フォレンジック

フォレンジック調査とは | その役割とメリット、活用事例、手順など徹底解説

フォレンジック調査

フォレンジックとは、法廷で認められる証拠分析を行うことです。
現在では単にフォレンジックというと、デジタル機器を調査・解析し、電磁的データから法的証拠を見つける「デジタルフォレンジック」を指します。この記事では、デジタルフォレンジックの概要とメリット、実際の流れについて紹介します。

動画での解説は以下のコンテンツを参照してください。

 

1. デジタル・フォレンジックとは

フォレンジックには「法廷の」「法科学」という意味があります。たとえば、警察は科学捜査の過程で、指紋採取やDNA検査などの科学捜査を行います。

このような手続きを「フォレンジック」と呼び、とくにデジタル機器を解析・調査して、証拠能力を確保したり、法的資料を作成する一連の手続きを「デジタル・フォレンジック」と呼びます。またデジタル・フォレンジックの需要もパソコンやスマートフォンの急速な普及に伴い、急増しています。

このような「デジタルフォレンジック」は、対象によって主に以下の2つに分けられます。

コンピュータフォレンジック

コンピュータフォレンジックは、PC・サーバ・HDDなどのデジタル機器を調査対象としたものです。コンピュータフォレンジックでは、調査対象となる端末のHDDを証拠用と解析用に2つ複製し、消去データ・ファイルの内容を解析用HDDから判別でき、証拠を特定し、保全することが可能です。

コンピュータフォレンジックの活用事例としては、次のような不正調査があげられます。

・社内での横領事件を調査したい
 …対象者の社用端末から不正の証拠を取り出す

・残業代の申請が妥当かを判断したい
 …パソコンの閲覧履歴やアクセスログから社員の勤怠状況を精査する

・退職者の不正を調査したい
 …社外秘データ(顧客情報・知的財産など)の持ち出し疑いを分析する

ただし、不正証拠となるデータは、改ざん(消去・初期化)されていることが多いため、コンピュータフォレンジックの調査だけでなく、データ復旧技術を用いて、証拠になり得るデータを復元・収集する場合もあります。特に機器が物理的に破壊されているケースでは、データ復旧技術に強みがある専門業者を選定することが何よりも重要となってきます。

ネットワークフォレンジック

ネットワークフォレンジックとは、ネット上のパケットデータ、メールの送受信、Webサイトの閲覧履歴などを調査・解析するフォレンジック調査です。

ネットワークフォレンジックでは、取得したパケットがどのネットワーク機器を通ったかという経路まで解析ができるため、挙動の怪しい不正端末を特定できます。

ネットワークフォレンジックでは、次のような事例調査に活用できます。

・情報漏えい、ウイルス感染経路の調査・特定
・ハッキング・不正アクセスの痕跡の保全
・コンピュータ利用状況やデータ通信など履歴の解析 など

なお、コンピュータフォレンジックとネットワークフォレンジックは、どちらか片方のみしか行わないわけではなく、2つあわせて「デジタルフォレンジック」の両輪を補完する関係となっています。たとえば、ネットワークフォレンジックでログ解析して不正な端末を特定後、コンピュータフォレンジックで特定した不正端末を直接調べることもあります。

2. フォレンジック調査のメリット

フォレンジック調査の主なメリットには次の2つが主に挙げられます。

メリット1 :デジタルデータを証拠として使用できる

デジタル機器に残されたデータは、未整理のままだと裁判官をはじめ、第三者が理解できず、法的証拠性が確保できないため、まずは第三者が可読できる資料を作成する必要があります。しかし、電子データは改変が容易なため、正しい手順で操作や解析/分析を行わないと、データが意図しない形で変更されてしまいます。

たとえば電子データには「ハッシュ値」(デジタル指紋)と呼ばれる特殊な数値が設定されており、これはデータが改ざんされていないことを証明する指標となります。しかし、元データに操作を加えることで、ハッシュ値は簡単に変更されてしまい、結果として証拠能力を失ってしまいます。

そこで、有効な手段がフォレンジック調査です。
フォレンジック調査では、専門のエンジニアが正確な手続きを踏まえるため、調査の前後でデータが変わることはありません。また、フォレンジック調査では、法的な証拠性を確保した調査報告書の作成も可能です(この報告書は裁判資料としても法廷に提出可能です)。

メリット2:インシデントの早急な究明が行える

現在は急速な情報化によって企業の保有するデータも膨大なものになっています。
中小企業のフォレンジック調査でも、大量のデータを処理するため、調査に時間を要してしまうのが現状ですが、そのような場合は短時間で適切な操作が行えるファストフォレンジックが有効です。

ファストフォレンジックでは、ネットワーク上の多数のマシン・サーバーなどから、調査に必要な部分のみを迅速に調査・取得することで、セキュリティインシデントの有無や不審な通信が確認できる端末を特定することができます。

また調査対象のデータや端末を絞り込んだ後は、それに対してディープフォレンジックによる解析をかけることで、より詳細なインシデント調査を行うことが可能です。

3. フォレンジック調査の活用事例

フォレンジック調査では、対象のデジタル機器から、サイバー攻撃や社内正行為の記録を、完全な形で記録・分析・保全することができます。また、フォレンジックを導入することで、自社の情報システムの脆弱性を特定できるほか、内部不正の抑止にもつながります。

フォレンジック調査の活用例を具体的に見ていきましょう。

ウイルスの感染経路や被害規模の特定

フォレンジック調査では、ウイルスやハッキングの経路や被害規模を明らかにし、セキュリティ上の脆弱性を発見することで、今後のリスクマネジメントに活かすことができます。

