警察などからの依頼を受けて、デジタルフォレンジックの技術でスマートフォンのパスワード解析や通信記録・通信の内容などを見つけ出すこともある(画像:genzoh / PIXTA)

デジタルフォレンジック(Forensic)は、コンピュータやスマートフォンなどのデジタルデバイスに記録された情報を収集、分析、証拠化する技術だ。主に法的紛争や監査、犯罪捜査などで活用され、証拠の保全、復元、解析などを行う。実際にデジタルフォレンジックでは何が解決できるのか。デジタルフォレンジックで犯罪の証拠を明らかにし刑事事件を解決する事例はあるのか。デジタルフォレンジックのサービスを提供するデジタルデータソリューション・代表取締役社長の熊谷聖司氏に聞いた。

デジタル技術を使って証拠となる情報を集める

――デジタルフォレンジックとはどのようなものですか。デジタルフォレンジックで解決できることを教えてください。

見方にもよりますが、デジタルフォレンジックには、内部不正とサイバーインシデントという大きく2軸があります。前者では、社内の人が横領したり、不正会計を行ったり、転職時に情報を持ち出したりなどの内部不正に対応します。近年増えているのは情報持ち出しの調査です。


サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

後者のサイバーインシデントのフォレンジック調査は、外部からサーバーやネットワークが攻撃されて情報漏洩した際に、どのPCが攻撃を受け、被害がどう広がったかなどを明らかにします。これはコンピュータフォレンジックとも呼ばれます。また、最近増えているモバイルフォレンジック(スマートフォンを調べるもの)や、クラウドフォレンジック、カーフォレンジックなどデバイスごとに分類することもできます。

――デジタルフォレンジックは、どのようなアプローチで進めるのでしょうか。

サイバーインシデントを調査する場合は、2つのアプローチがあります。1つはディープフォレンジックと呼ばれるもので、対象となるPCなどを1つ1つ深く掘っていき、不正アクセスなどの証拠を集めます。

もう1つのアプローチは、ファストフォレンジックです。例えば大企業では、数千台規模のPCが稼働しており、攻撃されたPCを特定するには時間もコストも膨大にかかります。そこでPCにソフトウェアをインストールし、AI技術などを用いて疑わしいPCを数台に絞り込み、怪しいものにだけディープフォレンジックを実施するのです。ただ、ファストフォレンジックを実施できる機関はまだ多くはありません。

デジタルフォレンジックが担うのは、あくまでもデバイスから証拠となる「ファクト」を見つけ、依頼者にレポートするところまでです。そこから犯罪の犯人を捜し出して事件を解決するわけではありません。見つけた証拠が良いか悪いかを判断するのは、企業のコンプライアンス担当や司法当局などです。


熊谷 聖司(くまがい・まさし)
デジタルデータソリューション株式会社 代表取締役社長(写真:本人提供)

それでも、警察などからの依頼を受けてデジタルフォレンジックの技術でスマートフォンのパスワード解析や通信記録、通信の内容などを見つけ出し、提供することもあります。デジタルフォレンジックで得られた証拠を基に事件が解決すれば、感謝状などをいただくこともあります。

スマートフォンからは詳細な位置情報が得られる

――デジタルフォレンジックには決められた手順があるのでしょうか。

まずは依頼者に背景を聞いて事象を確認し、次に目的とゴールを確認して調査の枠組みを決めます。例えば、会社外に情報が持ち出された場合は、PCのメールのほか、クラウドやUSB、さらには監視カメラ映像なども調査します。ケースバイケースで、暗号化されたデータの解析が発生することもあります。また、調査を行う上で押さえておくべきポイントとして、データの改変・改ざんが行われていないことを証明する「保全」も大切です。

デジタルフォレンジックを行う技術者にはそれぞれ得意分野があり、独自に極めた技術を持っています。基礎となる共通の知識・技術はありますが、マニュアル通りにやればできるわけではなく、案件を通して経験を積むため、一部属人化している面はあるかもしれません。


