デジタルフォレンジックとは？できることややり方まで、初心者でもわかるように解説！

昨今のサイバー犯罪の増加により、企業や組織は深刻なセキュリティリスクに直面しています。内部からの情報漏洩、不正アクセス、データの改ざんなど、デジタル技術を悪用した犯罪は後を絶ちません。

こうした中で注目を集めているのが「デジタルフォレンジック」という技術です。実は、多くの企業がこの技術の存在を知らずに、重要な証拠を失ってしまうケースが増えています。

今回は、IT部門の責任者や経営者の方々に向けて、デジタルフォレンジックの基本概念から具体的な活用方法まで、わかりやすく解説していきます。

デジタルフォレンジックとは

デジタルフォレンジックとは、犯罪捜査や法的手続きなどにおいて、コンピューターやスマートフォンなどの電子機器に残されたデータを調査・解析し、その法的な証拠を明らかにする専門技術のことです。

「フォレンジック（forensics）」という言葉は「鑑識」「科学捜査」という意味があり、「デジタルフォレンジック」は、わかりやすく意訳すると「デジタル鑑識」となります。

デジタルツールの普及により、データやメールの流出、不正アクセスといった犯罪が増加しています。犯行の隠蔽を目的として意図的にデータが削除されていることもあり、この場合はデータを復元して証拠を出す必要があります。

このような科学的根拠に基づいた証拠を収集するため、裁判所での証拠の一つとしてこのような手続きを踏むことがあります。デジタルフォレンジックによる調査結果のデータは、インシデントに関する法的手続きでデジタル証拠となりえるのです。

データ復旧との違い

データ復旧サービスは、パソコンなどの機器の故障により、誤ってデータが消失してしまった場合などにデータを救出するサービスです。これは、データを復旧して再利用することが目的です。

それに対して、デジタルフォレンジック調査の目的はデータの再利用ではありません。

パソコンやスマートフォン、サーバーに含まれているデジタルデータを、削除されてしまったものも含めて、証拠としての価値を損なうことなく調査・解析を行う専門技術がフォレンジック調査です。そのため、データ復旧は調査の際の一工程に過ぎないのです。

例えば、削除されたデータに上書きが発生して、ファイル化が不可能となった場合、データ復旧は「復旧不可」となります。しかしデジタルフォレンジック調査は、「ファイルが削除された痕跡」こそが重要です。削除されたファイルの名前や削除された日時の履歴などの行為を調査して報告書にまとめ、デジタルデータの証拠とするのです。

証拠保全を行うため、まずは複製が重要

証拠保全を行うため、まず最初に行うこととして、HDDやSSDなど、データ保存媒体の複製を行います。

単なるデータコピーではなく、これをクローンと呼ばれる、解析対象の保存媒体の元のHDDに対し、セクタ単位で複製を行い、イメージファイルのデータとして、別媒体に保存します。

この作業の良い点は、クローンイメージファイルのデータがあれば、仮に、元のオリジナルなHDDのデータが何らかの理由で破損してしまったとしても、イメージデータを保存していることで、データ保全できる利点があります。

また理由として、オリジナルのHDDやSSDの精密機器は突然にクラッシュし、証拠が破損してしまうリスクがあります。データをイメージファイルとして、形に残すことでリスクヘッジになります。このイメージファイルに対して以下に紹介するような専門技術を用いて、各種調査のデータ抽出、解析を行っています。

不正削除されたメールの送受信データを抽出解析

メールデータは重要な証拠になります。実際では、不正な従業員とのメールの送受信記録、不正な販売先の送受信記録などが発覚したケースがあります。

メールデータの解析は以下のとおりです。「顧客情報からのヒアリング」や「該当メディアの複製」や「サルベージ調査、関連データを抽出」や「報告書の提出」となります。

これらがデジタルフォレンジックの一連の解析になります。ヒアリングでは、「どのようなメールが、いつ削除された可能性があるか」「なぜ不正が行われた従業員のメール削除が疑われるか」、これらの詳細な情報が解析の指針、調査結果に大きく影響を与えます。

また、メールデータの複製は非常に専門的になります。これは、メールソフトによって暗号化形式が異なるからです。

Outlookを使用していれば、「PSTファイル」
Thunderbirdを使用していれば、「Profiles」

フォルダに一式でデータが圧縮されて保存されています。Becky!であれば、「C:\Becky!\ログオン名」に一式で圧縮されて保存されています。

そこでコンピューター・フォレンジック調査では、これらの圧縮データを複製し、セクタ単位での複製を行うことで、メール一通一通をファイル単位で複製が可能となります。

解析結果の一例として、以下のような解析が可能です：

• 不正に削除されたメールの複製
• 添付ファイルまで抽出
• 送受信日時の特定
• CC、BCC データの抽出

対応している主なメールソフト

通常のメールソフトを用いて送受信されたメールを復元解析できます。

特にOutlookやThunderbirdなど通常のデータ復旧ソフトでは対応できないメールソフトにも対応可能な点が特徴となります。間違ってメールを削除してしまった、また不正にメールが削除された場合はお気軽にご相談ください。

