デジタルフォレンジックやり方・技術

デジタル・フォレンジック技術の技術とは

デジタル・フォレンジック技術はITスペシャリストによる特殊技能が必要となります。

デジタル・フォレンジック調査の作業内容、ならびに得られる成果物にはイメージがつきにくいものです。IT化した昨今、セキュリティ対策、インシデント調査に対して非常に注目された技術になりました。 企業の情報セキュリティをお守りするため、フォレンジックエンジニアは解析・調査に立ち向かっていきます。

デジタル・フォレンジック技術は、ヒアリング調査も重要です

お客様の御事情、御要望は千差万別です。お客様の御事情に合わせて、最適な解決策、そして最適な技術を組み合わせ、サービス構築をして行く必要があります。フォレンジック調査はまさしくプロのなせる技術の賜物です。
そこで、やり方・技術の内容を紹介いたします。

目次

証拠保全を行うため、まずは複製が大事

証拠保全を行うために、まず初めに行う作業として、HDDやSSD等、データ保存媒体の複製作業を行います。
単なるデータコピーではなく、複製作業はクローン作業と呼ばれ、解析対象の保存メディアの情報を別HDDに対し、セクタ単位で複製を実行し、イメージファイルのデータとして、内部情報を保存します。
この作業の良い利点は、クローンやイメージファイルのデータがあれば、万が一、物的証拠となりうるオリジナルHDDのデータが書き換えられていたとしても、

イメージデータを保存しておくことで、データ保全できる利点があります。

さらに利点として、オリジナルのHDDやSSDの精密機器はある日突然にクラッシュし、証拠物が破損してしまう恐れがあります。データをイメージファイルとして、形に残すことでリスクヘッジにも繋がります。このイメージファイルから以下に紹介するような特殊技術を用いて、各種複数のデータ復元、調査解析を行っていきます。

不正削除されたメールの送受信データを抽出させる

メールデータは重要な証拠物になります。 実例では、不正な取引先とのメールの送受信記録、不正な納品数値の操作記録等が抽出されたケースもありました。

メールデータの解析の流れは以下のとおりです。
「お客様からのヒアリング」→「解析メディアの複製」→「サルベージを行い、消失データを抽出」→「報告書の提出」となります。
こちらがデジタルフォレンジックの一連の解析の流れになります。
ヒアリングでは、「どのようなメールが、いつ削除された可能性があるか」「なぜ不正をした社員はメール削除をしたか」、こういった情報が解析の指針、調査結果に大きく影響を及ぼします。

また、メールデータの復元は非常に難航を極めます。
それは、メーラーによって圧縮形式が異なるからです。

Outlookを使用していれば、「PSTファイル」
Thunderbirdを使用していれば、「Profiles」

フォルダに一式でデータが圧縮されて保存されております。
Becky！であれば、「C:\Becky!\ログオン名」にデータが一式で圧縮されて保存されております。
そこでコンピュータ・フォレンジック調査では、こういった圧縮データを細分化し、

セクタ単位での複製作業を行うことで、メール１件１件をファイル単位で復元が可能となります。

解析結果の一例として、は以下のような解析が可能です。

・不正に削除されたメールの復元
・添付ファイルまで抽出
・送受信日時の特定
・CC、BCCデータの抽出

隠蔽のために削除されたファイルを検出していく

フォレンジック技術に欠かせないのが、証拠隠滅を目論み、不正に削除されたデータを復元することです。こちらも実際の解析に入る前、お客様よりヒアリングをさせていただき、 「データの種別　※エクセル、ワード、写真等」、「削除された日時の推定」、「削除した動機」を伺います。こういった情報を得ることで、最短の解析方法をフォンジックエンジニアは構築いたします。

ヒアリングで、どの程度のセキュリティインシデントにつながっているのか、

どの程度の損害が出てしまうか、詳細に状況を伺います。データ復元の2種類の解析方法を紹介いたします。
まず一つ目、データ復元技術として、フォレンジック技術の黎明期から存在する、管理情報の痕跡を探る「スキャン」という技術があります。こちらはファイルシステムというフォーマット情報の管理情報を手がかりとするものです。

Windowsでは「NTFS」フォーマット
Macでは「HFS」フォーマットを通常使用します。

Windows、Mac、双方のOSにおいて、削除処理事態がPC管理上からは認知・認識されていた場合でも、この解析作業で十分に復元できる可能性があります。しかし問題なのは、データの保存領域に別データの上書きが掛かってしまっている状況です。

二つ目、フォレンジック調査技術として要となるのは

「データカービング」という技術です。

こちらは、ファイルにはSignatureと呼ばれるファイルの種類を表すデータがあり、このSignatureの特徴からデータ復元を行います。ファイル名、ならびに保存されたファイルパスを示すフォルダ構造は崩れてしまいますが、不正に削除されたデータを特殊技術により抽出していきます。

