Digital forensicsとは？ わかりやすく解説

デジタル大辞泉

デジタル‐フォレンジック【digital forensic】

読み方：でじたるふぉれんじっく

コンピューターやスマートホンなどの電子機器を対象とする鑑識・科学捜査。コンピューターに関する犯罪や法的問題が生じた際に、コンピューター内の機器やデータを調査・分析することにより、法的証拠を見つけ出すこと。デジタルフォレンジクス。コンピューターフォレンジック。フォレンジックコンピューティング。デジタル鑑識。電子鑑識。

ウィキペディア

デジタル・フォレンジック

(Digital forensics から転送)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2024/03/21 15:24 UTC 版)

この記事は英語から大ざっぱに翻訳されたものであり、場合によっては不慣れな翻訳者や機械翻訳によって翻訳されたものかもしれません。翻訳を改善してくださる方を募集しています。

デジタル・フォレンジック（英語: Digital forensics）は、法科学（フォレンジック・サイエンス）の一分野で、主にコンピュータ犯罪に関連して、デジタルデバイスに記録された情報の回収と分析調査などを行う^[1][2]ことを指す。コンピューター犯罪以外の犯罪捜査や違法行為の調査、法執行機関ではない民間企業が不正調査のため消去データの復元を試みる場合などを指しても使われる^[3]。

デジタル・フォレンジックという用語は、元々は「コンピュータ・フォレンジクス」の同義語として用いられていたが、 現在は調査の対象が拡張され、デジタルデータを保存することのできる全てのデバイスの調査を表す用語となった^[1]。1970年代後半から1980年代初頭のPC革命を発端に、この分野は1990年代の間に漠然としたまま発展し、国際的な政策が登場したのは21世紀初頭になってからである。

用語

「法科学#用語」も参照

2000年頃、米国連邦捜査局（FBI）が用語として使い始めた（上原哲太郎立命館大学教授による）^[3]。

法科学（Forensic sciences）の諸分野において頭に付けられる「フォレンジック（“Forensic”）」（形容詞）は、ラテン語の“forēnsis”つまり「フォーラム（広場）」に由来している^[4]。ローマ帝国時代、「起訴」とは、ローマ市街の中心にあるフォロ・ロマーノで聴衆を前に訴状を公開することであった。被告と原告はともに自らの主張を行い、よりよい主張をしてより広く受け入れられたものが裁判において判決を下すことができた。この起源は、現代における“forensic”という語の2つの用法のもとになっている。一つ目は「法的に有効な」という意味、そして2つ目が「公開発表の」という意味の形容詞である。

現状、法科学を意味するフォレンジック・サイエンス（forensic science）の代わりに単にフォレンジクス（forensics）と表現しても同様の意味を持つ。今や“forensics”は科学と密接に関連するものと捉えられているため、多くの辞書が“forensics”に“forensic science”すなわち法科学の意味を同時に載せている。

デジタル・コンピュータの分野においては、元々、計算機科学はコンピューター・サイエンスであることもあり、上記の省略形を用いて後ろにフォレンジクス（forensics）と付ける。

概要

デジタル・フォレンジックの調査には様々な用途が考えられている。 最も一般的なのは、刑事裁判または民事裁判において、立証または反証するための証拠を得るためのものである。刑事事件には、警察によって逮捕され、検察当局などに起訴される窃盗や暴力事件などの法律違反がある。一方、民事訴訟では個人の権利と財産を保護する目的で行われる（家族間の紛争など）ことが多い。また、企業間の契約上の紛争に関連して、デジタル・フォレンジックが用いられる事もある。

デジタル・フォレンジクスは、法廷外の民間セクターでも有効活用されるケースもある。企業の内部調査や侵入調査（不正なネットワーク侵入検知や程度を専門的に調査するものなど）などである。

調査の技術的側面としては、関連するデジタル機器の種類に応じて、次のようないくつかの小分野に分けられている。コンピュータ・フォレンジクス、 ネットワーク・フォレンジック、フォレンジック・データ分析（英語版）、およびモバイルデバイス・フォレンジックなどである。 典型的な法科学的プロセスは、デバイスの差し押さえ、（元データを改変せずに行われる）データ抽出、分析、ならびに収集された証拠についての報告書の作成である。

デジタル・フォレンジックを使用して、犯罪の直接的な証拠を特定するだけでなく、証拠を特定の容疑者に帰属させるのも役割のひとつである。例えば、容疑者のアリバイや過去の発言を確認し、その意図を判断し、出典を特定する（著作権侵害の場合など）^[5]といったことである。調査は複雑な時系列や仮説を伴うことが多く、他の法科学分析（通常は単純な質問に対する回答を導き出す）よりもはるかに広い範囲に渡る場合が多い^[6]。

