1.1　デジタルフォレンジックの発祥

　デジタルフォレンジックは、もともとは法執行機関（警察や検察、海上保安庁などの司法機関）で法科学の一種として使われていたもので、犯罪捜査などで電磁的記録媒体を法廷証拠として使用できるようにするための技術として発展した。その主な目的は、押収した証拠品の証拠能力を担保し、同時に証明力を向上させるためにある。ここでいう証拠能力とは、証拠として法廷に提出するための資格の有無をいい、証明力とはその証拠が裁判官に事実を訴える力の程度をいう。

　デジタルフォレンジックは、具体的には以下のような捜査活動の適正化のために使用されてきた。

　・端末や媒体の効果的な押収

　・押収した電磁的記録媒体の完全性の確保

　・電磁的記録媒体の解析による犯罪痕跡の調査

　・調査結果の出力や報告書作成

　・公判に耐えうる適法な捜査手続きの担保

1.2　法執行機関以外でのデジタルフォレンジック

　デジタルフォレンジックはそもそも法的要素が非常に強い技術ではあったが、電磁的記録媒体の解析という技術的側面もあることから、犯罪捜査を行わない民間企業においてはインシデント調査やマルウェア解析などで活用することができた。

　そのため、法的側面を除外した技術的な部分を多くの民間企業が自組織に導入することとなり、現在では世界中で多くの組織がインシデントレスポンスにデジタルフォレンジック技術を取り入れるようになっている。

1.3　デジタルフォレンジックの流れ

　インシデントレスポンスに関する文書となるが、デジタルフォレンジックの技法に関するガイドラインが存在する。

　それは、NIST（米国国立標準技術研究所）の公式文書「NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response¹」だ。

　非常に長い文書だが、IPA（情報処理推進機構）により「インシデント対応へのフォレンジック技法の統合に関するガイド」²として日本語訳されているので、デジタルフォレンジックに携わる人は一度読んでみるといいかもしれない。

　この文書には、インシデントレスポンスにおけるデジタルフォレンジックを対象として、４つのフェーズで実施すると書かれている。

　・収集

　・検査

　・分析

　・報告

　これらについて簡単に解説していこう。

収集

　「収集」とは、フォレンジック調査の対象となるデータの収集をいう。

　収集するとはいっても、単にデータをコピーして保存すればいいというわけではない。データの完全性を保てるような方法で収集して保存しなければならないのだ。なお、ここでいう完全性とは、データの破壊や改ざんが行われておらず、元の内容を保たれていることをいう。

　まず、コンピュータ内のデータには、データ本体（テキストファイルであれば文章、画像ファイルであれば画像そのもの）のほかに、作成日時や更新日時等のメタデータが付随している。しかし、データ収集方法や保管状況が悪ければ、データ本体・メタデータともに失われたり改変されてしまう可能性もある。

　このように調査対象のデータが途中で書き換わると、当然調査結果や最終的な結末にも影響がある。例えば、刑事訴訟・民事訴訟を視野に入れた調査であった場合、被告側からの「警察・検察、原告がデータを改変した！」という主張を許すことになり、最悪の場合には事実を立証する最重要な証拠が法廷で使用不可能になってしまう。また、企業でのサイバー攻撃被害調査であれば、データの改ざんが起きると正確な被害状況を把握することができなくなる。それにより、情報漏洩発生のプレスリリース内容が不適切となったり、実際には重大な漏洩事故が起きているにも関わらず「情報漏洩はない」などと誤った判断に至る可能性がある。

　つまり「収集」のフェーズで、適切にデータを保全して完全性を確保することは、後の工程にとって重要なこととなるのだ。そのため、データ収集時にはデータの識別やラベル付け、収集時の記録化を適切に行い、安全にデータを保管するための工夫が必要になってくる。

検査

　このフェーズでは、データの完全性を確保しながら解析を実施する。具体的には電磁的記録媒体やネットワークログのデータについて、データの破損や改ざんを起こさないように調査を行っていくことを意味する。そして犯罪やサイバー攻撃の痕跡を調べ、事実を明らかにするための情報を集めていくのだ。

　その際には、媒体の暗号化やアクセス制御を回避したり、一見して無秩序なデータ列から情報を導き出したりするなどの技術が必要になってくる。デジタルフォレンジックにおいて最も技術力が要求されるフェーズだ。

　また、HDDやサーバのログには膨大な量のデータが含まれている。これらをやみくもに調べていくといくら時間があっても足りなくなるため、仮説をもとに案件の真相究明に必要なデータにあたりをつけ、効率的に調査を進めていくスキルも必要だ。

　さらに、効果的に解析するにはツール操作に習熟することや、対象に含まれる情報の種類やその活用方法、最新のサイバー攻撃手法を含む多くの知識が必要になってくる。

分析

　検査によって抽出された情報は、そのままでは単なるデータに過ぎない。その他の証拠とも照らし合わせながらデータを分析して、発生した事象を推測していく必要がある。

　インシデントレスポンスであれば複数の媒体から得られた情報の相関関係を調査し、関係者の説明内容や媒体の使用状況と照らし合わせるようなことが想定できる。また、犯罪捜査であれば被疑者や目撃者の供述、書面や監視カメラの映像などその他の証拠と照らし合わせていくことになるだろう。分析フェーズではそれらの作業を行う。

報告

　「分析」フェーズによって情報を集約した後は、「報告」のプロセスに移る。ここでは、調査の目的に応じて必要な報告資料を用意して、得られた情報を報告する。

　ただ、フォレンジック調査では必ずしも事象を確実に証明できるわけではなく、確証の持てない事象を断言するわけにはいかないため、報告時には「～～の疑いがある」「～～と思われる」といった表現が用いられることが多い。

1.4　デジタルフォレンジックはどんな場面で使われているか

　デジタルフォレンジックが活用される場面の例をいくつか紹介する。

法執行機関での犯罪捜査

　デジタルフォレンジックを活用する組織の代表格は警察や検察といった法執行機関で、その目的は主に犯罪捜査となる。

　どんな犯罪で活用されるのかと考えれば、まずはコンピュータを使った不正アクセス事件（不正アクセス行為の禁止等に関する法律違反）やコンピュータウイルスに関する事件（不正指令電磁的記録に関する罪）が一番に思いつくところだろう。

　実際にはその他にも、

　・わいせつな動画像をネット上で公開（わいせつ物頒布）

　・Web上で偽造ブランド品や海賊版DVDなどを販売（商標法違反、著作権法違反）

　・SNSや掲示板に他人を誹謗中傷する投稿（名誉棄損）

　・ネット上で犯行予告（脅迫、業務妨害）

　・虚偽の情報入力などでサーバなどに誤った事務処理をさせる（電磁的記録不正作出）

　など、コンピュータを使った犯罪全般の捜査でも、証拠収集や解析のためにデジタルフォレンジック技術が使われている。

　また、昨今では誰もがPCやタブレット、スマートフォンを持っていることから、詐欺や窃盗といった物質的な犯罪の捜査でもデジタルフォレンジックは重要視されている。なぜなら、それらの機器は共犯者とのメッセージ履歴や位置情報などを保存している可能性があり、犯罪の立証に不可欠だからだ（とはいっても、それらを実際の公判で犯罪の証拠として提出できるというわけではない）。

　さて、ここまで法執行機関に関する記述が続き、多くの方は警察や検察の話だとイメージしただろう。しかし、実は法執行機関はこれらだけではない。それ以外にも捜査権を持つ官公庁がいくつもあり、その多くでデジタルフォレンジック技術は活用されている。

　例えば、以下の省庁が挙げられる。

　・海上保安庁

　・自衛隊

　・厚生労働省

　・財務省

　・国税庁

　これらはいずれも捜査機関として犯罪を捜査したり、反則事件（税に関する事件）などの調査を行っている。

　実際に公共事業の入札情報サイトを見てみると、いくつもの官公庁がフォレンジックツールのライセンスを購入したり、ベンダートレーニングを発注していることがわかるだろう。