・削除したデータを検出し、抽出
・ほぼすべてのデータに対応可能
・もし記録が残っていれば、作成日時、更新日ごとにソートした分析報告書をご提出

▲ページトップへ戻る

インターネット閲覧履歴の抽出を行い、社員の「動き」を見える化

コンピュータ・フォレンジック技術の中で、昨今注目されているのがWEBの閲覧履歴です。
こちらの技術が注目され始めたのが、従業員の勤務体制の調査という意味合いで、会社と従業員間で残業代金の裁判、労使交渉等が行われるようになったからです。
こういったトラブルの解決に、一役買っているのがこの技術であり、

WEB閲覧履歴によって、業務外のインターネット利用がどの程度に行われているか解析が可能となります。

また昨今、クラウド化された現在、インターネットを活用して不正が行われるケースがあります。 こちらは社内ネットワークのファイルサーバ、メールサーバを活用しない不正事例です。外部インターネット上で使用可能なフリーメールにてデータ転送を行う、もしくはデータ転送の際にフリークラウドサービスを活用して不正をはたらく等、インターネットを介した犯罪が増加傾向にあります。

こうしたサイバー犯罪に対して、

デジタルフォレンジックでは外部インターネットの活用履歴を検出

できます。
・閲覧していたURL、WEBサイト、WEBサービスを見える化
・閲覧回数まで特定可能
・アクセス日時で並べ替え（ソート）を行った分析報告書をご提出

ソフトウエア実行履歴、PCの起動ログ解析を行い、不正社員の足跡を辿る

どのようなソフトウエアを実行したか、こちらもログの解析を取得することが可能です。
ファイルパスを特定することで、どのような不正を行ったか追跡が可能となります。
こちらはWindows、Mac、双方のOS上でももちろん特定が可能です。
不正を働く場合、勤務時間外で、例えば深夜や他の社員が休日時間帯にPCを立ち上げ、データ操作をするケースが多いものです。

ログ解析もフォレンジックの重要な技術になります。

データ解析にて、以下を特定していきます。
・実行したファイル名の表示
・実行ファイルのパスの特定
・不正な実行ファイルも特定
・PCの起動履歴の特定

USB機器等、外部保存メディアの接続履歴から、情報漏えいの可能性を探る

よく見受けられる例として、退職直前の社員が顧客データを外部へ、転職先を持ち出し使用する事例が頻発しております。

重要痕跡となるのは、外部保存メディアの接続履歴

がカギとなります。こちらの解析もWindows、Mac、双方のOS端末で特定が可能です。

企業にとってIT社会では情報セキュリティ管理は必須項目となってきました。
そうした中、会社に恨みがあり、顧客情報や機密情報を盗み出し、いずれ会社に攻撃をしてやろうと復讐心に燃えている犯罪者もいます。
攻撃者である不正社員の動きをあぶり出し、痕跡の追求を行っていきます。
調査内容、調査対象としては、以下のようになります。

・接続機器名を表示
・接続日時の特定
・USBメモリ、HDD、カードリーダーなどの種類の特定

PCログインパスワード、暗号化パスワードの復活させる

ここ最近で非常に注目されている技術として、

パスワードの紛失したPCのパスワード解析、加えてソフトウエアのパスワード解析技術

がございます。
一例としては、企業の要職に疲れていた方が突然に他界してしまった、失踪してしまった等、使用端末のログイン情報、エクセル等に設定していたパスワードが不明となり、お困りの方が急増しています。
このようなケースに対して、パスワード解析する技術がございます。
こちらの調査対象は以下のとおりです。

・起動可能であるが、ログインが不明なパスワードのPC解析
・エクセル、PDF等のソフトウエアで設定したパスワードの解析

日々技術に磨きをかけて、専任担当制で誠心誠意対応いたします

弊社では、上記のような

技術を許可された熟練のエンジニアのみが対応

しております。
また、基本的に専任担当制を敷いており、お客様のヒアリング、実際のデータ解析、復元、報告書のご提出まで専任担当が責任を持って対応させていただきます。

そして、こちらのフォレンジック調査技術は熟練のエンジニア同士で技術研修も盛んに行われており、日々最新の解析技術を社内でシェアし、サービス向上に務められるようシステム化を行っております。

この取り組みから、

セキュリティインシデントにより、会社に悪影響を及ぼす攻撃者を摘発、発見し会社の安全をお守りしてまいります。

お困りごとがございましたら、お気兼ねなくお問い合わせくださいませ。

▲ページトップへ戻る