 |
コンピュータフォレンジック[前編]
内部不正による情報漏えいを許さない
守本正宏株式会社UBIC
代表取締役
2005/6/10
 |
コンピュータフォレンジックの調査結果 |
フォレンジックの手法を使って対象コンピュータ内のHDDデータを調査することにより、使用者が何をいつ、なぜ、どのように行っていたのかという情報を得られる。
例えば、ドキュメントファイルや表計算アプリケーションファイルなどを調査することによって、不正使用された重要な個人情報や、技術情報などのファイルが発見される場合がある。中にはパスワードがかけられたものも存在するが、フォレンジックにはパスワード解析ツールで解析し、閲覧可能な状態にして調査を継続する技術もある。
そのほか、画像情報、メール解析、インターネット閲覧履歴、外部接続機器使用履歴などの調査のためにレジストリ保護領域の解析などを行い、不正行為の全貌を明らかにしていく。
コンピュータフォレンジックによりどのようなことが判明するかという例を3つ挙げる。ここで注意しておきたいことは、実際の調査報告では、それぞれを個別の結果として報告をする場合は少なく、ほとんどの場合においてこれら3つのデータを複合的に考察する。
●情報漏えい
悪意ある者が情報を漏えいするためには、その情報にアクセスし、どこかに送ったり持ち出したりする必要がある。それ故、その痕跡をつかむことが証拠となる。HDD内に保存されているファイルやメール情報、レジストリ情報などにより、情報をどこから取得し、誰に送ったか、あるいは何で持ち出したかを特定することができる。
●時系列調査
内部監査の場合、ある特定の日時の対象者の行動を把握することが非常に有効な調査になる。対象期間にコンピュータをどのように使用したかを調査することにより、調査対象者の行動を把握することができる。
●ひぼう中傷調査
企業のひぼう中傷がインターネット上で行われている場合、その実施者が情報漏えいなどの不正行為も行っている可能性が高い。メールやブログ・掲示板への書き込みなどを調査することにより、ひぼう中傷の有効な証拠を得られる。
|
コンピュータフォレンジックの概要 |
コンピュータフォレンジックにより法的措置を取るための証拠を見つけ出すプロセスがどのように実施されるかを説明する。フォレンジックは主に証拠保全、解析、報告の3段階に分けられる。
●証拠保全
コンピュータフォレンジックの作業のうち、最初に実施され、かつ最も困難で緊張する作業が証拠保全である。証拠保全とは、調査対象のコンピュータのHDDデータを、保全作業をする直前の状態と全く変えることなく複製保存することである。第三者が調査のために対象コンピュータを操作するなどして書き換わってしまった場合、そのデジタルデータの証拠性は格段に失われることになる。そのため、証拠保全の段階が最も重要であるといえる。
コンピュータフォレンジックにおいてデータの複製先は別のHDDになる。複製先HDDはあらかじめ完全消去を行い、残留データが一切存在していない状態にしておく。複製はデータ部分だけではなく、HDDの全領域の物理複製を行う。
通常は電源がオフになっている状態で、HDDをコンピュータから取り外して複製を行う。また、コンピュータを特別なフォレンジック専用ブートディスクによって立ち上げ、HDDを取り出さずに、かつ内容を書き換えることなく複製を行う技術もある。証拠保全では、2個のHDDに複製を行い、1つは保管用、1つは解析用に使用する。
 |
| HDDを複製する専用機器 |
●解析
解析には専用のソフトウェアを使用する。証拠保全の段階で作成した解析用の証拠HDDを解析専用のコンピュータに接続する。その際、逆方向書き込み防止装置を介して接続し、証拠HDDに書き込みを禁止するよう注意しなければならない。
解析する際には解析専用のソフトウェアに応じたファイル形式に変換する。代表的なファイル形式としてLinux dd、E01(EnCase)、SMART、Safebackなどがある。
解析では、主にメールや保存されているファイルの検索、さらに画像データやレジストリ情報の調査などを実施し、そのコンピュータの使用者が何をしていたかを特定する。必要に応じてパスワードの解析も実施する。
●報告
報告の段階においては、証拠保全し、解析した結果を報告先に説明する。これらの報告はさまざまな場所や形式で行われ、法廷や企業内あるいは企業間での報告などで使用される。
コンピュータフォレンジックの目的は、法的に問題を解決することである。それ故、証拠保全や解析を完全に実施できたとしても、報告先に結果の正当性を認めてもらわなければその目的を達成できたとはいえない。報告先に正当性を認めてもらうためには、分かりやすいプレゼンテーションを行う必要がある。時には解析の様子を撮影したビデオを準備したり、あるいはフォレンジックツールを報告時に使用して調査状況を再現したりすることもある。
 |
2/3 |
|
| Index | |
| 内部不正による情報漏えいを許さない | |
| Page1 コンピュータフォレンジックの位置付け 法的措置を含む事後対応の重要性 |
|
 |
Page2 コンピュータフォレンジックの調査結果 コンピュータフォレンジックの概要 |
| Page3 コンピュータフォレンジックに対する理解が重要 |
|
| 関連リンク | |
| 個人情報保護法に備える4つの課題 | |
| 情報漏えいに備えるセキュリティ投資の目安 | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
