デジタル・フォレンジック

967882_R

デジタル・フォレンジック

世間では、財務省の決裁文書改竄(かいざん)問題が騒がしいようですが、新聞などは、この問題の捜査に係わって「デジタル・フォレンジック」(Digital Forensics:DF)という技術が使われたと報道していました。これまで一般にはあまりなじみのない言葉でしたが、今回の件でその認知度はあがったようです。

犯罪捜査において、デジタル・フォレンジックの重要性が年々増していることは容易に想像できますが、2018年3月の各社の新聞報道では、2016年に警察庁が犯罪捜査のために解析したデータの総容量が約4.6ペタバイトで10年前の9倍超(8ギガバイトのSDメモリーカード約60万枚相当)になったこと、そして、最も多いのはスマホで、今後、家電のIoTや自動運転車の普及にともなってさらに解析が必要な分野が広がるとしています。

ところで、デジタルは分かりますがフォレンジックとはどういう意味なのでしょうか?

デジタル・フォレンジック(Digital Forensics )のforensicsは、ラテン語のforum(法廷)がその語源になっているそうです。日本語では、法医学などと訳されるようですが、犯罪捜査における分析、鑑識を意味します。また、forensicsというのは、英語の発音からするとfəˈɹɛn.zɪks(英国英語)や fɚɛ́nsɪks(米国英語)であり、フォレンジックは形容詞のforensicなので、フォレンジックスと「ス」を入れる方が正しいとする意見があります。

デジタル・フォレンジックの概念は取り立てて新しいものではなく、1995年ごろはコンピュータ・フォレンジックと呼んでいました。しかし、携帯電話、スマートフォンやタブレットなどの端末の普及により、さまざまな電子機器が犯罪に悪用されるようになり、モバイル・フォレンジック、ネットワーク・フォレンジック、メモリー・フォレンジック、インフォメーション・フォレンジック、ライブ・フォレンジック、チップオフ・フォレンジック等いろいろな呼び方がなされることがあり、「広義のデジタル・フォレンジック」ではこうしたものも含めています。

デジタル・フォレンジックの定義

デジタル・フォレンジックは、前述のように情報機器などのデータ解析によって、法的手続のために証拠化する技術として日本語でデジタル鑑識という場合があります。

例えば、平成26年度警察白書では次のように説明しています。

・・・犯罪に悪用された電子機器等に保存されている情報は、犯罪捜査において重要な客観証拠となる場合があり、これを適正な手続により解析・証拠化するデジタルフォレンジック・・

・・・・

犯罪の立証のための電磁的記録の解析技術及びその手続

(平成26年度警察白書https://www.npa.go.jp/hakusyo/h26/honbun/pdf/04_tokushu.pdf より)

また、デジタル・フォレンジック研究会は次のように定義しています。

インシデントレスポンス(コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、 データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う。)や法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います。

(デジタル・フォレンジック研究会 https://digitalforensic.jp/home/what-df/ より)

しかし、「デジタル鑑識」という言い方については、デジタルデータの保全・復元・解析を行うデジタル・フォレンジックサービスを提供する企業が増え、警察だけでなく民間でも使用する技術であることなどから「鑑識」という言葉は適切でないという意見があります。

デジタル・フォレンジックの主要な手順

デジタル・フォレンジックの基本的なプロセスは、収集・検査・分析・報告で構成されます。「情報管理 2017.4. vol. 60 №. 1デジタル・フォレンジック インシデント時の証拠保全のための技術:佐々木良一  東京電機大学」によれば、インシデントに備え普段からのログの収集といった通常時の事前準備も重要であるとして、「事前準備」「データの収集」「データの復元」「データの分析」「報告」の手順を示しています。

「データの収集」における最初のプロセスは「証拠保全」といわれるものです。オリジナルの物理デバイスのバックアップを作成する作業で、1ビットずつそっくりそのままコピーするビットストリームコピーという方式で行われます。コピーにはディスクtoディスクの物理的なバックアップとイメージコピーがあります。イメージコピーにはLinux ddコマンドを使うこともありますが、保全や解析用のautopsy、x-ways、EnCaseなどの専用ツールが使われることが多いようです。

バックアップが終了したら、両者のデータ同一性を比較するために「ハッシュ値」を取ります。ハッシュ値を比較し、ハッシュ値が同一であればデータの内容は同じであり、原本とコピーの同一性を証明することができます。また、法廷へのデータの提出において、ハッシュ値に変化がなければ、証拠の一貫性の証明になります。

コピーされたデータは解析ソフト用に変換したうえで解析ソフト(EnCase、Forensic Toolkitなど)でデータの復元、データの分析が行われます。

データの復元では、例えば、ウィンドウズで採用されているNTFSの場合は、ファイルシステムの管理情報が「$MFT」と「$Bitmap」の2種類存在し、ファイル削除時は双方の空き領域管理の仕組みだけが操作され、メタデータも実データも失われません。上書きがされていなければ、MFTの内容からデータ領域をほぼ完全な形で復元できます。

さらに、断片化されたファイルを復元する方法として、データの特徴的な痕跡からを復元する方法があります。ファイルが持つ固有のシグネチャ(ヘッダ・フッタ パターン)を利用したもので、各種データのヘッダやフッタのパターンを検索・抽出し復元するもので、データカービングやファイルカービングと呼ばれています。ちなみにカービング (Carving)は彫刻という意味です。

 

(参考資料)

〇「情報管理 2017.4. vol. 60 №. 1デジタル・フォレンジック インシデント時の証拠保全のための技術:佐々木良一  東京電機大学」(https://www.jstage.jst.go.jp/article/johokanri/60/1/60_1/_pdf )

〇「デジタル・フォレンジックの原理・実際と証拠評価のあり方(Quarterly Keiji-Bengo no.77 Spring 2014)(https://www.fss.jp/wp-content/uploads/principle-of-df2.pdf )

〇 デジタルフォレンジック入門(デジタル鑑識の達人PART1)(http://www.byakuya-shobo.co.jp/hj/moh2/pdf/moh2_p174_p179.pdf )

〇 平成26年度警察白書 第1節犯罪情勢と捜査上の課題(https://www.npa.go.jp/hakusyo/h26/honbun/pdf/04_tokushu.pdf )

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です