企業の不正を明らかにする
『デジタルフォレンジックス』
【第4回】
「デジタルフォレンジックスの現場」
~証拠収集編①~
プライスウォーターハウスクーパース株式会社
シニアマネージャー
池田 雄一
1 はじめに
デジタルフォレンジックス調査を依頼した経験のある方は、専門家が現場でコンピュータなどの電子媒体を収集する様子を見たことがあるかもしれない。今回から2回にわたって、電子証拠の収集に使われる「七つ道具」の概要から、証拠収集の流れ、保全したデータ、実際の現場での様子などについて解説する。
本題に入る前に、証拠の「保全」と「収集」の言葉の使い分けについて解説しておきたい。
英語で表される場合は、「保全(Preservation)」と「収集(Collection)」と言うように、はっきりと使い分けられているが、日本ではその違いが曖昧になっていることが多い。前回紹介した「eディスカバリー」のプロセスにおいても、証拠の「保全」と「収集」は別のプロセスとして切り分けられている。
国語辞典によると、「保全」の定義は「保護して安全であるようにすること」であり、デジタルフォレンジックスの現場における「保全」のプロセスは、依頼者側が調査対象の電子媒体に対して証拠汚染が起こらないよう管理下に置き、専門家が到着するまで大切に保管しておくことを意味する。そして、証拠となる電子媒体の「収集」は、対象の電子媒体内に保存されている情報(データ)を、専用のツールを使用してコピーをする専門家による作業となる。
2 証拠収集に使用される「七つ道具」
筆者がデジタルフォレンジックスに関わり始めた10年ほど前は、電子証拠の保全に使用されるツールは重く大きく、大型のスーツケースに満載すると40キロを超えることもあり、移動時に何度かぎっくり腰を患った。現在では、ツールの小型化とパフォーマンス向上などで、大型スーツケースが必要だった当時と比較すると、飛行機のキャリーオンサイズのスーツケースに収まる程度になっている。
証拠収集の現場に持ち込む「オンサイトキット」に含まれるツールの数は、細かく数えれば数十に上るが、主要なツールは以下に示される7点となる。本稿では文字数にも限りがあるため、個々のツールに関する詳細な解説は割愛する。
① モバイルワークステーション:現場で調査も行うことができる強力な大型ノートパソコン
② ライトブロッカー:証拠のハードディスクへの書き込みを防止する接続装置
③ フォレンジックデュプリケーター:フォレンジック専用のハードディスク複製装置
④ フォレンジックソフトウェア一式:データ収集、調査解析などを行うための専用ソフトウェア
⑤ 空のハードディスク:証拠データをコピーするために利用
⑥ 記録作成用具一式:デジタルカメラ、Chain of Custody関連書類
⑦ 工具一式:コンピュータからハードディスクを取り出すためのドライバーなど
また、携帯電話やタブレットなどの電子媒体についても収集対象となる場合は、上記に加え携帯電話端末専用の収集機材も併せて現場に持ち込むこともある。
筆者の勤務先では、この「オンサイトキット」がチームメンバーの人数分準備されており、即現場に出られる状況になっている。
3 証拠収集の流れ
通常、証拠収集は収集対象のコンピュータおよび依頼者側のIT環境(主にハードディスクの暗号化などを含むセキュリティ対策)のヒアリングから開始する。導入されているセキュリティ対策のソリューションにより、証拠収集に使用する適切なツールの選択やアプローチの調整が必要になるためである。ここでの事前調査が不十分、またはできない場合、必要以上に証拠収集に時間を要したり、収集自体ができず出直さなければならないこともある。
現在、企業で使用されているコンピュータに内蔵されているハードディスクの平均サイズは256GBである。このサイズのハードディスクの収集を行うには、技術的なトラブルが発生しないことを想定した場合、検証および記録作成も含め約2~3時間程度を必要とする。経験にもよるが、技術者1人あたり同時並行で3~5台程度のハードディスクの収集を行うことが可能であり、トラブルが発生しないことが前提となるが、準備も含めて3~4時間程度で平均5台程度の収集を行うことができる。
馴染の無いフォレンジック機材の利用やコンピュータからのハードディスクの取り出し作業など、証拠収集を行うシーンは人目を引くため、作業場所としてある程度広めの会議室などを確保し、従業員の目に触れない場所で行われる。事前に提供された収集対象のコンピュータに関する情報と、現地で確認した情報により、適切な収集ツールおよびアプローチを選択し作業を行う。
最近では、社外への持ち出しが可能なノートパソコンは、ハードディスクが暗号化されている場合が多い。そのため、クライアントの情報システム担当からアドミニストレーター権限を持つログインアカウントの提供を受け、対象のコンピュータを立ち上げた状態で証拠の収集を行う。コンピュータを立ち上げた状態で収集を行う理由は、立ち上がった状態であれば幾つかの特別な例を除き、ハードディスクの暗号化をバイパスして収集できるためである。
収集するデータは、当該コンピュータに接続する外付けハードディスクに保存される。一方で、社外に持ち出しをすることのないデスクトップ型のコンピュータについては、ハードディスクの暗号化がされていることはほとんど無いため、筐体からハードディスクを取り出し、ハードディスクのクローンコピーが作成可能な専用の機材に接続し、証拠収集を行う。
証拠収集を行いながら、収集対象のコンピュータおよびハードディスクなどの写真の撮影から、次回詳しく解説するが「Chain of Custody」と呼ばれる書類の作成を行う。収集データの検証作業が完了した時点で、「Chain of Custody」にクライアント側のコンピュータ使用者、もしくは案件担当者などから収集データの譲渡に関する署名を取得し、作業の完了となる。
【図1】 証拠収集プロセス
※画像をクリックすると、別ページで拡大表示されます。
次回も引き続きデジタルフォレンジックスによる証拠収集について、次の点を解説する。
- ハードディスクの暗号化が証拠収集に与える影響
- 証拠として収集したデータとコピーデータの違い
- 証拠管理と「Chain of Custody」の重要性
- 実際の現場で求められる柔軟な対応とは
(了)
「企業の不正を明らかにする『デジタルフォレンジックス』」は、隔週で掲載されます。