隠蔽のために削除されたファイルを見つけ出す

フォレンジック技術に欠かせないものが、証拠隠滅を図る観点から、不正に削除されたデータを復元することです。これまでの実際の解析に専門エンジニアがヒアリングを行った結果、「データの種類（エクセル、ワード、写真など）」、「削除された日時の推定」、「削除した方法」が判明します。これらの詳細を得ることで、最短の解析手法をフォレンジックエンジニアは構築します。

ヒアリングで、どの程度のセキュリティインシデントになっているのか、どの程度の被害が出ているか、詳細に状況を判明します。データ復旧2種類の解析手法を紹介します。

まず第一に、データ復旧技術として、フォレンジック技術が付随して存在し、管理者の行為を探る「スキャン」という技術があります。これはファイルシステムというフォーマットの管理者が存在するという仕組みです。

Windowsでは「NTFS」フォーマット
Macでは「HFS」フォーマットが通常使用されます。

Windows、Mac、各種OSにおいて、削除された直後にPC管理者からは認識・確認されていない場合でも、その解析作業で十分に複製できる可能性があります。これは何なのかというと、データの保存の際に別データの上書きが完了していない状況です。

第二に、フォレンジック調査技術として要となるのが「データカービング」という技術です。

これは、ファイルにもSignatureと呼ばれるファイルの種類を表すデータがあり、そのSignatureの特徴からデータ復旧を行います。ファイル名、および保存されたファイルパスやフォルダ表示は複製できない場合でも、不正に削除されたデータを専門技術により抽出できます。

• 削除されたデータの復旧、抽出
• ほぼすべてのデータに対応可能
• 削除記録が残っていれば、作成日時、更新日時をソートして解析、報告書を作成

インターネット閲覧履歴の抽出調査を行い、従業員の『行動』を明らかに可能

コンピューター・フォレンジック技術の中で、特に注目されているのがWebの閲覧履歴です。この技術が注目され始めたのは、従来の企業の人事の問題の社内において、会社と従業員間で残業代の裁判、カルテル等が行われるようになったからです。

特に問題となるのは、社員の行動の中に、会社を買収しているのかこの技術です。Web履歴解析によって、平日の企業のインターネット利用がどの程度に行われているかが解析可能となります。

また近年では、クラウドが普及した今、インターネットを利用して不正を行うケースがあります。これは社内インターネットのファイルサーバー、メールサーバーを利用しない不正行為です。外部インターネット上で使用可能なフリーメールにてデータ転送を行い、さらにこのデータ転送の際にフリークラウドサービスを利用して不正を行うなど、インターネット経由で犯罪が行われるケースがより複雑になります。

これらのサイバー犯罪に対して、デジタルフォレンジックでは外部インターネットの利用状況を明らかにできます。

• 閲覧しているURL、WEBサイト、WEBサービスを明らかに可能
• 閲覧回数まで特定可能
• アクセス日時で時系列（ソート）を行い調査解析、報告書を作成

ソフトウェア実行状況、PC起動ログ解析を行い、不正従業員の行為を推定

どのようなソフトウェアがいつ実行されたか、およびそのログの解析を取得することが可能です。ファイルパスを特定することで、どのような不正を行ったか推定が可能となります。

これはWindows、Mac、各種OSでも情報取得が可能です。不正を働く場合、通常業務時間外で、例えば深夜や他の従業員が休憩時間帯にPCを立ち上げ、データを操作するケースがあるのです。

ログ解析がフォレンジックの重要な技術になります。

データ解析において、以下を特定しています：

• 実行されたファイル名の表示
• 実行ファイルのパスの特定
• 不正な実行ファイルの確認
• PC起動日時の特定

USB機器等、外部記憶媒体の接続履歴調査、痕跡の可能性を探る

よく問い合わせいただくこととして、退職者や外部の従業員が顧客データを外部へ、転職先等で悪用する事案が問題化しています。

重要事項となるのは、外部記憶媒体の接続履歴が焦点となります。これらの解析はWindows、Mac、各種OS全てで対応が可能です。

特に近年IT企業では情報セキュリティ管理は必須項目となっています。しかしながら、会社に在籍中に、顧客から機密情報を盗み出し、これを他社に攻撃しようと不法行為に走っている犯罪者がいます。

攻撃者である不正従業員の行動を明らかにする時間を出し、行為の追跡を行っています。これら各種、調査対象としては、以下のようになります。

• 接続機器名の表示
• 接続日時の特定
• USBメモリ、HDD、カードリーダーなどの種類の特定

レジストリ解析

レジストリとは、Windowsのシステムやソフトウェアの設定内容を記録しているファイルとなります。

Windowsを起動するために重要な設定内容を記録しているため、ここに異常などが生じてしまうとWindowsが起動しなくなります。

なお、このレジストリ解析が必要になるのはWindowsで不正な動作をしている場合、そのレジストリに記録されます。通常とは異なる動作を記録するため、不正なアクセスが行われていないか確認、不正なアプリケーション（マルウェア）などが仕込まれていないか、様々なことがこのレジストリ解析で分かります。

