データ解析作業
コンピュータフォレンジック調査の解析作業には、OS(WindowsやLinux等のオペレーティングシステム)をはじめとしたソフトウェアに対する理解が必要となります。特に、不正調査対象となる人物に悪意があった場合、調査対象者は証拠が見つけられないよう様々な手段を使用してデータの隠蔽を行います。仮に対象者が業務上横領や不正会計を行っていた場合、証拠データを見つけられないようにファイルを消去したり、パスワードを掛けてファイルを見られないようにしたりするほか、拡張子を変えてファイルを正常に開くことや見つけることが出来ないように加工していることも多くあります。
このような悪意を持って隠されたファイルを見つけ出すには、消去されたファイルを復元する方法・ファイルに掛けられたパスワードを解く方法、またファイル拡張子が違うものを探す方法等を考察し、それを実行するためのコンピュータに関する幅広い知識と技術、膨大な時間と労力が必要となります。
この様な一連の解析負担を少しでも補い、軽減するために開発されたのがコンピュータフォレンジック解析専用ソフトウェアです。そのため、コンピュータフォレンジック解析専用ソフトウェアには調査を効率的に実施する上で欠かすことの出来ない以下の基本機能が必ず含まれています。
1)ファイルの書き換えを行わない。
2)消去されたファイルの復元(ゴミ箱から消去されたデータも含む)
3)証拠データの同一性を示すハッシュ値の出力
4)レポートの出力
5)
データのカテゴライズ・ソーティング機能
6)
高速検索機能
現在日本で販売されているコンピュータフォレンジック解析専用ソフトウェアで世界的に有名なものは、Ultimate Toolkit(UTK)とEnCaseの2つですが、これらのソフトウェアは上記の基本機能に加え独自の調査支援機能を備えています。それぞれに一長一短があるので、一種類のソフトウェアを全ての調査に使用するのではなく、調査する内容に応じてソフトウェアを使い分けるのが最も効率的かつ効果的です。また、コンピュータフォレンジック調査は常に証拠能力を問われる、という観点から見ても複数のソフトウェアを併用し、調査の「抜け」を限りなく少なくすることが大切です。1つのソフトウェアで文字検索がヒットしなかったとしても、もう1種類でヒットすることはよくあることなのです。またサーバなどに共有して保存されている電子メールデータなどは専用の解析ソフトウェアがないと本文を読むことすら開始出来ません。
コンピュータフォレンジック調査解析作業の実情
一口にコンピュータフォレンジック調査といってもさまざまな事例があります。機密情報や個人情報の漏洩、支店や子会社等の組織ぐるみで行われる不正会計、空出張や不正取引等による業務上横領等のほか、社員や元社員による会社の誹謗中傷、最近話題のWinnyによる情報漏洩。これらの事例を解析する手法も様々です。
例えば、機密情報や個人情報漏洩に関して調査する場合はまず、調査対象者のPCに漏洩した情報ファイルと同じファイルが残っているか、そのPCを経由してUSB等の記録媒体にコピーされていないかを解析します。
次に、E-mailやファイル転送サービス等のインターネットでファイルを送信できるウェブサイトへのアクセス等を調べ、外部に情報を送っていないかを解析します。USB等の記録媒体にコピーされていた場合は、その記録媒体と、調査対象者個人が持っているPC両方を調査・解析する必要があります。
また、不正会計の場合は複数人のPCを解析し、故意か過失か、故意の場合は誰が指示したのか、といった内容を主にE-mailを解析することで調査します。最近では自社でメールサーバを持っている会社も多いため、E-mailを解析する場合はメールサーバから証拠取得を行い、全データからキーワード検索することで解析するメールを選別することもあります。
いずれの調査においても最も重要となるものは、解析戦略の明確化です。先の例で言えば、漏洩した機密情報・個人情報のファイル名や漏洩した情報の内容等、調査のキーワードとして使用できるものが必要となります。通常業務で使用している同じような内容のファイルや、E-mailが大量に保存されているPCから、通常業務で使用しているものと不正の証拠となるものを、コンピュータフォレンジック調査士が短時間で判別することは非常に困難です。
コンピュータフォレンジック調査を効率よく実施するためには、コンプライアンス担当者、システム管理部門担当者と調査士との綿密な打合せが鍵となります。その事によって解析する情報を絞り込むことが出来ます。このような事から不正発覚からの状況把握・対策、今後の方針といった一連の流れの中で、企業価値に大きく影響を与える不正発覚から状況把握までの時間の短縮にもつながります。
解析作業の限界
コンピュータフォレンジック解析専用ソフトウェアを使用して解析を行っても、完全解決に至らない場合もあります。コンピュータフォレンジック調査は、HDDに物理的に残っているデータを解析し、そのPCを使用していた人物が不正を行っていたかどうかを判断するために使われます。そのためHDDのデータを全て上書きし、物理的にデータを消された場合や、共有PCで誰が何時使用していたか分からないような状況では、折角の調査技術も有効に機能することが難しくなります。コンピュータフォレンジック技術を有効に活用するためには会社内でコンピュータフォレンジックが行いやすいPC運用方法、運用規則策定が非常に重要な項目になってきています。
次回は、コンピュータフォレンジック技術を活用するための注意点についてお話します。 |
