2.3 フォレンジック調査の実際と限界
フォレンジック調査では、削除されたファイルのデータを復元することもある。ファイルはファイルシステムという「どのファイルがハードディスクのどの場所にあるか」を情報として蓄える仕組みによって管理される。
ファイルを削除するとファイルシステムが管理する情報に削除フラグが立ち、データ本体にはアクセスできなくなる。しかし、データ本体を削除する処理が行われるわけではなく、専有していた領域が再利用されるまでは残る。こうした痕跡も含めて目的にかなう情報を探すのがハードディスクを対象とするフォレンジック調査である。
ハードディスク以外にもメモリやSSD(Solid State Drive)、DVDやブルーレイディスク、CDなどの記録媒体も調査対象となるが、ファイルシステムによる管理の有無、揮発性の高さ(注8)などによって情報の取得手法は変わってくる。近年はスマートフォンや携帯電話、ゲーム機やタブレット端末などの新たな形態の「コンピュータ」が増えてきているため、それぞれにデータを吸い出す方法をハード面からもソフト面からも用意し続ける必要があるが、ハードウェアの性能やソフトウェアの性能によって作業時間が制限されてしまうこともある。
取得したデータをベースにした調査解析分野も確立されてきている。例えば、Webフォレンジックと呼ばれる分野では、閲覧履歴や検索履歴などのデータベースやキャッシュデータなど、Webブラウザが保持している(していた)データを解析する。以前は人と人とが情報をやり取りするのは主に電子メールであったが、現在ではSNS、Twitterなどのショート(ミニ、マイクロ)ブログ、GmailなどのWebメールなど多岐にわたる。Webブラウザが保持するプリミティブなデータだけでそうした伝達方法に関する調査を行うのは非常に難しく、現在においてもまだ、さまざまな研究開発がなされている状況である。
フォレンジック調査には限界もある。暗号化されているデータやハードディスクの中身を読み取ることは容易ではない。どのような暗号も鍵となるデータの長さは有限であるので解読は不可能ではないが、調査に費やせる費用、人員、期間のなかで解読できるものはきわめて限られる。暗号の仕組み自体に弱さがあり、例えば同一のハードディスク内に鍵となるデータが記録されている場合などには、専用の解読ソフトウェアなどで解読できるが、そうでなければ鍵を設定した人間から聞き出すほかない。したがって、内密の調査では解読が難しくなる。
また、完全消去という方法によりデータの痕跡が残らないように消去されてしまうと、当然ながら情報を復元することはできない。しかし、完全に消去されていることの特異さや、完全消去行為そのものが調査者に不信感を持たれる契機となり得る。完全削除以外にも偽装工作を行う方法はあるが、そのためのツールをインストールしたりすること自体が疑念を抱かせる可能性もある。また、1つのコンピュータだけをいくら細工してみたところで、サーバーや別のコンピュータに残された情報と照らし合わせてみると矛盾点が生じることもある。実際に偽装工作を行うことはそれほど容易ではないといえるだろう。
