デジタルフォレンジックとは

デジタルフォレンジックとは？目的を活用例を解説

• デジタルフォレンジック（digital forensics）とは
  • 「データ復旧」との違い
  • コンピューターフォレンジック（computer forensics）
• デジタルフォレンジックの歴史
• デジタルフォレンジックの活用事例
• デジタルフォレンジックの目的
  1. 不正行為の原因究明
  2. サイバー攻撃の原因究明
  3. 不正行為・情報漏えいの未然防止
• デジタルフォレンジックの流れ
  1. 削除された監視カメラの動画を復元
  2. 退職した元社員の不正取引疑惑調査
  3. サイバー攻撃による情報漏えいを調査

デジタルフォレンジック（digital forensics）とは

デジタルフォレンジック（Digital Forensics）とは、パソコンやスマートフォンなどの電子機器に残されたデータを調査・分析し、犯罪捜査や法的紛争における証拠として活用する技術です。フォレンジック（forensics）という言葉は「鑑識」や「科学捜査」を意味し、デジタルフォレンジックはそのデジタル版、すなわち「デジタル鑑識」とも呼ばれます。

近年では、不正アクセスや情報漏洩などのサイバー犯罪が増加しており、意図的に削除・改ざんされたデータを復元して証拠を突き止める必要性が高まっています。

特に刑事事件や社内不正などの調査において、押収した電子機器から証拠を抽出・分析する手段として、デジタルフォレンジックが活用されます。

調査では、削除ファイルの復元、閲覧履歴や通信記録の解析、外部メディアの痕跡確認などを行います。証拠の改ざんや損壊を防ぐため、対象機器の全データを「イメージ化」して保全し、その際に「ハッシュ値（デジタルデータの指紋）」を取得することで、後からデータが改変されていないことを証明できます。

こうして得られた調査結果は、裁判などで法的証拠として認められることも多く、企業の内部調査や訴訟対策においても重要な役割を果たしています。

「データ復旧」との違い

データ復旧の目的は、消えてしまったデータを利用できる形に戻すことです。例えば誤って削除した写真や文書、故障したハードディスクやUSBメモリからファイルを取り出すといったケースが代表的です。利用者が再びそのデータを使えるようにすることがゴールであり、技術的にはストレージ内部に残された断片を解析して復元する作業が中心となります。

一方でデジタルフォレンジックは、事実を解明し証拠を保全することを目的とします。パソコンやスマートフォン、サーバに含まれるデジタルデータを、削除されたものも含めて、証拠としての価値を損なうことなく収集・分析するのがフォレンジック調査の手続きです。そのため、データ復旧はフォレンジック調査を行う際の一手段に過ぎません。

例えば削除されたデータに上書きがかかり、ファイルそのものの修復が不可能となった場合、データ復旧の観点では「復旧不可」となります。しかしフォレンジック調査では、ファイルが削除された事実そのものが重要です。削除されたファイル名や削除日時の履歴といった痕跡を調査し、報告書にまとめることで証拠として活用します。

さらに法的な効力についても違いがあります。データ復旧で得られたファイルは利用には役立ちますが、裁判で証拠として認められるとは限りません。デジタルフォレンジックでは証拠性を担保するための厳密な手順を踏むため、調査報告が訴訟や社内調査において証拠として採用されることが多いのです。

コンピューターフォレンジック（computer forensics）

「コンピューターフォレンジック（computer forensics）」とは、パソコン・サーバーなどのハードディスク（HDD）、コンピューターに保存されたデータを調査、解析する技術です。

そのコンピュータでどのような操作が行われたか、不正操作や情報漏えいに関わっていたかを証明します。

場合によっては隠蔽のために記録媒体内の情報が削除されていることもあり、その場合は特殊な技術を用いて復元します。

消去データの復元以外にも、暗号化・パスワードの解除やログ調査、不正調査等も行われます。 

下記のようなデジタルデータの調査、解析から復元、証拠データの保全を行います。

データ削除：メールデータ（Eメール本文、添付データ）、Excel、Word、写真、各種ファイルなど
暗号化・パスワード解除：ログインパスワード、Excel、Word、Outlook、FileMakerなど
ログ履歴：インターネット閲覧履歴、操作ログ、接続機器のログ、アプリケーションログなど
クラウド調査：Gmail、Yahoo!メール、Dropboxなど
※クラウド調査には、IDとパスワードが必要です

