フォレンジック調査-データの証拠・保全・復旧・解析|デジタルフォレンジック24

TOP | デジタルフォレンジックとは | サービス概要 | 初めての方 | サービスの流れ | 料金 | 技術 1 | 技術 2 | 事例 | 利用者の声 | 業者比較 | 業者選びの秘訣 | 資料ダウンロード

デジタルフォレンジックやり方・技術

フォレンジック 方法・技術

デジタル・フォレンジック技術の技術とは

デジタル・フォレンジック技術はITスペシャリストによる特殊技能が必要となります。

デジタル・フォレンジック調査の作業内容、ならびに得られる成果物にはイメージがつきにくいものです。IT化した昨今、セキュリティ対策、インシデント調査に対して非常に注目された技術になりました。 企業の情報セキュリティをお守りするため、フォレンジックエンジニアは解析・調査に立ち向かっていきます。

デジタル・フォレンジック技術は、ヒアリング調査も重要です

お客様の御事情、御要望は千差万別です。お客様の御事情に合わせて、最適な解決策、そして最適な技術を組み合わせ、サービス構築をして行く必要があります。フォレンジック調査はまさしくプロのなせる技術の賜物です。
そこで、やり方・技術の内容を紹介いたします。

目次

証拠保全を行うため、まずは複製が大事

証拠保全を行うために、まず初めに行う作業として、HDDやSSD等、データ保存媒体の複製作業を行います。
単なるデータコピーではなく、複製作業はクローン作業と呼ばれ、解析対象の保存メディアの情報を別HDDに対し、セクタ単位で複製を実行し、イメージファイルのデータとして、内部情報を保存します。
この作業の良い利点は、クローンやイメージファイルのデータがあれば、万が一、物的証拠となりうるオリジナルHDDのデータが書き換えられていたとしても、

イメージデータを保存しておくことで、データ保全できる利点があります。

さらに利点として、オリジナルのHDDやSSDの精密機器はある日突然にクラッシュし、証拠物が破損してしまう恐れがあります。データをイメージファイルとして、形に残すことでリスクヘッジにも繋がります。このイメージファイルから以下に紹介するような特殊技術を用いて、各種複数のデータ復元、調査解析を行っていきます。

精密な複製

不正削除されたメールの送受信データを抽出させる

メールデータは重要な証拠物になります。 実例では、不正な取引先とのメールの送受信記録、不正な納品数値の操作記録等が抽出されたケースもありました。

メールデータの解析の流れは以下のとおりです。
「お客様からのヒアリング」→「解析メディアの複製」→「サルベージを行い、消失データを抽出」→「報告書の提出」となります。
こちらがデジタルフォレンジックの一連の解析の流れになります。
ヒアリングでは、「どのようなメールが、いつ削除された可能性があるか」「なぜ不正をした社員はメール削除をしたか」、こういった情報が解析の指針、調査結果に大きく影響を及ぼします。

また、メールデータの復元は非常に難航を極めます。
それは、メーラーによって圧縮形式が異なるからです。

Outlookを使用していれば、「PSTファイル」
Thunderbirdを使用していれば、「Profiles」

フォルダに一式でデータが圧縮されて保存されております。
Becky!であれば、「C:\Becky!\ログオン名」にデータが一式で圧縮されて保存されております。
そこでコンピュータ・フォレンジック調査では、こういった圧縮データを細分化し、

セクタ単位での複製作業を行うことで、メール1件1件をファイル単位で復元が可能となります。

解析結果の一例として、は以下のような解析が可能です。

・不正に削除されたメールの復元
・添付ファイルまで抽出
・送受信日時の特定
・CC、BCCデータの抽出

WEB閲覧履歴の解析結果

隠蔽のために削除されたファイルを検出していく

フォレンジック技術に欠かせないのが、証拠隠滅を目論み、不正に削除されたデータを復元することです。こちらも実際の解析に入る前、お客様よりヒアリングをさせていただき、 「データの種別 ※エクセル、ワード、写真等」、「削除された日時の推定」、「削除した動機」を伺います。こういった情報を得ることで、最短の解析方法をフォンジックエンジニアは構築いたします。