フォレンジック調査を行う様子(写真:デジタルデータソリューション提供)

とはいえ、教育カリキュラムを経て、Windowsのパスワードなどは当社の場合は1年目のエンジニアでもすぐ解けるようになります。一方で、デバイスのパスワード解除は高度な作業で、技術的にも秘匿的にも、社内で数名しか担当できません。実はBitLockerやDiscordのパスワードを解ける技術者もいて、パスワードがかかって中身が見られず困っている方のために、暗号を解析するような技術も開発しています。


フォレンジック調査を行う様子(写真:デジタルデータソリューション提供)

調査範囲や対象のデバイス数などによって一概には言えませんが、1案件2〜3週間程でレポートを出しています。ある不正アクセスを受けた企業のデジタルフォレンジックを行った際は、自社の落ち度が露呈するのを恐れたベンダーが、レポートを調整できないか頼んできたこともありましたね。レポートの修正を求められる場合、基本的に「ファクト」に反する内容は修正しません。

――スマートフォンから得られる情報としては、どのようなものがありますか。

スマートフォンでの操作は、基本的にすべて残っていると考えたほうがいいでしょう。中でも衝撃的なのは位置情報です。GPSのアプリケーションなどを入れていなくても、許可を取ったうえでサービス品質向上のために位置情報を取得するアプリケーションはたくさんあります。

それらからは、かなり詳細な位置情報が取得できるのですが、その正確さには驚かされます。位置情報の取得内容や方法は、スマートフォンの機種やOS、発売されている時期によって違いますが、古いバージョンのほうがより詳細なデータが残る事があります。

一方で、端末を初期化すると多くのデータが失われます。何も残さないように初期化する操作はかなり面倒です。内部不正では、そんな面倒をしてまで情報を消すのは怪しいと考え、それをレポートに記載することもあります。この場合、別端末を差し押さえるなどに発展します。

またカーフォレンジックでも、位置情報だけでなく、窓が開いていた、アクセルを踏んでいたなどさまざまな情報を取り出せます。実は、車にスマートフォンを接続すると、カーナビに情報が吸い上げられるようになっています。こういった収集は、警察などの依頼による交通事故捜査など、大きな事件の際だけ対応しています。

大きな事件の証拠提出にもつながる

――実際に大きな事件に発展したような事例はありますか。

報道されるような大きな事件に関わった事例はたくさんあります。複数名の従業員が、別の社員に薬を盛るなどした殺人未遂事件もありました。デジタルフォレンジックで容疑者のデバイスを調べると、計画のやり取りや怪文書などが出てきました。証拠として提出されていたSIMカードのすり替えなども発覚し、それらもレポートとして報告しました。

――デジタルフォレンジックに携わる立場から、企業などにアドバイスはありますか。

何かあった際に証拠を集められるように、普段からサーバーやPCなどのログを取得しておいてください。ログの有無で、集められる情報が大きく変わります。

また、セキュリティ対策は必ずやって欲しいです。サイバー攻撃を受けた企業は、「被害者」になる一方で、セキュリティ対策が甘かったがゆえに攻撃を受けて顧客情報などを漏洩したのであれば、その企業も「加害者」として見られかねません。

簡単なところでは、「毎回PCの電源を切り、とにかくアップデートをする」ことです。海外からの攻撃者は、明らかに日本時間の土日を狙っています。PCを操作する人がいないうえ、営業日ではないため発覚が遅れるからです。電源を切っていれば、これを防ぐことができます。

また、有事の際は発覚した状態のまま「触らずにそのまま相談する」ことも重要です。下手に操作するとログが書き換わったり消えてしまったりする恐れがあります。例えばむやみに電源を立ち上げると、SSD内の削除データが完全に削除されてしまいます。PCは問題発生時のままで、原本データを残すようにしてください。

(谷川 耕一 : ライター)