厚生労働省が捜査機関？

　厚生労働省に捜査機関がある、と聞いて違和感を覚える人は多いだろう。厚生労働省自体は中央省庁の一機関だが、所管する麻薬取締部は捜査権を持っており、犯人の逮捕や検察への送致を行うことができる。テレビニュースなどでは「マトリ」と呼ばれることもあり、時々刑事ドラマやサスペンスの題材にもなっている。さらに一般的にはあまり知られていないが、同じく厚生労働省の労働局も同様に捜査権があり、刑事事件として労働基準法違反などの犯罪を捜査している。

横領や企業情報漏洩などの不正調査

　デジタルフォレンジックは、民間企業における不正調査を目的として実施されるケースも想定される。企業の幹部などが不正に金銭を受けとって便宜を図ったという不祥事や、社員が会社の金を着服したり、業務上の秘密を漏洩させるなどといった事象について調査するものだ。こういった内部不正や情報漏洩事案でもデジタルフォレンジックが使われる。

　主に監査法人やセキュリティベンダーが、こういった調査を行っている。法執行機関は刑事訴訟を主な目的としているのに対し、こちらは民事訴訟や真相究明を目的としているという違いがある（もちろん場合によっては刑事訴訟に発展する可能性もある）。

サイバー攻撃の被害調査

　デジタルフォレンジックは、サイバー攻撃の被害調査にも用いられる。サイバー攻撃を受けた際、その被害を調査するのは組織にとって重要な活動となる。マルウェアが組織内に侵入したり、外部から通信による攻撃を受けた際には、被害拡大を防止した上でその被害状況を明らかにし、事後の対策を講じなければならないからだ。そのためにもデジタルフォレンジック技術を用いた調査が必要となる。

　また、侵害を受けて個人情報が漏洩した場合には、企業は被害状況を調査し事実を明らかにして、「顧客〇万人分の情報漏洩のおそれ」などプレスリリースを出す等必要な措置を執る必要があり、その内容を決定するためにも正確な調査結果は欠かせない。誤った調査結果をもとに過大な漏洩事故だと報道されることも組織にとって損失であるし、逆に、情報漏洩していないと誤って判断し、後に漏洩事実が発覚すれば隠ぺい等と批判され、社会的信頼の失墜を招きかねない。

　このようなサイバー攻撃被害を調査する場合、主な調査観点としては以下の３つが挙げられる。

　・不正アクセスされたかどうか

　・情報漏洩の有無やどの情報が漏洩したか

　・攻撃手段や侵入経路の特定

　まず、不正アクセスをされたかどうかというのが一番の着眼点になる。不正アクセスといっても、技術的には様々なパターンが考えられるが、代表的なものとしては、SSHやリモートデスクトップ、リバースシェルなどによって外部から遠隔操作を受けたかどうかや、サーバの認証を突破されてログインされたかどうかなどを調査することとなる。

　次に情報漏洩の有無については、マルウェアの実行や遠隔操作などによって情報漏洩が起きた可能性がどれほどあるかを調査する。とはいっても、実際に漏洩したかどうかや何が漏れたかについては、ファイルサーバやプロキシサーバ、その他ネットワーク機器等のログ保全状況にもよるが、完璧に特定することまでは難しいことが多い。そのため実際には、「漏洩のおそれがあるか」「機密情報が漏洩した可能性があるか」「漏洩したとすれば最大何件漏洩したか」という観点で調査を行うことが多い。

　最後に攻撃手段や侵入経路の特定だが、こちらはどのような脆弱性が攻撃され、どういった手法で侵害が行われたのかを特定する調査になる。例えば、「VPNサーバの脆弱性を攻撃された後、社内の認証サーバを乗っ取った」「PCのマルウェアがC2サーバからリバースシェルスクリプトをダウンロードした」などの状況を明らかにして、再発防止につなげていくためのものだ。非常に高度な技術力が必要とされる調査項目であるため、最新の攻撃手法に関する深い理解や、高度なマルウェア解析技術が必要となる。

1.5　まとめ

　本章では、メモリフォレンジックの前段としてデジタルフォレンジック技術について簡記した。デジタルフォレンジックはもともとは法執行機関での捜査を効率化するために発展してきた技術であるが、現在は民間企業でもサイバー攻撃の被害調査等で多用されている。