コンピュータ・フォレンジック コンピュータ・フォレンジックの概要

ウィキペディア

コンピュータ・フォレンジック

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/07/19 18:46 UTC 版)

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。 出典検索?: "コンピュータ・フォレンジック" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL（2012年7月）

コンピュータ・フォレンジックの目的は、コンピュータ・システム自身やハードディスクドライブまたはCD-ROMのような記録媒体、電子文書中のメッセージやJPEG画像のような、デジタル製品の最新の状態を明らかにすることである^[2]。法科学的な分析の範囲は単純な情報の修復から一連の事象の再構成までが含まれる。

証拠としての使用

デジタルな証拠に通常求められる要求に加えて、コンピュータ・フォレンジックにはとりわけ多くの指針と法的手続きが存在している。

イギリスの法的指針

デジタル証拠の完全性を維持するという要求に応じるために、イギリスの調査官はAssociation of Chief Police Officers（ACPO）の指針に従う^[3][4]。その指針は以下の4つの原則からなる。

1. 法執行機関またはそれらの代理人は、後に法廷で要求され得るコンピュータまたは記録媒体に保持されているデータに対して、いかなる変更も施すべきでない。
2. コンピュータまたはストレージ・メディアに保持されている原データにアクセスする必要があると判断する例外的事情のある場合、アクセスする者はその資格がなければならず、それらの行為の妥当性と意味合いを説明し、証拠を示すことができなければならない。
3. 電子的証拠に基づいてコンピュータに適用される全ての過程の監査記録または他の記録は、作成され保存されるべきである。独立した第三者がそれらの過程を調査し、同様の結果を得ることができるべきである。
4. 捜査の担当者（the case officer）は法とこれらの原則が遵守されることを確実にする全ての責務がある。

実例

コンピュータ・フォレンジックは多くの事例で重要な役割を果たしている。

BTKキラー

デニス・レイダーは16年間にわたる一連の連続殺人で有罪判決を受けた。逮捕される前に、レイダーは何通かの手紙をフロッピーディスクに入れて警察に送っていた。その文書中のメタデータから、"Dennis"という名の筆者と"Christ Lutheran Church"の関連が浮かび上がった。この証拠はレイダーの逮捕につながった。

ジョセフ・ E・ダンカン3世

ダンカン（Joseph E. Duncan III）のコンピュータから、彼が犯罪を計画したことを示す証拠を含んだ表計算ソフトの表が復元された。検察はこれを証拠として予謀を証明し、死刑判決を確定させた^[5]。

シャロン・ロパートカ

捜査員は、シャロン・ロパートカ（Sharon Lopatka）のコンピュータに残されていた数百通ものEメールから、彼女を殺害したロバート・グラスを割り出した^[6]。

日本での導入・利用

日本では大阪地検特捜部主任検事証拠改ざん事件を機に、2010年に東京・大阪・名古屋各地検の特捜部に導入された。オリンパス事件、徳洲会事件、小渕優子関連団体の政治資金規正法違反事件などで応用された。2017年4月には東京地検内に全国の検察事務官などを集めて、人材育成や解析支援を担当する「DFセンター」が開設された^[7]。

検察や警察などの政府機関だけでなく、依頼を受けた民間企業が手掛ける場合もある。2011年に発覚した大相撲八百長問題では、AOSテクノロジーのリーガルテック部門（現・AOSリーガルテック）が、破壊された携帯電話から電子メールの内容を復元した^[8]。

フォレンジックの過程

「Digital forensic process」も参照

画像外部リンク

書き込み防止装置
TABLEAU Forensic STAT/IDE Bridge Model T35i

ハードディスクドライブに接続した携帯式書き込み防止装置
TABLEAU FireWire800+USB2.0 SATA Bridge

コンピュータ・フォレンジック捜査の標準的な手順は、データ取得、調査、解析、そして報告から成る。黎明期には専門ツールが不足していたため、稼動中のコンピュータを捜査せざるを得ない場合が一般的であったが、現代では稼動中のシステムではなく静的データ、つまりイメージファイルに対して捜査を行うのが一般的である。

揮発性データ

証拠物を押収するとき、もし機器がまだ稼働中ならば、RAM上のデータは電源を切ると失われる可能性が高い^[5]。

メモリセルに蓄積された電荷の放散に時間がかかるので、電力停止後にもRAMにある重要な内容が解析されうる。データ回復が可能な時間は、低温であって高いセル電圧であるほど長くなる。RAMを−60℃ 下で電源が入っていない状態に保持できれば、電荷の放散が抑えられてデータ回復が成功する見込みは高くなる。しかし、現場調査でそういった対応は非現実的である^[9]。

技法

Cross-drive analysis

複数のハードディスクドライブから発見された情報を関連づける技法。この技法は、まだ研究段階であるが、人間関係の解明や異常検知への活用が提案されている^[10][11]。

