第2回 証拠取得作業とその重要性
 前回、不正調査におけるコンピュータフォレンジックの必要性について簡単に説明させていただきましたが、今回から不正調査を行う際のコンピュータフォレンジック技術ついて説明します。
コンピュータフォレンジック技術を用いて不正調査を行う場合、大まかに分類すると次の3つ作業に分類されます。
(1)
証拠取得作業(PC内部のHDDに残された情報の複製を作成する)
(2)
データ解析作業(取得したHDDデータを調査する)
(3)
報告書作成・プレゼンテーション(解析した結果をまとめ、報告書を行う)
この3つのうち最も重要な部分が(1)の証拠取得作業です。多くの企業において内部不正や情報漏えいが発生した場合、調査担当者はその不正を行ったと思われる調査対象者PCの電源をオンし、さまざまなファイルを開いて不正の事実を確認しようとしています。しかし、この時点になってPCに残されたデータの法的証拠性を証明することは非常に難しくなります。その理由は実際の刑事事件の例を用いると分りやすくなります。
実際の事件で、現場にある証拠品を調査員が手袋をして調べている場面がありますが、もし素手で証拠品に触ったらどうなるでしょうか。犯人特定に至る重要な手がかりを消してしまう可能性が出てきます。調査対象者のPCの電源をオンしてファイルなどのデータを直接閲覧して調査するということは、事件現場にある証拠品に素手で触ることと同じ行為なのです。
特にデジタルデータは改ざんや改変が容易に出来るため、調査対象者のPCを直接閲覧すると最悪な場合“調査した担当者が証拠データをねつ造した。”と判断されることにもなりかねません。
このような事態を防ぐためにも、PC内部の情報を調査するときは必ず予め用意した、保全用のHDDへ証拠取得作業を行った後に閲覧を行うことが必要になります。
★ 証拠取得作業の方法
証拠取得作業をする上で最も重要なことは法的証拠性の維持です。そのためには、コピー元となる調査対象PCのHDDデータと、コピー先データが同一であることをどのように証明するのか。また、調査に必要なデータを全てコピーするには、何にどうやってコピーすれば良いのか。という問題をクリアにしなければなりません。
・証拠性の維持
コピー元とコピー先のデータが同一であるかを比較する方法として、コンピュータフォレンジックではハッシュ値を用います。ハッシュ値とは、ハッシュ関数を用いて生成される各データ(ファイルやパーティション等で一括りにした単位でのデータ)固有の値で、同じハッシュ値を持った違うデータを作る事は不可能といわれており、言い換えるとデジタルデータの指紋(デジタルフィンガープリント)に当ります。つまり、調査対象PCのHDDデータ(コピー元)と証拠取得先データ(コピー先)のハッシュ値が同じであれば同一データであることが証明されるわけです。補足になりますが、ハッシュ値には主にCRC32、MD5、SHA1という種類があり、現在はMD5が主流となっていますが、その脆弱性(同じハッシュ値で違うデータが作れてしまう。)が明らかにされるにつれ、徐々にSHA1へ移行されています。
・ コピー(保全)先の準備
証拠保全の作業を行う際の最初のステップは、保全先HDDの準備にあります。証拠HDDが1つならば2つの保全先HDDを予め準備します。1つは保管用、残りの1つを解析します。コピー先HDDは専用の装置で、データの上書き消去を行います。すべての領域を「00」や「FF」で埋めることによって、残留しているすべてのデータを消去します。(サニタイゼーションと呼ばれることもあります。)新しく購入したHDDにもテストパターンやデータが書き込まれていることがよくあります。コンピュータフォレンジックソフトウェアは非常に正確にデータを捉えます。証拠を保全する前のデータも抽出され、混ざってしまうと混乱が発生します。正しい解析の第一歩はこのような入念な保全先HDDの準備作業から始まります。
・コピー方法
不正調査をする場合に重要な項目の1つとして消去データの復元があります。消去されたデータは調査対象PCのHDDには残っていても、Windowsのコピーコマンドやバックアップコマンドではコピーできません。これは、Windowsのコピーコマンドやバックアップコマンドが現存するファイルやパーティションのみをコピーするためです。よって、証拠取得作業をする際は、ファイルやパーティションとして認識されていない部分(消去データも含まれています)もコピーできるコンピュータフォレンジック専用のコピー装置が必要となります。また、近年HDDの容量は他の記憶媒体とは比較できない程増大していることから、証拠取得先(コピー先)にも大容量のHDDが必要になります。
・証拠取得作業の注意点
実際に証拠取得作業をするうえで重要となってくるのが調査対象PCのOSを立上げないことです。PCの電源を入れると最初に立ち上がってくるのがOS(WindowsやLinux等)ですが、OSは立ち上がるだけでLogファイルやレジストリ情報等の書き換えを行うため、時系列的な調査する場合の障害になるほか、調査対象者が使用していないときにPCを使用した形跡として残り、証拠性を失う可能性もあります。不用意にPCの電源は入れず、PCからHDDを取外して証拠取得作業を行います。
ノートPC等でHDDを取り外すのが難しい場合や、HDDパスワードが掛かっていてHDDを取外してのコピーが難しい場合はCDやフロッピーディスクから専用のOSで調査対象PCを立ち上げて証拠取得作業を行います。こうすれば、コピー元のHDDに新たなデータが間違って書き込まれる事はありません。
・ スペシャリストの必要性
企業内においても、デジタルデータ証拠取得の難易度は日増しに高くなっています。HDDひとつひとつを採集するだけでなく、数万通のEメールが含まれるメールサーバや何十人、何百人の人が数年間に渡って使用してきたファイルサーバからのデータの取得を行うケースも増加しています。経験がない人物による保全作業は、証拠性の喪失はもとよりシステムの故障なども招く可能性があります。経験やトレーニングを積めば作業は可能になりますが、このような大きなケースであると判断した場合、保守を担当しているベンダーよりも先に専門家に連絡をしてアドバイスを得ることを推奨します。保守ベンダーの調査によって、証拠性を始め、証拠データの時間情報までも失った例をたくさん見てきたことからこの部分に関しては、特に強く推奨します。
一方いくつかのシステムインテグレーターでは当社のコンピュータフォレンジックトレーニングを受講されて準備を行っているグループも出てきています。
今回の最後に、当社がコンピュータフォレンジック調査の際、証拠取得作業に用いているツールと、証拠取得作業の技術を取得するためのトレーニングを実施しているのでご紹介させていただきます。
 ★証拠取得ツール
「ImageMASSter
SoloV」
コンピュータフォレンジック用に開発された証拠取得ツールで、各種HDD(IDE2.5”,3.5”,S-ATA)に対応。ノートPCから証拠取得するLinkMASSter機能、接続したHDDの内容を書き換えることなくHDDの内容を閲覧するための書き込み防止機能を搭載。
★証拠取得技術を習得するためのトレーニング
「証拠取得レジストリ解析実践コース」
証拠取得作業をするための基礎知識とImageMASSter
SoloVを使っての実践及び、Windowsのレジストリを調査するコンピュータフォレンジックの初級トレーニング。(2日間)
次回はデータ解析作業についてお話します。 |
