2011年11月に翔泳社より刊行された『情報化白書 2012』(一般財団法人日本情報経済社会推進協会編)は、IT業界の現状を俯瞰することを目的として、最新トピックスからITに関連した法制度などに至る広範な記事を掲載している。このコーナーでは、『情報化白書 2012』の編纂に合わせて行われた調査報告などからまとめたレポートを紹介していく。その第3弾として、『情報化白書 2012』の記事から「インシデントや脅威への対応」を5回にわたって掲載する。
2.3 フォレンジック調査の実際と限界
フォレンジック調査では、削除されたファイルのデータを復元することもある。ファイルはファイルシステムという「どのファイルがハードディスクのどの場所にあるか」を情報として蓄える仕組みによって管理される。
ファイルを削除するとファイルシステムが管理する情報に削除フラグが立ち、データ本体にはアクセスできなくなる。しかし、データ本体を削除する処理が行われるわけではなく、専有していた領域が再利用されるまでは残る。こうした痕跡も含めて目的にかなう情報を探すのがハードディスクを対象とするフォレンジック調査である。
ハードディスク以外にもメモリやSSD(Solid State Drive)、DVDやブルーレイディスク、CDなどの記録媒体も調査対象となるが、ファイルシステムによる管理の有無、揮発性の高さ(注8)などによって情報の取得手法は変わってくる。近年はスマートフォンや携帯電話、ゲーム機やタブレット端末などの新たな形態の「コンピュータ」が増えてきているため、それぞれにデータを吸い出す方法をハード面からもソフト面からも用意し続ける必要があるが、ハードウェアの性能やソフトウェアの性能によって作業時間が制限されてしまうこともある。
取得したデータをベースにした調査解析分野も確立されてきている。例えば、Webフォレンジックと呼ばれる分野では、閲覧履歴や検索履歴などのデータベースやキャッシュデータなど、Webブラウザが保持している(していた)データを解析する。以前は人と人とが情報をやり取りするのは主に電子メールであったが、現在ではSNS、Twitterなどのショート(ミニ、マイクロ)ブログ、GmailなどのWebメールなど多岐にわたる。Webブラウザが保持するプリミティブなデータだけでそうした伝達方法に関する調査を行うのは非常に難しく、現在においてもまだ、さまざまな研究開発がなされている状況である。
フォレンジック調査には限界もある。暗号化されているデータやハードディスクの中身を読み取ることは容易ではない。どのような暗号も鍵となるデータの長さは有限であるので解読は不可能ではないが、調査に費やせる費用、人員、期間のなかで解読できるものはきわめて限られる。暗号の仕組み自体に弱さがあり、例えば同一のハードディスク内に鍵となるデータが記録されている場合などには、専用の解読ソフトウェアなどで解読できるが、そうでなければ鍵を設定した人間から聞き出すほかない。したがって、内密の調査では解読が難しくなる。
また、完全消去という方法によりデータの痕跡が残らないように消去されてしまうと、当然ながら情報を復元することはできない。しかし、完全に消去されていることの特異さや、完全消去行為そのものが調査者に不信感を持たれる契機となり得る。完全削除以外にも偽装工作を行う方法はあるが、そのためのツールをインストールしたりすること自体が疑念を抱かせる可能性もある。また、1つのコンピュータだけをいくら細工してみたところで、サーバーや別のコンピュータに残された情報と照らし合わせてみると矛盾点が生じることもある。実際に偽装工作を行うことはそれほど容易ではないといえるだろう。
この記事は参考になりましたか?
- 「情報化白書」ITレポート連載記事一覧
-
- デジタルフォレンジックの調査と現状
- デジタルフォレンジックとは何か
- インシデント発生時の対応策と体制
- この記事の著者
-
中谷 昌幸(ナカタニ マサユキ)
一般社団法人JPCERTコーディネーションセンター早期警戒グループ マネージャ。
2005年よりJPCERTコーディネーションセンターにおいて、早期警戒業務に従事。2009年より、同グループマネージャとして、インターネット定点観測、Information Analystチーム、インシデントハンドリング...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
-
園田 道夫(ソノダ ミチオ)
2000年頃より主に情報セキュリティ関連の教育、コンサルを行ってきた。2003年より日本ネットワークセキュリティ協会(JNSA)主催インターネット安全教室講師および非常勤研究員。2004年より情報処理推進機構(IPA)にて企業向けセミナー講師および非常勤研究員。2004年より経済産業省主催セキュリティキャンプの講師...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア