デジタルフォレンジックはどんなことするの?技術内容を伝えます! – デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

データ復旧 データ復旧の技術 デジタルフォレンジック ITお役立ち情報 パソコン(PC) クローン データ保全

デジタルフォレンジックはどんなことするの?技術内容を伝えます!

投稿日:2019年10月23日 更新日:

 「デジタルフォレンジック」という言葉の意味はわかっていても、実際にどんなことを行うのかというイメージはなかなか沸きにくいですよね。
今回は、具体的なデジタルフォレンジック作業の内容を記載します!

証拠保全を行うためにまずはクローン作業(イメージ取得作業)

 

証拠保全を行うために、まず初めに行う作業として、HDDやSSD等、データ保存媒体のクローン作業もしくはイメージ取得作業を行います。
クローン作業は別HDDに内部情報を複製し、イメージ取得作業は拡張子「.Raw」や「.AFF」などのイメージファイルのデータとして、内部情報を保存します。
この2つの作業の良いところは、HDDやSSDのスラックスペース未使用領域を含めたデータを正確に取得することができます。

また、クローンやイメージファイルのデータがあれば、万が一証拠となるオリジナルHDDのデータが書き換えられていたとしても証拠となるデータを保存しておくことが出来ます。

 

スラックスペースと未使用領域とは・・・

スラックスペース:保存されたファイルの終わりから、そのファイルクラスターの終わりまでの範囲のハードドライブのストレージ領域を指しています。
通常のハードドライブでは、ドライブ上のファイルを特定のサイズにして保存します。
たとえば、4キロバイト入る領域に3キロバイトのファイルを保存する場合、1キロバイトのスラックスペースが出来ます。

未使用領域:ファイルシステム上でファイルに割り当てられていない領域のこと

これら2つの領域には、過去に存在したデータやその痕跡などが残されている可能性があるため、削除ファイルの復旧や調査を行うには必要不可欠です。

データの解析開始

1.データ復元

フォレンジック解析ツールを用いて、削除されたデータの復旧および調査を行います。
まずは、削除されたデータの復元を行う方法として、2点ございます。
1点目は、管理情報を元に復旧を行う方法と、もう1点はデータが持つ特徴的な痕跡をとらえて復旧する方法です。

管理情報を元に復旧を行う方法

これはスキャンと呼ばれる手法です。

Windowsの場合

ファイルシステムの管理情報がFATとNTFSの2種類存在します。この2種類のファイルシステムは隠しファイルの中に存在しています。
その隠されているファイルシステム内の情報からデータの解析を行うことで復旧が可能になります。
ただし、通常のデータ削除の場合ファイル内のフラグ情報のみ開放されるだけなので、他のデータが書き込まれない状態(上書き)でなければ、ほぼ完全な形でデータの復元は可能です。

しかし、そのファイルシステムの情報内におけるデータ内容の部分に上書きがかかっている場合に関しては、復旧はできない状態です。

Macの場合

ファイルシステムがHFSと、HFS+、APFSの3種類存在します。ファイルシステム毎にインデックスというデータの保存先を記録しているデータが存在しております。
このインデックスを元にデータを参照するため、インデックスが失われるとデータがどこに保存されているかわからなくなります。
逆にインデックスさえ復元できれば、フォルダ構造、ファイル名なども元の状態で復元することが可能です。

しかし、Windows同様、データ内容の部分に上書きがかかっている場合に関しては、復旧はできない状態です。

特徴的な痕跡からの復旧

これはデータカービングと呼ばれる手法です。

先述したファイルシステムの管理情報が上書きがされている状態でも、未使用領域にデータもしくはデータの一部が残っている場合などに用いることで復元ができる手法です。
データカービングの具体的な復元方法はファイルの種類により異なります。
また、カービングできる種類も限られています。

ファイルにはSignatureと言われるファイルの種類を表すデータがあり、Signatureを元にデータ復元を行います。
そのため、フォルダ構造やファイル名は崩れてしまいます。

2.データ解析

デジタルフォレンジック調査の解析で、主に利用されるのがタイムライン解析文字列検索です。

タイムライン解析

ファイルシステムやログファイルなどのタイムスタンプ情報を元に、過去の事象を時系列に整理して、痕跡を調査する方法です。
ファイルシステムは通常MAC timesと呼ばれるタイムスタンプをメタデータとして保持しています。この情報を調べることによって、いつどのファイルにどのような処理が行われたかなどが調査できます。
外部からの不正アクセスや社内の不正アクセス、マルウェア感染などの事象が発生した場合、対象サーバやPCのファイルシステムには何らかの痕跡が残ります。タイムライン解析を行うことによって、何が起きたのか、影響範囲はどの程度かを推測することができます。

文字列検索

Word,Excel,PDF,mailなどのセクタ情報は特定の文字コードで成り立っています。特定の文字コードについて、キーワードを入力し、未使用領域やスラックスペースを対象に文字コード検索を行うことで、過去に削除されたデータの存在痕跡やデータ内容が確認できる可能性があります

また、調査内容に特定のキーワードがある場合、文字列検索をすることにより、そのキーワードをメール、Word、EXCEL、PDFなど
ファイル内の文字を直接検索することができるため調査対象ファイルを見つけることが容易になります。

技術は分かったが、デジタルフォレンジックって何ができるの?

上記のように、デジタルフォレンジックでは証拠保全、データ復元・解析を行い、お客様にご満足いただける結果を出します。

具体的にどういう時にデジタルフォレンジック調査を利用するのか知りたい方は・・・
是非こちらの
「デジタルフォレンジックって何?デジタルフォレンジック調査でできることをお伝えします。」
をご覧ください。

今回の記事から、ご不安やご心配な事案、もしくはご相談したいことがあるという方は是非「デジタルフォレンジック24」へ問い合わせください。
皆様の問題解決に真摯に取り組んでまいります!



-データ復旧, データ復旧の技術, デジタルフォレンジック, ITお役立ち情報, パソコン(PC), クローン, データ保全
-, , , , , , , , , ,

執筆者:

関連記事

デジタルフォレンジックで最近多い事例をご紹介

最近問い合わせが多い事例をご紹介いたします。 フォレンジック調査依頼として最近増えてるのは「遺族が使用していたPC調査」です。 突…

続きを読む

企業で起きた暗号化解除事例

Contents1 事例1:暗号化された顧客情報の調査1.1 管理者不在の顧客情報が暗号化1.2 PGPで暗号化されていた1.3 …

続きを読む

メールトラブルにおけるフォレンジック調査事例-事態が大きくなる前に-

  Contents1 メールデータのトラブルは身近に潜んでいる!?1.1 デジタルフォレンジック調査実例「メールトラブ…

続きを読む

パスワードがわからない!【 PDF のパスワード解除はできるのか? 】

情報漏洩を防ぐため、重要書類をメールに添付する際には、 パスワード設定が必須とされている企業も多いのではないでしょうか? 契約書や…

続きを読む

不正にデータを消されて困る前の予防策としてSS1をご紹介

最近テレワークが増加してきたこともあり、社員の行動が把握できなくなっています。 退職者から貸与していたノートPCを返却された時、デ…

続きを読む