには、専門的な手法での保全とハッシュ値の照合が必要です。
- 操作ログや画面キャプチャだけでは、証拠としての客観性が担保されません。
- 裁判や警察への提出時に、無効とされる可能性が高まります。
責任追及や調査の不備で社内問題に発展
結果として「証拠がない」「調査が中途半端だった」場合、社内の責任問題や管理不備の指摘に発展する恐れがあります。
- 自力での調査が失敗した結果、加害者の特定や社内統制の説明責任を果たせなくなるケースもあります。
- 社外からの問い合わせや監査で、「第三者による証明がない」ことが大きな問題視されます。
- 結果的に、会社の信用問題にまで影響を及ぼす可能性があります。
まとめ
サーバーに関するインシデントは、企業にとって経済的損失だけでなく、社会的信用の喪失や法的リスクにも直結します。こうした重大な状況において、サーバーのフォレンジック調査は、被害の原因特定・再発防止・責任所在の明確化を実現するための最重要手段です。
この記事でご紹介したように、フォレンジック調査は以下のような構成で進みます。
- 「データの保全」で改ざんや削除を防ぐ
- 「データ解析」で操作履歴や痕跡を抽出
- 「分析」で不正アクセスや内部犯行の全貌を明らかにする
- 「報告」で証拠として有効な形にまとめる
ただし、こうした調査は極めて繊細で専門性の高い領域であり、操作ミスや知識不足により、証拠が失われたり法的効力を持たないケースも少なくありません。
特に、ランサムウェア被害・社内不正・機密情報の漏えいといった法的インパクトがあるケースでは、必ずフォレンジック専門会社に依頼することが推奨されます。
これだけは守っておきたい3つの原則
- サーバーに勝手に触らない – ログや証拠が破壊されるリスクがあります。
- ネットワークは速やかに遮断する – 攻撃者の動きを即座に止めるためです。
- すぐにフォレンジック専門家に相談する – 正確かつ法的に有効な調査を行うには必須です。
また、インシデントが発生していない平時においても、以下のような備えをしておくことが重要です。
- ログの保存期間や保存容量の見直し
- 仮想環境のスナップショット取得体制の構築
- インシデント対応マニュアルや初動フローの整備
「もしものとき」に冷静かつ正確な対応ができるよう、日頃から準備をしておくことが、情報資産を守る最善のセキュリティ対策となります。
ご不安な点がある方は、お早めにデジタルフォレンジックの専門業者にご相談ください。