ヒアリングで、どの程度のセキュリティインシデントにつながっているのか、

どの程度の損害が出てしまうか、詳細に状況を伺います。データ復元の2種類の解析方法を紹介いたします。
まず一つ目、データ復元技術として、フォレンジック技術の黎明期から存在する、管理情報の痕跡を探る「スキャン」という技術があります。こちらはファイルシステムというフォーマット情報の管理情報を手がかりとするものです。

Windowsでは「NTFS」フォーマット
Macでは「HFS」フォーマットを通常使用します。

Windows、Mac、双方のOSにおいて、削除処理事態がPC管理上からは認知・認識されていた場合でも、この解析作業で十分に復元できる可能性があります。しかし問題なのは、データの保存領域に別データの上書きが掛かってしまっている状況です。


二つ目、フォレンジック調査技術として要となるのは

「データカービング」という技術です。

こちらは、ファイルにはSignatureと呼ばれるファイルの種類を表すデータがあり、このSignatureの特徴からデータ復元を行います。ファイル名、ならびに保存されたファイルパスを示すフォルダ構造は崩れてしまいますが、不正に削除されたデータを特殊技術により抽出していきます。

・削除したデータを検出し、抽出
・ほぼすべてのデータに対応可能
・もし記録が残っていれば、作成日時、更新日ごとにソートした分析報告書をご提出

WEB閲覧履歴の解析結果

0120-703-392

▲ページトップへ戻る

インターネット閲覧履歴の抽出を行い、社員の「動き」を見える化

コンピュータ・フォレンジック技術の中で、昨今注目されているのがWEBの閲覧履歴です。
こちらの技術が注目され始めたのが、従業員の勤務体制の調査という意味合いで、会社と従業員間で残業代金の裁判、労使交渉等が行われるようになったからです。
こういったトラブルの解決に、一役買っているのがこの技術であり、

WEB閲覧履歴によって、業務外のインターネット利用がどの程度に行われているか解析が可能となります。

また昨今、クラウド化された現在、インターネットを活用して不正が行われるケースがあります。 こちらは社内ネットワークのファイルサーバ、メールサーバを活用しない不正事例です。外部インターネット上で使用可能なフリーメールにてデータ転送を行う、もしくはデータ転送の際にフリークラウドサービスを活用して不正をはたらく等、インターネットを介した犯罪が増加傾向にあります。


こうしたサイバー犯罪に対して、

デジタルフォレンジックでは外部インターネットの活用履歴を検出

できます。
・閲覧していたURL、WEBサイト、WEBサービスを見える化
・閲覧回数まで特定可能
・アクセス日時で並べ替え(ソート)を行った分析報告書をご提出

削除したデータの解析結果

ソフトウエア実行履歴、PCの起動ログ解析を行い、不正社員の足跡を辿る

どのようなソフトウエアを実行したか、こちらもログの解析を取得することが可能です。
ファイルパスを特定することで、どのような不正を行ったか追跡が可能となります。
こちらはWindows、Mac、双方のOS上でももちろん特定が可能です。
不正を働く場合、勤務時間外で、例えば深夜や他の社員が休日時間帯にPCを立ち上げ、データ操作をするケースが多いものです。

ログ解析もフォレンジックの重要な技術になります。


データ解析にて、以下を特定していきます。
・実行したファイル名の表示
・実行ファイルのパスの特定
・不正な実行ファイルも特定
・PCの起動履歴の特定

WEB閲覧履歴結果の詳細

USB機器等、外部保存メディアの接続履歴から、情報漏えいの可能性を探る

よく見受けられる例として、退職直前の社員が顧客データを外部へ、転職先を持ち出し使用する事例が頻発しております。

重要痕跡となるのは、外部保存メディアの接続履歴

がカギとなります。こちらの解析もWindows、Mac、双方のOS端末で特定が可能です。

企業にとってIT社会では情報セキュリティ管理は必須項目となってきました。
そうした中、会社に恨みがあり、顧客情報や機密情報を盗み出し、いずれ会社に攻撃をしてやろうと復讐心に燃えている犯罪者もいます。
攻撃者である不正社員の動きをあぶり出し、痕跡の追求を行っていきます。
調査内容、調査対象としては、以下のようになります。