PCログインパスワード、暗号化パスワードの解析を行う

近年で非常に注目されている技術として、パスワードの解析やPCのパスワード解析、および、ソフトウェアのパスワード解析技術があります。

例えば、会社の要請に応えていただいたが突然に退職してしまった、死亡してしまった、使用パソコンのログイン、エクセルに設定していたパスワードが不明となり、業務の解析が困難になってしまいます。

このようなケースに対して、パスワード解析技術が存在します。これらの調査対象は以下のとおりです。

• 暗号化できるが、ログインが不可能なパスワード忘れPC等
• エクセル、PDFなどのソフトウェアで設定したパスワードの解析

実際に起こった事例【退職関連事案】

大手IT系企業で退職者が出たことにより、トラブルが発生しました。

退職者が新会社を立ち上げる際に、顧客データを流用している可能性があるという疑惑とその意図的との係争が明確になっていない。
退職した従業員が同業他社として営業を行っているという状況で顧客からの連絡を受け、顧客との対話が必要になった。

パソコンへの不正アクセス、さらにはメールにてデータを送信した可能性があるため、退職者の使用していたPC2台を調べようということになり、メールデータが削除されていました。

以上の状況から、退職した従業員が会社へ機密情報をリークしていないか確認が必要と判断しました。顧客に関する情報が含まれていると思われる期間のメールデータ（Microsoft Office Outlookで運用）であるPSTファイルの複製を専門業者に依頼することにしました。

デジタルフォレンジック調査の流れ

1. 調査内容のヒアリング

この段階のヒアリングによって、調査内容がまとまるので、特に重要となります。どのような証拠が必要となるのか、詳細な情報を把握しておくことが重要です。顧客企業が必要とする内容を正確に把握することにより、調査解析の時間の短縮にもつながります。

2. 証拠保全

エビデンスとは、証拠という意味となります。デジタルフォレンジック調査でのエビデンスは、調査対象のPCやスマートフォンなどの機器を指します。証拠保全の確保に2種類あり、実際はPCなどの機器の確保と記録媒体の複製をすることです。

このケースでは退職者が使用していたPCですので、HDDやSSDの記録媒体を取外し、複製を作成します。保全をすることで、データの改ざんを防ぎ、証拠の確保に繋がります。

3. エビデンスの調査・解析

ヒアリングした内容に応じて調査を本格化します。専用の機器を用いて複製した領域すべてまたは解析してデータを抽出します。データ復旧の高度な技術を用いて、解析調査を行うため、削除ファイルのログやWebの閲覧履歴などより高度なデータ解析が可能です。

4. 調査報告書の作成

調査した結果を使用したツール・ソフトウェアにより詳細な内容を作成します。裁判となる場合もあるため、十分に注意して作成されます。

5. 納品及び報告

調査報告書、抽出されたデータの納品を行いデジタルフォレンジック調査は完了です。この調査報告書は裁判で使用することもあるため、裁判になる場合も注意が必要です。

使用したツール、ソフトウェア、抽出されたエビデンスの型番、シリアル、ハッシュ値などをすべて記載されます。

顧客情報の流出事故、その対策

近年、デジタルデータによる顧客情報の流出が問題です。特に流出の原因となっていることとして「不正アクセス」、「誤操作不正」、「盗難紛失」などがあり、セキュリティ対策が緊急に必要となっています。

しかし、これら、顧客情報の流出が発覚し、データの調査、証拠保全が必要になった際は、当社にご相談ください。対応いたします。

当社では、上記のような技術を保有した専門のエンジニアのみが対応しています。

また、基本的に守秘義務を含めており、顧客企業のヒアリング、実際のデータ解析、調査、報告書の納品まで守秘義務を責任を持って対応させていただきます。

さらに、当社のフォレンジック調査技術は専門のエンジニアが技術を日々に行っており、最新の解析技術を社内でシェアし、サービス向上に努めるようシステム運用を行っています。

この取組により、セキュリティインシデントによる、会社に影響を与える被害者を防ぎ、お客様の会社の安全を確保しています。

何かお困りのことがございましたら、お気軽にお問い合わせください。

デジタルフォレンジック24では、累計60,000件のデータ復旧実績を持つ、データ復旧10年以上の経験で培われた高度な技術と、信頼のサービスでお客様に選ばれています。

札幌、秋葉原、名古屋、大阪、福岡の5拠点に加え、全国に提携店舗185箇所以上を展開しており、どのような状況でも迅速に対応可能です。

セキュリティインシデントが発生した際は、証拠の保全と適切な調査が何より重要です。時間が経過するほど証拠が失われるリスクが高まるため、お困りの際は速やかにご相談いただくことをお勧めします。