デジタルフォレンジックの歴史

日本でデジタルフォレンジックが重要視されるきっかけとなったのは

「大阪地検特捜部主任検事証拠改ざん事件」です。

大阪地方検察庁特別捜査部が捜査の指揮をした障害者郵便制度悪用事件にて虚偽の公文書を発行した容疑で厚生労働省元局長らが逮捕・起訴されました。
しかし、事件後にデジタル証拠を記録していたフロッピーディスクの改ざんが発覚し、障害者郵便制度悪用事件の主任検事と、大阪地方検察庁特別捜査部の部長と副部長も逮捕されました。

この事件では

証拠文書の更新日時を改ざんされておりました。

更新日時が改ざんされていたことを見つけるためにデジタルフォレンジックの技術が用いられたのです。
通常表示されている更新日時とは別に、データには見えない領域の内部情報にも更新日時が存在しており、

内部情報の更新日時と表示されている更新日時に齟齬が生じていることが判明したことで、改ざんが発覚しました。

この事件がきっかけでデジタルフォレンジックが日本でも浸透するようになりました。
デジタルデータが重要な証拠を担うようになったため

デジタル機器に対する鑑識として重要になったのです。

まだ欧米ほど日本でデジタルフォレンジックは浸透しておりませんが、今後間違いなく需要が高まっていく技術となります。

デジタルフォレンジックの目的

デジタルフォレンジックは、コンピュータやネットワークを悪用した様々な手法の原因究明や証拠保全です。

例えば、不正アクセスやハッキングによる情報窃取、不正なソフトウェアやマルウェアの導入、電子メール詐欺、そしてデジタル証拠の改ざんや消去などが挙げられます。

これらの行為は企業や組織や個人に対する損害をもたらし、デジタルフォレンジックが重要な役割を果たしています。

不正行為の原因究明

デジタルフォレンジックの不正行為証拠収集は、法的なプロセスにおいて欠かせない要素であります。
なぜなら、デジタル環境での犯罪は増加しており、これに対抗するためには確かかつ信頼性の高い証拠が必要だからです。
パソコンなどのデジタル機器を調査することで、削除メールの復元やログを確認することが可能です。 証拠収集により、不正行為の手法や経路を明らかにし、犯罪者を特定することが可能となります。

また、証拠は法廷での争いを解決する上で不可欠であり、正確で透明な手続きを通じて法の下で正義を実現する役割を果たします。
デジタルフォレンジックによる証拠収集は、企業・組織や個人の権利保護や社会の安全を確保する上で重要であり、信頼性の高い法的手段として不可欠です。

サイバー攻撃の原因究明

サイバー攻撃は、コンピューターシステムやネットワーク、デジタルデータに対して故意に行われる悪意ある行為のことです。
攻撃者は機密情報の盗難、システムの破壊、サービスの妨害などさまざまな目的でサイバー攻撃を行います。主なサイバー攻撃の形態には以下のようなものがあります。

マルウェア攻撃: ウイルス、ワーム、トロイの木馬などの悪意あるソフトウェアを利用してシステムに侵入し、様々な悪影響をもたらす
フィッシング: 偽のウェブサイトや偽装メールなどを用いて、ユーザーに偽の情報を提供し、個人情報やパスワードなどを不正に入手する手法
DDoS攻撃 (分散型サービス妨害攻撃): 複数のコンピュータを使って同時に大量のトラフィックを送りつけ、サービスをダウンさせる攻撃
不正アクセス: 不正な手段でシステムやネットワークに侵入し、機密情報を盗むか、システムを操作する攻撃
ゼロデイ攻撃: ソフトウェアの脆弱性を利用して、ベンダーが修正を行う前に攻撃が発生する

サイバー攻撃は日々進化し、対策も進んでいますが、セキュリティ意識と適切な対策が重要です。
上記のサイバー攻撃による情報漏えいに対する重要な対策の一環です。
迅速な攻撃検知や痕跡解析を通じて被害の拡大を防ぎ、攻撃手法や侵入経路を把握することが可能です。
証拠の収集は法的手続きにも重要であり、攻撃者の特定と制裁に繋がります。
これにより、組織はセキュリティ対策の強化や未然防止策の検討を通じて、情報漏えいのリスクを最小限に抑えることが可能となります。

デジタルフォレンジックの有効な対策は、サイバーセキュリティを向上させ、信頼性のあるデジタル環境を構築しましょう。

不正行為・情報漏えいの未然防止

企業はデジタルフォレンジックを活用して不正行為や情報漏えいを未然に防ぐために、以下の方法をおすすめします。
初めに、セキュリティポリシーを策定し、従業員に対する教育を実施です。
アクセス権の厳格な管理やモニタリングを通じて、不審なアクティビティを早期に検知し、即座に対処する体勢を構築します。
また、定期的なセキュリティ監査や脆弱性評価を行い、システムの強化を図ります。
情報の暗号化や二要素認証の導入、最新のセキュリティソフトウェアの利用も重要である。
緊急事態に備え、インシデント対応計画を整備し、デジタルフォレンジックを含む迅速な対応手順を確立することが重要になります。