歴史

1970年代以前、コンピュータ犯罪は既存の法律を使って対処されていた。 最初のコンピュータ犯罪に対する法律は1978年「フロリダ州コンピュータ犯罪法」で制定され。この法律では、コンピュータシステム上で許可されていないデータの変更や削除を違法とする内容が含まれていた ^{[7] [8]}。その後の数年間でコンピュータ犯罪の範囲が拡大し、著作権違反、プライバシー/嫌がらせ（例： サイバーいじめ、ハッピー・スラッピング、サイバーストーキング）および児童ポルノや、ネットを通じての未成年の性的虐待を取り締まる法律が可決された ^{[9] [10]}。ただ、アメリカにおいて、州法ではなく、連邦法としてコンピューター犯罪についての規定を取り入れたのは1980年代になってからである。1983年に最初の法案を可決した国はカナダである^[8]。これに続き、1986年に米国連邦法「コンピュータ詐欺と虐待法」、1989年にオーストラリアの「犯罪法」の改正、そして1990年にイギリスの「コンピュータ濫用法」の制定が行われた^{[8] [10]}。

1980年代 - 1990年代：成長期

1980年代から1990年代にかけてコンピュータ犯罪の増加により、法執行機関は犯罪捜査における技術的側面に対応していくため、全国レベルの専門組織を設立した。1984年にFBIは「コンピュータ分析対応チーム」を立ち上げ、翌年にはイギリスの警視庁詐欺部隊の中にコンピュータ犯罪部門が設置された。これらのグループの初期のメンバーは、法執行機関の専門家であるだけでなく、元々コンピュータ愛好家でもあり、この分野の初期の調査と指導を担当することになった^{[11] [12]}。

デジタル・フォレンジックの最初に使用された（または少なくとも公表されている）例の一つは、1986年のクリフ・ストールによるハッカー、マルクス・ヘスの追跡である。 ストールは、コンピュータとネットワークのフォレンジック技術を使って調査を行った。彼は法執行機関や法科学の専門の分析官ではなかった^[13]。このように、初期の頃は、専門の分析官や捜査官が行うものとはされていなかったのである ^[14]。

1990年代を通じて、これらの新しい分野における専門の捜査員の需要が高くなった。例えば、2001年に英国ハイテク犯罪部隊は、コンピュータ犯罪のための全国的なインフラを提供するために設立された。ロンドンの中心部に位置しながらさまざまな地域の警察と協力する体制を取っていた。（2006年に重大組織犯罪庁（SOCA）に統合） ^[12]

この年代では、趣味的なIT専門家の開発した技術アドホック・ツールによって、デジタル・フォレンジックの科学技術は発展した。これは、科学的なコミュニティから生まれた他の法医学分野とは対照的なことである^[1][15]。「コンピュータ・フォレンジクス」という用語が学術文献で始めて登場するのも、1992年になってからである（非公式には使用されていた）。CollierとSpaulは論文を発表し、新しい指針を法科学の世界に確立しようとした^{[16] [17]}。このような急速な発展は、技術の標準化と練度の欠如といった新たな問題を抱えることになった。K. Rosenblatt は、1995年の著書『 ハイテク犯罪：コンピュータが関係する事件の調査 』で次のように書いている。

コンピューターに保存されている証拠の差し押さえ、保全、分析は、1990年代に法執行機関が直面しているもっとも大きな難問である。他の法科学的検査、指紋やＤＮＡ型鑑定は専門の訓練されたエキスパートが行うが、コンピューターの証拠収集は巡回警官や刑事が行っている。^[18]

2000年代：標準化の確立

2000年以降、技術の標準化の必要性に応え、様々な機関がデジタル・フォレンジックに関するガイドラインを発表する。デジタル証拠に関する科学ワーキング・グループ （SWGDE）は2002年に論文「コンピュータ・フォレンジックに関する最高の実例」という論文を発表し、続いて2005年には国際ISO規格（ISO 17025、試験機関および校正機関の適性に関する一般的な要求事項）が公開された ^{[8] [19] [20]}。ヨーロッパの主要な国際条約である「サイバー犯罪条約」は、国内のコンピュータ犯罪法、調査技術および国際協力を調整する目的で2004年に発効した。条約は43カ国（米国、カナダ、日本、南アフリカ、英国、その他のヨーロッパ諸国を含む）によって署名され、16カ国によって承認されている。

研修の問題もまた注目を集めた。営利企業（多くの場合、法科学的ソフトウェア開発者）は認証プログラムを提供し始め、デジタル・フォレンジックの分析は英国の専門的な調査員の研修施設 ”Centrex” の研修テーマに含まれるようになった ^{[8] [12]}。

1990年代後半以降、モバイル機器がより広く利用されるようになり、進化して単純な通信機器ではなくなった。携帯電話が豊富な情報（証拠）となることが判明した^[21]。それにもかかわらず、携帯電話のデジタル分析は、主に機器のメーカーの独自性のために、従来のPC関連機器に遅れをとっている^[22]。

この時代、インターネット犯罪、特にサイバー戦争とサイバーテロのリスクにも焦点が当てられた。2010年2月のアメリカ統合戦力軍報告書は、次のように結論づけている。

敵はサイバー空間を利用して、ビジネス業界、学術界、政府、のみならず空軍、陸軍、海軍、宙域までをもターゲットとするだろう。第二次大戦で航空戦力が戦場を変えたように、サイバー空間は国家を保護する役割であった物理的なバリアを砕き、商業、および通信に対する攻撃を可能にしている。^[23]

現在、デジタル・フォレンジックの分野は未解決の問題に直面している。PetersonとShenoiによる2009年の論文『デジタル・フォレンジックリサーチ：善、悪、そしてまだ知られていない問題』は、デジタル・フォレンジック調査におけるWindowsへの偏重に対し懸念を表明している^[24]。2010年、Simson Garfinkelは、将来のデジタル調査における問題を列挙し、その中でデジタルメディアの容量の拡大、消費者への幅広い暗号化の普及、多様なOSとファイルフォーマット、複数のデバイスを所有する個人の増加、法的問題などを挙げた。また、この文書では、継続的な研修が必要なことや、この分野に参入するためには非常に高いコストがかかることも指摘された ^[13]。

日本での取り組み

日本でも2000年代から捜査で導入されるようになった。検察庁で大きな転機となったのは大阪地検特捜部主任検事証拠改ざん事件（2010年）で、2017年には東京地方検察庁と大阪地方検察庁に専門部署「DFセンター」（DF=デジタル・フォレンジック）が開設された）^[3]。

工藤會事件では、携帯電話の操作履歴や位置情報が間接的な証拠として採用された ^[25]。

警察庁では、2022年に関東地方の重大事案のサイバー事件を捜査するサイバー警察局を発足させた^[26]。 また、ポート探索などの攻撃者のハッキングのための探知活動について、統計資料を公開している^[27]。

デジタル・フォレンジックを請け負う民間企業もあり、研究・普及団体であるNPO法人「デジタル・フォレンジック研究会」会員数は400以上と2004年発足時の3倍超に増えた。人材育成コースを設ける専門学校もある）^[3]。

フォレンジックツールの開発

詳細は「デジタル・フォレンジック・ツールの一覧（英語版）」を参照

1980年代には、専門のデジタル・フォレンジック向けツールはほとんど存在せず、その結果、調査者は該当機器上で直に分析を行い、既存の管理ツールを使用して証拠を抽出していた。この方法では、誤って、または何らかの原因でディスク上のデータが変更されてしまう危険性があり、証拠が改竄されていると主張されることが起きていた。この問題に対処するために、1990年代初頭に幾つかのソフトウェアのツールが開発され始めた。

1989年に連邦法執行訓練センターは、このようなソフトウェアの必要性を認め、「IMDUMP ^[28] （Michael White氏作）」および1990年には「SafeBack ^[29] （Sydexによって開発された）」の作成に至る。同様のソフトウェアが他の国でも開発されており、「DIBS（ハードウェアおよびソフトウェアソリューション）」は、1991年に英国で商業的にリリースされ、Rob McKemmishは「Fixed Disk Image」をリリースし、オーストラリアの法執行機関に無料で提供した ^[11]。これらのツールは、検証のためにオリジナルのディスクを元の状態に保ったまま作業するためオリジナルの正確なコピーを作成することができた。1990年代の終わりまでに、デジタル証拠の需要が増大するにつれて、「EnCase」や「FTK」など、より高度な商用ツールも開発され、分析官は生のデータ分析をせずに、コピーを使って調べることができるようになった^[8]。ごく最近では、「ライブメモリフォレンジック」への傾向が高まり、 「WindowsSCOPE」といったツールが利用できるようになっている。

ごく最近では、 モバイル機器についても同様のツールの開発が行われている。当初、PCの頃と同じく、デバイス上のデータに直接アクセスするものだったが、すぐに「XRY」や「Radio Tactics Aceso」などの専門ツールが登場した^[8]。

フォレンジック・プロセス

ハードドライブに接続されたポータブルTableau書き込みブロッカー

詳細は「Digital forensic process（英語）」を参照

デジタル・フォレンジック調査は一般的に、「収集またはディスクイメージのコピー」^[30]、「分析」、「報告」という3つの段階から成る^{[8] [31]}。

データの収集またはコピーの段階で理想的なのは、コンピュータの揮発性メモリ（RAM）の「イメージ」を取り込む^[32]、またはセクタレベルの複製、メディアの複製、書き込みブロッキングを利用したオリジナルの変形を防止などの対策をとることである。ただ、近年のストレージメディアのサイズの拡大やクラウドコンピューティングなどの開発^[33]により、物理的なストレージデバイスの完全なイメージではなく、データの「論理的な」コピーが取得される「生データ」の取得が増えた^[30]。改変がされていないか後に検証するために、取得したイメージ（または論理コピー）とオリジナルのメディア/データの両方がハッシュ化され（SHA-1やMD5といったアルゴリズムを使用し）、複製との値を比較し、同じであれば正確にコピーしたものとされる^[34]。