・接続機器名を表示
・接続日時の特定
・USBメモリ、HDD、カードリーダーなどの種類の特定

外部保存メディアの接続履歴

PCログインパスワード、暗号化パスワードの復活させる

ここ最近で非常に注目されている技術として、

パスワードの紛失したPCのパスワード解析、加えてソフトウエアのパスワード解析技術

がございます。
一例としては、企業の要職に疲れていた方が突然に他界してしまった、失踪してしまった等、使用端末のログイン情報、エクセル等に設定していたパスワードが不明となり、お困りの方が急増しています。
このようなケースに対して、パスワード解析する技術がございます。
こちらの調査対象は以下のとおりです。


・起動可能であるが、ログインが不明なパスワードのPC解析
・エクセル、PDF等のソフトウエアで設定したパスワードの解析

iTunesのパスワード解除

日々技術に磨きをかけて、専任担当制で誠心誠意対応いたします

弊社では、上記のような

技術を許可された熟練のエンジニアのみが対応

しております。
また、基本的に専任担当制を敷いており、お客様のヒアリング、実際のデータ解析、復元、報告書のご提出まで専任担当が責任を持って対応させていただきます。


そして、こちらのフォレンジック調査技術は熟練のエンジニア同士で技術研修も盛んに行われており、日々最新の解析技術を社内でシェアし、サービス向上に務められるようシステム化を行っております。


この取り組みから、

セキュリティインシデントにより、会社に悪影響を及ぼす攻撃者を摘発、発見し会社の安全をお守りしてまいります。

お困りごとがございましたら、お気兼ねなくお問い合わせくださいませ。

▲ページトップへ戻る

0120-703-392

選ぶなら安心信頼の技術

一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。

デジタルフォレンジック データ調査・証拠保全

デジタルフォレンジック24は
特急データ復旧ウィンゲットが運営しています

データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
特急データ復旧ウィンゲット公式サイトはコチラ

HDD

オフィスは主要都市に6拠点
全国に受付窓口が185箇所あり

弊社は北海道(札幌)、東京都(秋葉原)、神奈川県(横浜)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に6店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。

店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。

店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。

全国の受付窓口

受付窓口 全国185拠点

メールで相談する

お客様区別
氏名
※必須
氏名
法人名
TEL
※必須

※日中、ご連絡可能なお電話番号をご入力下さい。
E-mail
※必須

※日中、ご確認可能なメールアドレスをご入力下さい。
ご相談・申込種別
※必須
調査希望機器
(パソコン・USBメモリなど)
※必須

ご質問・ご依頼内容
(調査が必要な機器の状況・調査希望のパソコン台数・いつまでに調査してほしいかなどをお書きください)

個人情報の取り扱いについて

上記の記入が終わりましたら、送信ボタンを押してください

会社概要

社名 株式会社 リプラス
所在地 <東京本社オフィス>
東京都千代田区神田須田町2-7-3 VORT秋葉原ビル5F
<名古屋本社オフィス>
愛知県名古屋市中村区名駅2-38-2 オーキッドビル5階
<札幌オフィス>
北海道札幌市中央区南一条西10-4-167 小六第一ビル6F
<横浜オフィス>
神奈川県横浜市中区扇町1-1-25 キンガビル4F
<大阪オフィス>
大阪府大阪市北区梅田1-1-3 大阪駅前第3ビル 7F
<福岡オフィス>
福岡県福岡市博多区博多駅南1-3-6 第3博多偕成ビル11階
創業 1999年
設立 2003年7月29日
資本金 1,000万円
社員 50名
事業内容 <データ復旧事業部>
データ復旧サービス ウィンゲット(WinGet)
クローンサービス
フォレンジックサービス
企業ネットワーク構築・指導

<クラウド事業部>
オンラインストレージサービス
スマートフォンアプリ企画・販売

<マーケティング事業部>
WEB制作・運営管理
クラウドソリューション企画・販売
公式サイト 関連サイト