デジタルフォレンジックの流れ

デジタルフォレンジックの流れは、以下のようにまとめられます。
まず、被害の発見と報告から始まり、証拠の保全が重要です。
その後、データの収集とイメージングが行われ、検証可能な形で証拠を取得します。
次に、証拠の分析が行われ、不正行為の手法や経路を特定します。
デジタルフォレンジックは法的手続きにおいても効力を発揮し、証拠の整合性や法的要件に準拠した形で情報を提供することが求められることがあります。
そのため、解析の結果、証拠が法的に有効であるか確認し、裁判で使用できる資料を提出します。
最終的に、報告と証言が行われ、結果が適切な法的手続きが行われます。

この流れにより、デジタルフォレンジックは証拠の収集と分析を通じて不正行為の解明を行います。
詳細については下記URLに掲載していますので、ご確認をください。

デジタルフォレンジックの活用事例

削除された監視カメラの動画を復元

不審人物が写っている可能性が高い監視カメラの動画が一部削除されていたことが判明した。
この監視カメラはmicroSDを内蔵しているタイプでmicroSDを取り出し削除したものと考えられていました。
削除された時間帯に削除した犯人、おそらく不審人物と同一人物が写っていると思われるため復元したいというものでした。
設置していた監視カメラ4台全ての動画が一部消えているため、4台全てのmicroSDの解析を実施いたしました。

結果、削除された時間帯の動画の復元に成功いたしました。
女性と思われる不審人物が写っていたため、それを元に人物特定を行うことができ、デジタルフォレンジック技術で犯人を見つけることができた事例となります。

退職した元社員の不正取引疑惑調査

取引先から聞いたことのない取引内容を伺い、不審に感じたため詳細に伺ったところ

退職した元社員が不正に取引をしていたことが発覚した。

しかし、証拠がないため立証することができない。

在職中に使用していたパソコンを見たところ、取引したと思われる日時のメールが消えおり、また一部のデータも削除されていることが判明しました。
会社の情報セキュリティ上、個人が勝手にメールを削除してはいけない規定となっているため、これは明確なインシデントになります。
本当に削除されたかデジタル証拠を明確にしなくてはいけません。

本人に確認してもデータは消していないし取引した覚えもないと一点張りで埒が明かないため、デジタルフォレンジックの依頼をしました。
調査対象は元社員が在職中に使用していたパソコンで、調査目的は不正取引をしていた証拠となるデジタルデータやメールを復元すること。
対象機器の保全を行い、分析を実施した結果、同名のユーザープロファイルが複数見つかりました。
そのため、OSのリカバリを複数回実施していたことが判明しました。

削除されていたユーザープロファイル内に多数のデータが見つかり、不正取引したと思われる日時のメールも多数でてきました。

この結果からデータを削除したことが明確となり、不正取引のデジタル証拠も見つかりました。

サイバー攻撃による情報漏えいを調査

匿名掲示板に自社の顧客リストが掲載されていることが発覚した。
一体どこから流出したのか社内をくまなく調査し、情報セキュリティ担当からおそらく外部からのサイバー攻撃によって情報漏えいした可能性が高い。
しかし、どのコンピュータから情報漏えいしたかまではわからなかった。
自社で特定することはできないと判断し

非常に重大な情報セキュリティインシデントのため弁護士に相談をした結果、弁護士からフォレンジック調査依頼をすることになった。

外部から不正アクセスによって顧客リストが流出したことを証明することがフォレンジック調査の目的となります。

まず顧客リストが保存されていたコンピュータの証拠保全を実施しました。
イメージ形式のデジタルデータとして保全し、データ解析を行ったところ、顧客リストをクラウドへアップロードした履歴が見つかりました。

アップロードした履歴をさらに解析し、どのユーザーが行ったのかが判明しました。
判明したユーザーの端末を調査し、マルウェアに感染していたログが見つかりました。
それによって

外部から不正アクセスを受けリモート操作されたことが情報漏えいした原因でした。

情報セキュリティ意識が低く、定期的なウイルスチェックなどを行っていなかったために起きたインシデントとなります。
セキュリティ対策を行い、インシデントを未然に防ぐことが不可欠です。