分析段階では、調査員は様々な方法やツールを使用して証拠資料を回収する。2002年、International Journal of Digital Evidenceの記事はこのステップを「疑わしい犯罪に関連する証拠の詳細な体系的検索」と呼んでいる^[1]。2006年、法科学調査員のBrian Carrierは、「直感的な手順」で明白な証拠が特定され、次に「徹底的な調査が行われて穴が埋められていく」と説明した ^[6]。

分析プロセスは、実際の調査によって異なる可能性があるが、一般的な方法論としては、デジタルメディア全体でのファイル検索（ファイル内、未割り当てスペース 、 空きスペース）、削除ファイルの復元、レジストリ情報の抽出などがある（USBデバイス含む）。

回収された証拠は、イベントを再構築し、分析し^[1]、通常書面による報告の形で一般の人間に理解できる表現でまとめられる^[1]。

応用

デジタル・フォレンジックは、刑事事件のみならず、一般の調査でも使用されている。 デジタル・フォレンジックは刑法に由来しており、裁判の前に仮説を支持または反対するための証拠を集めるために利用される。他の法科学分野と同様に、これは多くの分野にまたがる広範な調査の一部となる。場合によっては、収集された証拠は裁判手続以外の目的で、デジタル情報の収集の一形態として使用され、使用される（他の犯罪の特定、特定、停止など含む）。その結果、情報収集の手法は法廷で要求される基準ほど厳しくない法科学的基準に基づく場合もある。

民事訴訟または企業の問題では、デジタル・フォレンジックが電子情報開示プロセスの一部を形成する場合がある。法科学的手続きは刑事捜査で使用されるものと似たものではあるが、多くの場合、異なる法的要件と制限が存在する。民間におけるデジタル・フォレンジックの利用は、社内における調査などに利用される。

一般的な例としては、許可のないネットワークへの侵入が挙げられる。このような攻撃は1980年代には電話回線を介して行われていたが、現代では通常インターネットを介して侵入を受ける ^[35]。専門家による法科学的な調査は、侵入の規模や攻撃者を特定し、被害の拡大を抑えるために実行される^{[5] [6]}。

デジタル・フォレンジック調査の主な焦点は、犯罪行為の客観的証拠（法的用語では「actus reus」と呼ばれる）を確保することである。ただし、デジタルデバイスに保持されているさまざまなデータは、他の調査分野にも役立つものである ^[5]。

帰属

メタデータおよびその他のログを使用して、特定のアクティビティを特定の個人に紐づけて個人を識別する。つまり、例えばコンピュータのディスク内にある個人用文書のファイルのメタデータよってその所有者を識別する。

アリバイと証言

関係者によって提供された情報は、デジタル証拠と照合することで、アリバイ証拠とすることができる。例えば、ある殺人事件の捜査中に、容疑を受けた人が一緒にいたと主張した人物の携帯電話の通話記録により、容疑者のアリバイは立証されることになる。

意図

犯罪が犯されたという客観的な証拠を見つけること以外にも、調査はその意図を証明するためにも用いられる（法的用語では「故意（mens rea）」となる）。たとえば、有罪判決を受けた殺人者、Neil Entwistleのブラウザ履歴には、「殺害の方法」を議論しているサイトへの閲覧履歴が残されていた。

出所の確認

メタデータなどは、特定のデータの出所を識別するためにも使用でる。たとえば、以前のバージョンのMicrosoft Wordでは、作成されたコンピュータを識別するGUIDが埋め込まれていた。調査中のデジタル機器でファイルが作成されたのか、他の場所（インターネットなど）から入手されたのかを証明することは非常に重要となる^[5]。

文書認証

「出所の確認」に関連して、デジタル文書に関連付けられているメタデータは簡単に変更することが出来る（例えばコンピュータの時間設定を変更することで、ファイルの作成日を偽装することも可能）。文書認証は、そのような詳細の改ざんの検出と識別が行われる。

制約と限界

デジタル・フォレンジック調査において、大きな制限となるのは暗号化の使用である。これはキーワードを使用して適切な証拠を検索する最初の段階で調査を躓かせるものである。個人に対して暗号化キーを開示するよう強制できる法律については、未だに議論を呼ぶものとなっている^[13]。

法的な考慮事項

デジタルメディアの分析調査は、国内外の法律によって規制されている場合がある。特に民事における調査においては分析官は特に法的な制限を受けることになる。ネットワーク監視やプライベートな通信の傍受は大抵法律による規制が存在しているからである ^[36]。刑事捜査の場合においては、どれだけの情報を差し押さえることができるかは国内法次第である^[36]。例えば、英国では、法執行機関による証拠の差し押さえは「PACE法」に基づく^[8]ものとなっている。初期の頃は「コンピュータ証拠に関する国際機関」（IOCE）といった機関が証拠の差し押さえのための互換性のある国際規格を確立するために動いていた^[37]。

英国では、コンピュータ犯罪を取り締まる法律が、調査官に対しても影響を及ぼす可能性が指摘された。1990年に制定されたコンピュータ濫用法の規制によって、コンピュータへの不正アクセスを抑止する効果よりも、民事における調査を制限することを危惧する市民もいた。

個人のプライバシーに対する権利はデジタル・フォレンジックの1つの分野であり、これは依然として大部分が裁判所によって判例化されていない。米国電子通信プライバシー法（ECPA法）は、法執行機関または民間調査官が証拠を傍受してアクセスする能力に制限を設けたものとなっている。法律によって、通信は保存されている通信（例：Eメールアーカイブ）と送信された通信（例： VoIP ）に区別される。VoIPはプライバシー侵害と見なされるため、捜査令状を取得するのは困難となる^{[8] [18]}。ECPA法はまた、企業の従業員のコンピュータおよび通信を調査する上でも影響を及ぼすものである。これは、企業がどの程度通信を監視をできるかという点において、まだ議論の余地が残されたものとなっている^[8]。

欧州人権条約の第5条は 、ECPA法と同様のプライバシー制限を課しており、EU内外での個人データの処理および共有を制限するものである。英国の法執行機関の権限は捜査権限規定法によって規定される^[8]。

デジタル証拠

デジタル証拠は様々な形態をとる

詳細は「Digital evidence（英語）」を参照

デジタル証拠は、裁判所で使用される場合、他の形式の証拠と同じ法的ガイドラインに従うことになる^{[8] [38]}。米国では、連邦証拠規則がデジタル証拠の容認性を評価するために使用され、英国PACEおよび民事証拠法は同様のガイドラインを持ち、他の多くの国では独自の法律がある。米国の連邦法では、明白な証拠価値があるものに限り差し押さえが容認されている^[36]。

（日本では、この「証拠法」に該当する同様の法律は存在しない）

デジタル証拠を扱う法律は、整合性と信頼性という2つの問題を重視する。整合性とは、デジタルメディアを差し押さえて取得する行為によって証拠（原本またはコピーの双方）が改ざんを受けていないと保証されることである。信頼性とは、情報の整合性を確認する機能である（例えば、コピーがオリジナルの証拠と同一だと確認することである）^[36]。デジタルメディアの改ざんが容易であるため、犯罪現場における分析から裁判所までの手続き（一連の証拠保全と監査）を文書化することが、証拠の信頼性を確立するために重要となってくるのである^[8]。

弁護士は、デジタル証拠は理論的に変更される可能性があるため、証拠としての信頼性を損なうものであると主張してきた。米国の裁判官は、この理論を否定するようになってきている。 ある法廷では「コンピュータに含まれるデータを変更することが可能であるという事実は、信頼できないことを立証するには明らかに不十分である」と裁定した ^{[8] [39]}。英国や米国では、証拠の信憑性と完全性を文書化するための指針を作っている。^[8][40]。

デジタル・フォレンジックの各分野はそれぞれ、調査の実施および証拠の取り扱いに関する独自のガイドラインを持つ。 たとえば、携帯電話は、デバイスへのそれ以上の無線トラフィックを防ぐために、差し押さえ中、ファラデーシールドに入れておく必要がある。より国際的なアプローチとしては、欧州評議会による「電子証拠ガイド」は、電子証拠の識別と取り扱いのためのガイドラインを各国の法執行機関および司法当局向けに提供している^[41]。

調査ツール

デジタル証拠の法廷での有効性は、それを抽出するために使用されるツールにも依存する。米国では、1993年の合衆国最高裁判所における「ドーバート対メレル・ダウ製薬（英語版）」にて連邦法の一部となった、ドーバート基準（英語版）に準拠することになる。この場合、裁判官が、調査のプロセスと使用されたソフトウェアが妥当であることを確認する義務がある。2003年の論文でBrian Carrierは、ドーバード基準のガイドラインでは法科学的ツールのソースコードを公開し、査読することが要求されるとした。同氏は「オープンソースのツールはクローズドソースのツールよりもガイドラインの要件をより明確かつ包括的に満たすことができる」とした^[42]。2011年にJosh Bruntyは、デジタル・フォレンジック調査の実行に関連する技術とソフトウェアの科学的検証は、あらゆる調査機関のプロセスにとっても重要であると述べた。同氏は、「デジタル・フォレンジックの調査が科学的であるかどうかは、プロセスが再現できるか、また証拠の質が高いかという原則に基づいている。したがって、適切な検証プロセスを設計し、適切に維持する方法を知っていることは、法廷で自らの手法が適正であることを証明するうえで重要だ」と述べている^[43]。

小分野

現在、小型のデジタル機器（タブレット、スマートフォン、フラッシュドライブなど）が犯罪者によっても広く使用されているため、デジタル・フォレンジックの調査は単にコンピュータからデータを取得することに限定されない。デバイス、メディア、または物質の種類に応じて、デジタル・フォレンジック調査は様々な分野に派生する。

