フォレンジック

ネットワークフォレンジックとは? デジタル機器から証拠を確保する技術

内的要因

社会へのITの普及・浸透に伴い、不正アクセスや情報漏えいなど、コンピュータやネットワークに関係する犯罪において、デジタル機器から法的な証拠性を明らかにするデジタルフォレンジック」という調査手法が注目されています。

この技術は大きく分けて、以下の2つに分けることが出来ます。

  • コンピュータフォレンジック
    ➡現場のコンピュータからデータを集めて社内不正などを調査する
  • ネットワークフォレンジック
    ➡ネットワーク上に流れる情報を集め、セキュリティインシデントの原因などを調査する

この記事では「ネットワークフォレンジック」で出来ることなどについて解説します。

ネットワークフォレンジックとは

ネットワークフォレンジックを一言で要約すると「ネットワークを流れるパケットデータを取得し、デバイス間のメール送受信など、各端末の相関関係やイベントを時系列にまとめる技術」となります。

具体的な活用事例としては次のものを挙げることが出来ます。

  • 情報漏えいや感染経路の特定
  • ハッキング・不正アクセスの痕跡保全
  • パソコンの利用状況やデータ通信など履歴の解析

なお「ネットワークフォレンジック」と「コンピュータフォレンジック」は、親カテゴリーにあたる「デジタルフォレンジック」をそれぞれ補完する「両輪」となっており、たとえば前者の技術でログ解析し、特定した端末を、後者の技術で直接調べていくことも可能です。

ネットワークフォレンジックで出来ること

ネットワークフォレンジックは、サイバー攻撃の被害全容を緊急解明し、その発生範囲のレポートを作成することが可能です。またこれら調査結果は、インシデントの原因究明や被害拡大防止、今後のセキュリティー対策を行うのに役立ちます。

インシデントの原因究明/システムの復旧

実際にサイバー攻撃が発覚した際は、国が定める企業のコンプライアンス対応(個人情報保護法など)に則り、まずは早急な原因究明と問題解決のため挙動の怪しい端末や不正通信を特定し、ネットワーク機器のパケットなどを解析する必要があります。

ただし、セキュリティインシデントにおいては、一端末だけ調査しても、感染の有無程度しか分かりません。そのため複数台のネットワーク機器を調査し、インシデントの原因究明を行います(これを称して「ネットワークフォレンジック」と呼びます)。

なお「サイバー攻撃の緊急対応」に有効な一連の手続きはDFIR(=デジタルフォレンジック+インシデントレスポンス)」と総称されています。

ネットワークフォレンジックの手順

ネットワークフォレンジックは、基本的に以下の流れで行います。また弊社での調査期間は最短数日~。駆け付け対応や、お急ぎの場合は特急対応も可能です。

  • (1)原因究明
    パケットの解析などから、対象となるデータやインシデントを把握し、原因究明、および準備の体制を整えます。
  • (2)データの解析/分析
    収集したデータを適切な手順で解析・分析し、証拠となりうる情報を抽出します。なお、収集したデータが暗号化されていたり、消去されていたりする場合は、弊社のデータリカバリー技術を用いて複号やデータ復元を行います。
  • (3)報告/報告書作成
    調査結果の全容を、第三者が可読できる内容に整理して、第三者機関に提出することが出来る報告書を作成します。

やってはいけないこと

フォレンジック調査を円滑に進めるにあたって、以下の行為は絶対に行わないようにしてください。証拠の確保が困難になってしまう恐れがあります。

調査対象機器の継続使用

「電源の入り切りを繰り返す」「機器を継続して使用し続ける」など、対象機器に何らかの操作を加えると、データ領域の情報が変化し、フォレンジック調査が困難となります。

たとえば、RAM(揮発性メモリ)には、マルウェアの痕跡や暗号を複号する鍵が記録されていることがありますが、機器の電源を切るとRAMのデータは消えてしまいます。

調査の観点からは、ネットワークから切り離し、電源を切らないようにしましょうまた、データを法的な証拠として利用する場合、証拠としての価値が失われる可能性もあります。

市販のソフトやツールなどを試す行為

端末の中で無料のソフトやツールを試してしまうと、大量の領域が書き換わるため、フォレンジック調査やデータの復旧を行う際に難易度が上がり、時間もコストも無駄になってしまいます。個人での操作やデータ復旧は控えてください。

フォレンジック調査会社への相談方法

社内でインシデントが発生した際、フォレンジック調査を行うかまだ決定していない段階であっても、一度専門会社へ相談するのをおすすめします。

なぜなら専門的なノウハウを持たない中で自社調査を行っても、実態を正確に把握できない可能性が高いからです。とくに取引先や行政等へ報告が必要な場合、 自社調査のみだと信憑性が疑われやすく、さらなる信用失墜につながる危険性があります。

調査の実施が未確定の場合であっても、今後のプロセスを整理するためには、まずは実績のある専門会社へ相談しましょう。なお、調査に必要なデータは場合によって消去、もしくは初期化されているケースがあります。そのため、ネットワークフォレンジックを利用する際は、データ復旧も含めた、技術力のある専門家集団に依頼することが重要となってきます。

フォレンジック調査の流れ

フォレンジック調査会社へ相談・依頼する際は以下のような流れで行います。なお、当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。

\24時間365日 相談受付/

デジタルデータフォレンジックでは、国内売上シェアトップクラスのデータ復元技術を活用し、パソコンやスマートフォンに残されたログの調査やマルウェアの感染経路調査を行っています。また、ご相談件数は警察機関や法律事務所、官公庁、上場企業から個人のお客様まで1万4,000件以上を数えます。

お困りの際はデジタルデータフォレンジックまでご相談ください。なお、証拠利用の場合、法廷資料としても活用できる報告書の作成も承っております。

共通CTA