Live analysis

対象物のOSが稼動している状態で、独自のフォレンジック・ツールや既存の管理ツールを使用して証拠データを取得し、コンピュータを調査する技法。この技法は、暗号化ファイルシステム（Encrypting File System）を扱う場合に有用であり、例えばデータが復号されている内に暗号化キーを収集できる可能性がある。また、コンピュータがシャットダウンして論理ハードドライブ・ボリュームが暗号化される前にそのイメージを取得できる可能性がある^[12]。

削除ファイルの復旧

コンピュータ・フォレンジックで使用される一般的な技法の1つが、削除されたファイルの復旧（Recovery of deleted files）である。現代のフォレンジック・ツールは、削除されたファイルをファイルシステムに基づいて復旧する機能、もしくはファイル内容の特徴（ヘッダ等）に基づいて復旧する機能を有する^[13]。多くのOS及びファイルシステムでは、ファイルを論理的に削除しても物理的にはデータが残存するため、未使用セクタに物理アクセスを行ってデータ復旧を試みることが可能である。

ステガノグラフィ (Steganography)

データを隠蔽する手法として、ステガノグラフィがある。これは、画像などのバイナリファイルの中にデータを埋め込んで隠す手法である。使用例としては、児童ポルノなどの違法なデータの隠蔽が挙げられる。この手法への対策としては、ハッシュ値の比較がある。証拠物の中の一見無害なファイルのハッシュ値と、そのオリジナルのファイル（入手できれば）のハッシュ値を比較し、相違があればファイル内容にも相違があり、違法データが埋め込まれている可能性があると看破できる^[14]。

解析ツール

多くのオープンソースツール及び商用ツールがコンピュータ・フォレンジック捜査のために存在する。

• EnCase (en) 
• FTK (en) 
• PTK Forensics (en) 
• The Sleuth Kit (en) 
• The Coroner's Toolkit (en) 
• COFEE
• Selective file dumper (en) 

フォレンジック解析の典型例としては、メディア上の資料の手動調査、Windowsレジストリ上の疑わしい情報に関する調査、パスワードの発見とクラッキング、犯罪に関連した主題のキーワード検索、Eメールや画像の抽出及び調査が挙げられる^[6]。

脚注

1. ^ Michael G. Noblett; Mark M. Pollitt, Lawrence A. Presley (2000年10月). “Recovering and examining computer forensic evidence”. 2010年7月26日閲覧。
2. ^ A Yasinsac; RF Erbacher, DG Marks, MM Pollitt (2003年). “Computer forensics education”. IEEE Security & Privacy. 2010年7月26日閲覧。
3. ^ Pollitt, MM. “Report on digital evidence”. 2010年7月24日閲覧。
4. ^ “ACPO Good Practice Guide for Computer-Based Evidence”. ACPO. 2010年7月24日閲覧。
5. ^ ^{a b} Various (2009年). Eoghan Casey. ed. Handbook of Digital Forensics and Investigation. Academic Press. pp. 567ページ. ISBN 0123742676. https://books.google.co.uk/books?id=xNjsDprqtUYC&hl=en 2010年8月27日閲覧。 
6. ^ ^{a b} Casey, Eoghan (2004年). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4. https://books.google.co.jp/books?id=Xo8GMt_AbQsC&dq=Digital+Evidence+and+Computer+Crime,+Second+Edition&redir_esc=y&hl=ja 
7. ^ 「森友」交渉記録、電子鑑識へPCデータ復元、国有地売却交渉を究明 大阪地検『産経新聞』朝刊2017年8月23日
8. ^ 壊したスマホ 証拠逃さぬ『日経産業新聞』2017年11月9日（16面）
9. ^ J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten (2008年2月21日). Lest We Remember: Cold Boot Attacks on Encryption Keys. プリンストン大学. http://citp.princeton.edu/memory/ 2009年11月20日閲覧。. 
10. ^ Garfinkel, S. (2006年8月). “Forensic Feature Extraction and Cross-Drive Analysis”. 2010年9月27日閲覧。
11. ^ “EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis”. 2010年9月27日閲覧。
12. ^ Maarten Van Horenbeeck (2006年5月24日). “Technology Crime Investigation”. 2010年8月18日閲覧。
13. ^ Aaron Phillip; David Cowen, Chris Davis (2009年). Hacking Exposed: Computer Forensics. McGraw Hill Professional. pp. 544ページ. ISBN 0071626778. https://books.google.co.uk/books?id=yMdNrgSBUq0C&hl=en 2010年8月27日閲覧。 
14. ^ Dunbar, B (2001年1月). “A detailed look at Steganographic Techniques and their use in an Open-Systems Environment”. 2016年12月8日閲覧。
15. ^ “GIAC Certified Forensic Analyst (GCFA)”. 2010年7月31日閲覧。
16. ^ “2,146 GCFA Credentials Granted - 199 GCFA Gold”. 2010年7月31日閲覧。
17. ^ “International Society of Forensic Computer Examiners”. 2010年8月23日閲覧。
18. ^ Information Assurance Certification Review Board
19. ^ International Association of Computer Investigative Specialists, 公式ウェブサイト
20. ^ IFS Education Department, 公式ウェブサイト
21. ^ EC-Council, 公式ウェブサイト