コンピュータ・フォレンジクス

詳細は「コンピュータ・フォレンジクス」を参照

コンピュータ・フォレンジクスの目的は、デジタル媒体の状態を説明することである。コンピュータシステム、記憶媒体または電子文書など^[44]である。この分野は通常、パソコン（PC）、組み込みシステム （初歩的な計算能力とオンボードメモリを備えたデジタルデバイス）、および静的メモリ（USBペンドライブなど）を対象としている。

コンピュータ・フォレンジクスはログ（インターネット履歴など）からドライブ上の実際のファイルまで広範囲の情報を扱う。2007年、検察はジョセフ・E・ダンカン3世のコンピュータから回収した表計算ファイル（スプレッドシート）を証拠とし殺人罪を求刑、 犯人は死刑を宣告されている^[5]。また別の殺人犯は、拷問や殺人の幻想を詳述した電子メールのメッセージから刑が確定することになったケースもある ^[8]。

モバイルデバイス・フォレンジック

詳細は「モバイルデバイス・フォレンジック」を参照

モバイルデバイス・フォレンジックは、モバイルデバイスからデジタル証拠やデータの復旧に関係する。モバイルデバイスが内蔵された通信機能をもつという点で、コンピュータ・フォレンジクスとは異なる（例： GSM ）ものとなっている。また、モバイルデバイスでは、通常、独自のストレージメカニズムを持つ。そのため、調査は通常、削除されたデータの詳細な回復ではなく、通話データや通信（SMS / Eメール）などの単純なデータに焦点を当てる^{[8] [45]}。モバイルデバイスのSMSデータの調査により、英国人留学生殺害事件で、Patrick Lumumba の無罪を確定させることができた^[5]。

モバイルデバイスは内蔵のGPS /位置追跡から、または携帯サイトのログを介してデバイスを追跡し、位置情報を取得するのにも役立つ。そのような情報は、実際に事件の犯人を追跡するためにも使用されている^[5][25]。

ネットワーク・フォレンジック

詳細は「ネットワーク・フォレンジック」を参照

ネットワーク・フォレンジックは、情報収集、証拠収集、または侵入検知を目的とした、ローカルおよびWAN / インターネットの両方のコンピュータネットワークのトラフィック監視および分析である^[46]。トラフィックは通常パケットレベルで傍受され、後で分析するために保存されるか、またはリアルタイムでフィルタリングされる。パケットを保存し、解析するツールとしてwiresharkが用いられる^[47]。

2000年にFBIは、偽の就職面接でコンピューターハッカーのAleksey IvanovとGorshkovを米国におびき寄せた。両者のコンピュータから発信されるネットワークトラフィックを監視することで、FBIはパスワードを識別し、ロシアのコンピュータから直接証拠を収集することに成功した ^{[8] [48]}。

フォレンジック・データ分析

詳細は「Forensic data analysis（英語）」を参照

フォレンジック・データ分析（英語版）は、デジタル・フォレンジックの一分野である。金融犯罪による不正行為のパターンを発見し分析することを目的として、構造化データを調べるものである。

データベース・フォレンジクス

詳細は「Database forensics（英語）」を参照

データベース・フォレンジクス（英語版）は、 データベースとそのメタデータのフォレンジック調査を行う、デジタル・フォレンジックの一部門である^[49]。調査では、データベースの内容、ログファイル、およびRAM内のデータを使用してタイムラインを作成、または関連情報の復元を行う。

IoTフォレンジクス

詳細は「IoT Forensics（英語）」を参照

IoTフォレンジクスはデジタル・フォレンジックの派生分野の一つである。Internet of Thingsから証拠となりうるデジタルな情報を特定し、抽出することを目的とする。

出典

[脚注の使い方]