また弊社では解析調査や報告書作成に加え、お客様のセキュリティ強化に最適なサポートもご案内しています。

ハッキングによる情報漏えいの有無

攻撃者がハッキングを行う最大の目的は、情報の窃取です。盗み取った情報は、悪用される恐れが高いため、どの情報が盗まれたのかを正確に把握しておく必要があります。

なお、ログやパケットデータの解析を個人で特定することは困難ですが、フォレンジック調査では、適切な手続きで正確に情報を割り出し、解析することが可能です。

情報持ち出しや横領など社内不正の調査

社内不正・背任行為に対して、当該社員に貸与されていた社用携帯にモバイルフォレンジックを施すことで、法的措置を検討している場合でもスムーズに対応が可能です。

なお、社内不正調査におけるモバイルフォレンジックでは、次の社内不正を調査することが可能となっています。

  • 退職者のデータ持ち出し
  • 残業代の不当請求
  • 粉飾会計・横領・脱税
  • 職務怠慢
  • パワハラ

このようなケースでは、WEBの閲覧履歴や使用履歴、アクセスログなどを調査します。もっとも、隠ぺい目的でデータやログが改ざん、ないし削除されていることも多いため、削除の痕跡はもちろん、場合によってはデータ復元技術も用いてデータの復元を行います。

4. フォレンジック調査の流れ

フォレンジック調査の手順は「証拠保全」「調査/解析」「報告」の三つから成ります。もし正しい手順でフォレンジックを行わないと、証拠能力が認められなくなるため、社内のシステム担当者では対応が難しく、フォレンジックの専門的な技術が必要不可欠となります。

特定

調査に入る前に、事前準備を行います。対象となるデータやインシデントの状況を整理・把握し、対象となる調査期間や機器を特定し調査を行う体制を整えます。

証拠保全

証拠保全とは、データの改ざん・編集を行うことなく調査対象の機器から抽出された情報を元に調査を行ったことを証明するために行う作業です。

保全作業では、専用機器で調査対象の機器を複製し、ハッシュ値からオリジナルデータと同一であることを確認することで、対象機器内にあるデータ改変を防ぎます。

分析・解析

その後、ヒアリングで得た情報と対象機器の情報を照らし合わせながら、実際に何が起こったのか分析・解析を行います。また、証拠データはメールや履歴など膨大な情報量となるため、その中から証拠や原因を見つけ出す技術力も必要不可欠となります。

データ収集後の解析作業ではファイルの作成日時やアクセス履歴などを分析できるように、専用ツールでローデータを可読化します。その後の分析作業ではインシデントの原因経路や、詳細日時、また実際に及ぼした影響などについて調査していきます。

報告

取り出したデータの解析後は、解析結果をまとめ、報告書として調査対象となる企業へと提出します(報告書はそのまま裁判の資料として法廷に提出することが可能です)。
なお、調査終了後は、全作業データを完全に消去・破棄します。

5. やってはいけないこと

フォレンジック調査を円滑に進めるにあたって、以下の行為は絶対に行わないようにしてください。証拠の確保が困難になってしまう恐れがあります。

自力でデータをコピーする(複製行為)

一般の方が外付けHDDなどにデータのコピーをとっても、そのデータは客観的な証拠として認められないケースがあります。

調査対象機器の継続使用

電源の入り切りを行ったり、機器を継続して使用し続けると、データ領域の情報が変化し、フォレンジック調査が困難となります。たとえば、RAM(揮発性メモリ)には、マルウェアの痕跡や暗号を複号する鍵が記録されていることがありますが、機器の電源を切るとRAMのデータは消えてしまいます。
調査の観点からは、ネットワークから切り離し、電源を切らないようにしましょう。

市販のデータ復旧ソフトを試す行為

端末の中で無料のソフトやツールを試してしまうと、大量の領域が書き換わるため、フォレンジック調査やデータの復旧を行う際に難易度が上がり、時間もコストも無駄になってしまいます。個人でのデータ復旧は控えてください。

フォレンジック調査に必要な知識とは

コンピューターとネットワークの知識

前提条件として、フォレンジック調査では、調査対象の機器を構成する部品と、データが消去、および記録されるメカニズムについての工学的理解が必要です。また、デジタル機器のシステムは日常的に軽微な変更が行われているため、フォレンジック調査では、これらの違いを日常的に把握し、調査に組み込む必要があります。

法的手続きにおける知識

デジタルデータは簡単に変更できるため、裁判所などにデータを証拠として提出するには、適切な手続きのもと、データを取得したことを立証する必要があります。

したがって、フォレンジック調査では、技術的な知識に加えて、法律の知識が不可欠です。実際、フォレンジック調査では、法的に許容される手順を用いてデジタルデータを保全し、必要に応じて削除・破損したデータを復旧することで、はじめて法的に活用できる証拠データを抽出しています。

セキュリティにおける知識

サイバー攻撃の調査では、ハッカーが用いた攻撃手法やツール、または被害の傾向を推測し、対応に当たる必要があります。この際、サイバーセキュリティの知識は必要不可欠です。その上、マルウェアは1日あたり100万件も増加しているため、最新のマルウェアに関する包括的な知識も求められます。。

6.フォレンジック調査会社への相談方法

社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、一度専門会社へ相談するのをおすすめします。

なぜなら専門的なノウハウを持たない中で自社調査を行っても、正確な実態把握ができなかったり、証拠となるデータが故意に改ざん・削除されている可能性も想定されるからです。

とくに取引先や行政等へ報告が必要な場合、 自社調査だけでは信憑性が疑われ、場合によってはさらなる信用失墜につながる危険性があります。

調査の実施が未確定の場合でも、今後のプロセスを整理するためには、まずは実績のある専門会社へ相談しましょう。

\24時間365日 相談受付/

フォレンジック調査の流れ

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法定資料としても活用できる報告書の作成も承っております。

共通CTA