(cache) 内部不正による情報漏えいを許さない

コンピュータフォレンジック［前編］

内部不正による情報漏えいを許さない

守本正宏
株式会社UBIC
代表取締役
2005/6/10

　コンピュータフォレンジックの調査結果

　フォレンジックの手法を使って対象コンピュータ内のHDDデータを調査することにより、使用者が何をいつ、なぜ、どのように行っていたのかという情報を得られる。

　例えば、ドキュメントファイルや表計算アプリケーションファイルなどを調査することによって、不正使用された重要な個人情報や、技術情報などのファイルが発見される場合がある。中にはパスワードがかけられたものも存在するが、フォレンジックにはパスワード解析ツールで解析し、閲覧可能な状態にして調査を継続する技術もある。

　そのほか、画像情報、メール解析、インターネット閲覧履歴、外部接続機器使用履歴などの調査のためにレジストリ保護領域の解析などを行い、不正行為の全貌を明らかにしていく。

　コンピュータフォレンジックによりどのようなことが判明するかという例を3つ挙げる。ここで注意しておきたいことは、実際の調査報告では、それぞれを個別の結果として報告をする場合は少なく、ほとんどの場合においてこれら3つのデータを複合的に考察する。

●情報漏えい

　悪意ある者が情報を漏えいするためには、その情報にアクセスし、どこかに送ったり持ち出したりする必要がある。それ故、その痕跡をつかむことが証拠となる。HDD内に保存されているファイルやメール情報、レジストリ情報などにより、情報をどこから取得し、誰に送ったか、あるいは何で持ち出したかを特定することができる。

●時系列調査

　内部監査の場合、ある特定の日時の対象者の行動を把握することが非常に有効な調査になる。対象期間にコンピュータをどのように使用したかを調査することにより、調査対象者の行動を把握することができる。

●ひぼう中傷調査

　企業のひぼう中傷がインターネット上で行われている場合、その実施者が情報漏えいなどの不正行為も行っている可能性が高い。メールやブログ・掲示板への書き込みなどを調査することにより、ひぼう中傷の有効な証拠を得られる。

　コンピュータフォレンジックの概要

　コンピュータフォレンジックにより法的措置を取るための証拠を見つけ出すプロセスがどのように実施されるかを説明する。フォレンジックは主に証拠保全、解析、報告の3段階に分けられる。

●証拠保全

　コンピュータフォレンジックの作業のうち、最初に実施され、かつ最も困難で緊張する作業が証拠保全である。証拠保全とは、調査対象のコンピュータのHDDデータを、保全作業をする直前の状態と全く変えることなく複製保存することである。第三者が調査のために対象コンピュータを操作するなどして書き換わってしまった場合、そのデジタルデータの証拠性は格段に失われることになる。そのため、証拠保全の段階が最も重要であるといえる。

　コンピュータフォレンジックにおいてデータの複製先は別のHDDになる。複製先HDDはあらかじめ完全消去を行い、残留データが一切存在していない状態にしておく。複製はデータ部分だけではなく、HDDの全領域の物理複製を行う。

　通常は電源がオフになっている状態で、HDDをコンピュータから取り外して複製を行う。また、コンピュータを特別なフォレンジック専用ブートディスクによって立ち上げ、HDDを取り出さずに、かつ内容を書き換えることなく複製を行う技術もある。証拠保全では、2個のHDDに複製を行い、1つは保管用、1つは解析用に使用する。

HDDを複製する専用機器

●解析

　解析には専用のソフトウェアを使用する。証拠保全の段階で作成した解析用の証拠HDDを解析専用のコンピュータに接続する。その際、逆方向書き込み防止装置を介して接続し、証拠HDDに書き込みを禁止するよう注意しなければならない。

　解析する際には解析専用のソフトウェアに応じたファイル形式に変換する。代表的なファイル形式としてLinux dd、E01（EnCase）、SMART、Safebackなどがある。

　解析では、主にメールや保存されているファイルの検索、さらに画像データやレジストリ情報の調査などを実施し、そのコンピュータの使用者が何をしていたかを特定する。必要に応じてパスワードの解析も実施する。

●報告

　報告の段階においては、証拠保全し、解析した結果を報告先に説明する。これらの報告はさまざまな場所や形式で行われ、法廷や企業内あるいは企業間での報告などで使用される。

　コンピュータフォレンジックの目的は、法的に問題を解決することである。それ故、証拠保全や解析を完全に実施できたとしても、報告先に結果の正当性を認めてもらわなければその目的を達成できたとはいえない。報告先に正当性を認めてもらうためには、分かりやすいプレゼンテーションを行う必要がある。時には解析の様子を撮影したビデオを準備したり、あるいはフォレンジックツールを報告時に使用して調査状況を再現したりすることもある。

2/3

Index
内部不正による情報漏えいを許さない
	Page1 コンピュータフォレンジックの位置付け法的措置を含む事後対応の重要性
	Page2 コンピュータフォレンジックの調査結果コンピュータフォレンジックの概要
	Page3 コンピュータフォレンジックに対する理解が重要

関連リンク
	個人情報保護法に備える4つの課題
	情報漏えいに備えるセキュリティ投資の目安

Security&Trust記事一覧

＠IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム新着記事

ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審する （2015/1/27）
　みならいくんたちのISMS改訂準備も今回が最終回。最後は移行審査までの計画を整理し、これまでの総仕上げを行います
今すぐ確認すべき7項目 （2015/1/26）
「これさえ設定していれば軽い被害で済んだのに」という残念な状況を避ける7つのポイントとは
自動車、ホームルーター、チケット発券機――脅威からどう守る？ （2015/1/22）
　全ての電子機器がネットにつながる時代、あらゆる機器が狙われる。CODE BLUEにスピーカーとして参加した筆者が、興味深いと感じた講演をピックアップしました
脆弱性を見つける人、対応する人、皆をハッピーに （2015/1/13）
日本発のセキュリティカンファレンス「CODE BLUE」の講演の中から、脆弱性情報の扱い方に関する話題をピックアップしてお届けする