1. ^ ^{a b c d e f} M Reith; C Carr; G Gunsch (2002). "An examination of digital forensic models". International Journal of Digital Evidence. CiteSeerX 10.1.1.13.9683.
2. ^ Carrier, B (2001). "Defining digital forensic examination and analysis tools". International Journal of Digital Evidence. 1: 2003. CiteSeerX 10.1.1.14.8953.
3. ^ ^{a b c d} 【New門】データ消しても悪事は消せず『読売新聞』朝刊2020年5月13日
4. ^ Shorter Oxford English Dictionary（英語版） (6th ed.), Oxford University Press, (2007), ISBN 978-0-19-920687-2 
5. ^ ^{a b c d e f g} Various (2009). Eoghan Casey (ed.). Handbook of Digital Forensics and Investigation. Academic Press. p. 567. ISBN 978-0-12-374267-4.
6. ^ ^{a b c} Carrier, Brian D (7 June 2006). "Basic Digital Forensic Investigation Concepts". Archived from the original on 26 February 2010.
7. ^ "Florida Computer Crimes Act". Archived from the original on 12 June 2010. Retrieved 31 August 2010.
8. ^ ^{a b c d e f g h i j k l m n o p q r s} Casey, Eoghan (2004). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 978-0-12-163104-8.
9. ^ Aaron Phillip; David Cowen; Chris Davis (2009). Hacking Exposed: Computer Forensics. McGraw Hill Professional. p. 544. ISBN 978-0-07-162677-4. Retrieved 27 August 2010.
10. ^ ^{a b} M, M. E. "A Brief History of Computer Crime: A" (PDF). Norwich University. Archived (PDF) from the original on 21 August 2010. Retrieved 30 August 2010.
11. ^ ^{a b} Mohay, George M. (2003). Computer and intrusion forensics. Artechhouse. p. 395. ISBN 978-1-58053-369-0.
12. ^ ^{a b c} Peter Sommer (January 2004). "The future for the policing of cybercrime". Computer Fraud & Security. 2004 (1): 8–12. doi:10.1016/S1361-3723(04)00017-X. ISSN 1361-3723.
13. ^ ^{a b c} Simson L. Garfinkel (August 2010). "Digital forensics research: The next 10 years". Digital Investigation. 7: S64–S73. doi:10.1016/j.diin.2010.05.009. ISSN 1742-2876.
14. ^ Linda Volonino; Reynaldo Anzaldua (2008). Computer forensics for dummies. For Dummies. p. 384. ISBN 978-0-470-37191-6.
15. ^ GL Palmer; I Scientist; H View (2002). "Forensic analysis in the digital world". International Journal of Digital Evidence. Retrieved 2 August 2010.
16. ^ Wilding, E. (1997). Computer Evidence: a Forensic Investigations Handbook. London: Sweet & Maxwell. p. 236. ISBN 978-0-421-57990-3.
17. ^ Collier, P.A.; Spaul, B.J. (1992). "A forensic methodology for countering computer crime". Computers and Law.
18. ^ ^{a b} K S Rosenblatt (1995). High-Technology Crime: Investigating Cases Involving Computers. KSK Publications. ISBN 978-0-9648171-0-4. Archived from the original on 7 March 2016. Retrieved 4 August 2010.
19. ^ "Best practices for Computer Forensics" (PDF). SWGDE. Archived from the original (PDF) on 27 December 2008. Retrieved 4 August 2010.
20. ^ "ISO/IEC 17025:2005". ISO. Archived from the original on 5 August 2011. Retrieved 20 August 2010.
21. ^ SG Punja (2008). "Mobile device analysis" (PDF). Small Scale Digital Device Forensics Journal. Archived from the original (PDF) on 2011-07-28.
22. ^ Rizwan Ahmed (2008). "Mobile forensics: an overview, tools, future trends and challenges from law enforcement perspective" (PDF). 6th International Conference on E-Governance. Archived (PDF) from the original on 2016-03-03.
23. ^ "The Joint Operating Environment" Archived 2013-08-10 at the Wayback Machine., Report released, 18 February 2010, pp. 34–36
24. ^ Peterson, Gilbert; Shenoi, Sujeet (2009). Digital Forensic Research: The Good, the Bad and the Unaddressed. Advances in Digital Forensics V. IFIP Advances in Information and Communication Technology. 306. Springer Boston. pp. 17–36. Bibcode:2009adf5.conf...17B. doi:10.1007/978-3-642-04155-6_2. ISBN 978-3-642-04154-9.
25. ^ ^{a b} 藪正孝 (著)「暴力団捜査 極秘ファイル　初めて明かされる工藤會捜査の内幕 kindle版」 彩図社 (2023/6/27)
26. ^ "警察庁HP - サイバー警察局とは"
27. ^ "警察庁HP - サイバー空間をめぐる脅威の情勢等"
28. ^ Mohay, George M. (2003). Computer and Intrusion Forensics. Artech House. ISBN 9781580536301. https://books.google.gr/books?id=z4GLgpwsYrkC&lpg=PA115&ots=lwzwtRbdz5&dq=IMDUMP&pg=PA115#v=onepage&q=IMDUMP&f=false 
29. ^ Fatah, Alim A.; Higgins, Kathleen M. (February 1999). Forensic Laboratories: Handbook for Facility Planning, Design, Construction and Moving. DIANE Publishing. ISBN 9780788176241. https://books.google.gr/books?id=NssTJiP_U1QC&pg=PA84&lpg=PA84&dq=sydex+safeback&source=bl&ots=OsneqYnr5E&sig=ACfU3U34xtXyAjkqggj_3FZyzlJK7lKTjA&hl=en&sa=X&ved=2ahUKEwjJ5_S2iqzhAhWGxoUKHTAABv4Q6AEwAnoECAYQAQ#v=onepage&q=sydex%20safeback&f=false 
30. ^ ^{a b} Adams, Richard (2013). "'The Advanced Data Acquisition Model (ADAM): A process model for digital forensic practice" (PDF). Murdoch University. Archived (PDF) from the original on 2014-11-14.
31. ^ "'Electronic Crime Scene Investigation Guide: A Guide for First Responders" (PDF). National Institute of Justice. 2001. Archived (PDF) from the original on 2010-02-15.
32. ^ "Catching the ghost: how to discover ephemeral evidence with Live RAM analysis". Belkasoft Research. 2013.
33. ^ Adams, Richard (2013). "'The emergence of cloud storage and the need for a new digital forensic process model" (PDF). Murdoch University.
34. ^ Maarten Van Horenbeeck (24 May 2006). "Technology Crime Investigation". Archived from the original on 17 May 2008. Retrieved 17 August 2010.
35. ^ Warren G. Kruse; Jay G. Heiser (2002). Computer forensics: incident response essentials. Addison-Wesley. p. 392. ISBN 978-0-201-70719-9.
36. ^ ^{a b c d} Sarah Mocas (February 2004). "Building theoretical underpinnings for digital forensics research". Digital Investigation. 1 (1): 61–68. CiteSeerX 10.1.1.7.7070. doi:10.1016/j.diin.2003.12.004. ISSN 1742-2876.
37. ^ Kanellis, Panagiotis (2006). Digital crime and forensic science in cyberspace. Idea Group Inc (IGI). p. 357. ISBN 978-1-59140-873-4.
38. ^ Daniel J. Ryan; Gal Shpantzer. "Legal Aspects of Digital Forensics" (PDF). Archived (PDF) from the original on 15 August 2011. Retrieved 31 August 2010.
39. ^ US v. Bonallo, 858 F. 2d 1427 (9th Cir. 1988).
40. ^ “Federal Rules of Evidence #702”. 2010年8月19日時点のオリジナルよりアーカイブ。2010年8月23日閲覧。
41. ^ "Electronic Evidence Guide". Council of Europe. April 2013. Archived from the original on 2013-12-27.
42. ^ Brian Carrier (October 2002). "Open Source Digital Forensic Tools: The Legal Argument" (PDF). @stake Research Report. Archived (PDF) from the original on 2011-07-26.
43. ^ Brunty, Josh (March 2011). "Validation of Forensic Tools and Software: A Quick Guide for the Digital Forensic Examiner". Forensic Magazine. Archived from the original on 2017-04-22.
44. ^ A Yasinsac (2003年). “Computer forensics education”. IEEE Security & Privacy. 2010年7月26日閲覧。
45. ^ "Technology Crime Investigation :: Mobile forensics". Archived from the original on 17 May 2008. Retrieved 18 August 2010.
46. ^ Gary Palmer, A Road Map for Digital Forensic Research, Report from DFRWS 2001, First Digital Forensic Research Workshop, Utica, New York, 7–8 August 2001, Page(s) 27–30
47. ^ Gerard Johansen "Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats, 2nd Edition" Packt Publishing (2020/1/29) pp..192-201
48. ^ "2 Russians Face Hacking Charges". Moscow Times. 24 April 2001. Archived from the original on 22 June 2011. Retrieved 3 September 2010.
49. ^ Olivier, Martin S. (March 2009). "On metadata context in Database Forensics". Digital Investigation. 5 (3–4): 115–123. CiteSeerX 10.1.1.566.7390. doi:10.1016/j.diin.2008.10.001. Retrieved 2 August 2010.

