企業の不正を明らかにする
『デジタルフォレンジックス』
【第1回】
「あらゆる不正調査に使われるようになった
「デジタルフォレンジックス」とは何なのか?」
プライスウォーターハウスクーパース株式会社
シニアマネージャー
池田 雄一
1 デジタルフォレンジックスの定義
『デジタルフォレンジックス』という分野が発生したのは米国および英国を中心とする欧米諸国で、1980年代まで遡る。コンピュータの飛躍的な増加とともに、それを使った犯罪行為も増加したことにより、法整備からコンピュータ犯罪の専門部隊の組織が欧米諸国で開始されたのが1980年代後半から1990年代前半のことである。
日本でフォレンジックスという言葉が聞かれるようになったのは、ライブドア事件で東京地検特捜部が捜査の一環として消去されたメールデータの復元を行った2006年頃からかもしれない。その後、2011年に発覚した大相撲八百長問題、まさに現在報道されている野球賭博問題などにおいて、携帯電話の調査にフォレンジック技術が使用されたことなどで注目を浴びている。
「フォレンジックス」という言葉は、科学的手法を用いて犯罪に関係する情報(証拠)を得ることを意味しており、犯罪捜査を含む司法の現場を起源としている。日本語でいうところの「鑑識」と考えれば分かりやすいかもしれない。
現在、フォレンジックスは50程度の分野に分かれており、これをまとめて「フォレンジックサイエンス」(法科学)と呼ぶ。法科学は、法生理学、法社会学、犯罪捜査学、デジタルフォレンジックスなどの大きな分野に分かれており(図1を参照)、米国の「CSIシリーズ」や日本の「科捜研シリーズ」などに代表されるように、フォレンジックサイエンスに特化した国内外のテレビドラマやニュースなどでもしばしば取り上げられることから、法医学、司法解剖、DNA鑑定、指紋分析などのフォレンジックサイエンスに関係する言葉を知っている読者も少なからずいるであろう。
本連載で紹介するデジタルフォレンジックスも、コンピュータフォレンジックス、ネットワークフォレンジックス、モバイルフォレンジックスなどを含む分野の総称である(図2を参照)。
【図1】 フォレンジックサイエンスの分野
※画像をクリックすると、別ページで拡大表示されます。
(※) 筆者作成。
【図2】 デジタルフォレンジックスの分野
※画像をクリックすると、別ページで拡大表示されます。
(※) 筆者作成。
もともと「デジタルフォレンジックス」という言葉は、コンピュータフォレンジックスの同義語として使用されていたが、電子データの保存機能を持つ媒体の種類の増加に伴い、デジタルフォレンジックスの分野も細分化され、現在へと至る。
筆者がデジタルフォレンジックスに関わり始めた10年ほど前は、デジタルフォレンジックスという言葉はほとんど聞かれず、筆者の指導教官だった米国の元司法機関出身者もコンピュータフォレンジックスという言葉を使っていたと記憶している。
現在でも、筆者の米国の同僚とコミュニケーションする際は、デジタルフォレンジックスではなくコンピュータフォレンジックスいう言葉を使用しており、デジタルフォレンジックスという言葉は、日本で広く普及している印象を受ける。
デジタルフォレンジックスは、フォレンジックスの法則に則り、電子データを含む媒体の証拠保全、調査・分析から特定した証拠の報告までの一連の流れを指す(図3を参照)。
【図3】 デジタルフォレンジック調査のプロセス
本連載の【第3回】(デジタルフォレンジックスとeディスカバリー)で詳しく解説するが、日本ではデジタルフォレンジックスという言葉が広義に使用されている印象を受ける。典型的なデジタルフォレンジックスは、保全した電子媒体から消去ファイルの復元などを行い、そこから隠れている証拠の断片を探していくなど、1つの媒体を深堀りする詳細かつ緻密な作業である。
デジタルフォレンジックスが使用される典型的な例としては、
- 情報漏洩における漏洩経路の特定
- タイムスタンプの分析による発生事案の日時特定
- 隠しファイルの特定
などである。会計不正調査などにおいて、関係者から収集した大量なメールデータに対して横断検索をかけ、検索ヒットしたメールのレビュー作業に関しては、デジタルフォレンジックスというよりは、eディスカバリーに用いられる手法を用いた調査業務である。しかしながら、デジタルフォレンジックスは、eディスカバリーを構成する一要素であり、これら2つを切り離して考えることはできない。
2 現実のデジタルフォレンジックスの姿
米国のCSIシリーズなどに代表されるテレビドラマなどのメディアにおいても、しばしば容疑者の使用していたコンピュータを調査する場面がみられるが、ドラマで見られる調査シーンは、実際のあるべき姿とは異なった描写をされていることが多い。
実際のデジタルフォレンジック調査は、何時間にもわたりコンピュータの画面を注視し続ける地道な作業であり、華やかさは全く無いと言っても過言ではない。しかしながら、テンポの速いテレビドラマにおいては華やかな調査に誇張されて描かれている傾向がみられる。
ただ、指摘しなければならないポイントもある。ドラマにおいてデジタルフォレンジックスが描かれている多くのシーンでは、調査官が容疑者のコンピュータに直接アクセスをし、あっという間にその場で証拠を特定する様子が描かれている。しかし、実際の調査では証拠の特定までに数日、検証まで含めると数週間かかるケースも少なからずある。
また、よほどの理由が無い限り、容疑者が使用していたコンピュータに調査官が直接アクセスすることは、実際の調査において「最もやってはいけないこと」の1つである。
容疑者が使用していたコンピュータに直接アクセスすることは、殺人現場に落ちている血の付いたナイフを素手でつかむことに等しく、証拠の汚染へと繋がる。電子データは非常に変わりやすい特性を持っていることから、証拠保全を行わないまま直接コンピュータに触れることは、不正行為に使われていた状態を変えてしまい、証拠の改ざん又は証拠が消失するなどのリスクが発生する。
筆者がデジタルフォレンジックス調査の依頼を受ける際、テレビドラマなどで描かれるデジタルフォレンジックスを実際の調査の様子だと信じ込んでいるクライアントの期待値の調整にはしばしば苦労する。中には午前中に証拠保全を行い午後には結果が出ることを期待している依頼者もおり、実際に調査に要する期間を説明すると、テレビドラマを例に挙げて反論されることがある。
本連載の読者諸氏には、現実には、難易度の低い調査でも検証も含めた最終的な結果を出すまでには数日程度要することをご理解いただきたい。
また、デジタルフォレンジックスは「どんなことでもわかってしまう魔法のような調査手法」ではないことも併せて強調しておきたい。
デジタルフォレンジックスを行えば必ず何らかの証拠が見つかると信じている依頼者も少なからずいるが、不正行為を行う全員が会社で支給されるコンピュータを使って不適切な行為を行っているとは限らず、必ず証拠が発見される保証はない。
中には大胆に会社支給のコンピュータや会社のメールを使用した不正行為が行われている場合もあるが、多くは個人携帯や個人コンピュータを使うなど、会社支給のコンピュータの使用は最小限に止め、都合の悪い情報は消したり隠したりしている。
どのような不正行為でも「完全犯罪」は無く、不正行為者の油断や間違いから生まれる情報のほころびを特定するのがデジタルフォレンジックスなのである。
(了)
「企業の不正を明らかにする『デジタルフォレンジックス』」は、隔週で掲載されます。