参考文献

• Carrier, Brian D. (February 2006). “Risks of live digital forensic analysis”. Communications of the ACM 49 (2): 56–61. doi:10.1145/1113034.1113069. ISSN 0001-0782. 
• Kanellis, Panagiotis (1 January 2006). Digital crime and forensic science in cyberspace. IGI Publishing. p. 357. ISBN 978-1-59140-873-4. https://books.google.com/books?id=oK_oYhTPW2gC 
• Jones, Andrew (2008). Building a Digital Forensic Laboratory. Butterworth-Heinemann. p. 312. ISBN 978-1-85617-510-4. https://books.google.com/books?id=F5IU7XXKwCQC 
• Marshell, Angus M. (2008). Digital forensics: digital evidence in criminal investigation. Wiley-Blackwell. p. 148. ISBN 978-0-470-51775-8. https://books.google.com/books?id=MC0FPQAACAAJ 
• Sammons, John (2012). The basics of digital forensics: the primer for getting started in digital forensics. Syngress. ISBN 978-1597496612 
• Crowley, Paul. CD and DVD Forensics. Rockland, MA: Syngress. ISBN 978-1597491280 
• Årnes, André (2018). Digital Forensics. Wiley et al. ISBN 978-1-119-26238-1 

関連ジャーナル

英語情報

専門学術ジャーナル

• デジタル・フォレンジック、セキュリティ、法のジャーナル（Journal of Digital Forensics, Security and Law） (JDFSL)
• 国際デジタル犯罪と法科学誌（International Journal of Digital Crime and Forensics） (IJDCF)
• デジタル調査ジャーナル（The International Journal of Digital Forensics & Incident Response）

関連項目

• 法科学（フォレンジック・サイエンス）
• コンピューター・フォレンジクス
• バックトラック
• サイバースペース
• サイバー犯罪