コンピュータ・フォレンジクス

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索
コンピュータ・フォレンジクス解析はコンピュータ・メディアのみに限定されない

コンピュータ・フォレンジクス英語: computer forensics)は、コンピュータやデジタル記録媒体の中に残された法的証拠に関わるデジタル的な法科学の一分野である。コンピュータ法科学computer forensic science)とも呼ばれる[1]

コンピュータ・フォレンジクスの目的は、コンピュータ・システム自身やハードディスクドライブまたはCD-ROMのような記録媒体、電子文書中のメッセージやJPEG画像のような、デジタル製品の最新の状態を明らかにすることである。[2] 法科学的な分析の範囲は単純な情報の修復から一連の事象の再構成までが含まれる。

証拠としての使用[編集]

デジタルな証拠に通常求められる要求に加えて、コンピュータ・フォレンジクスにはとりわけ多くの指針と法的手続きが存在している。

イギリスの法的指針[編集]

デジタル証拠の完全性を維持するという要求に応じるために、イギリスの調査官はAssociation of Chief Police Officers(ACPO)により発行された指針に準拠する。[3][4] その指針は4つの原則からなる。

  1. 法執行機関またはそれらの代理人は、後に法廷で要求され得るコンピュータまたは記録媒体に保持されているデータにいかなる変更も施すべきでない。
  2. コンピュータまたはストレージ・メディアに保持されている原データにアクセスする必要があると判断する例外的事情のある場合、その者はそうする資格がなければならず、それらの行為の妥当性と意味合いを説明し、証拠を示すことができなければならない。
  3. 電子的証拠に基づいてコンピュータに適用される全ての過程の監査記録または他の記録は、作成され保存されるべきである。独立した第三者はそれらの過程を調査し同様の結果を得ることができるべきである。
  4. 捜査の担当者(the case officer)は法とこれらの原則が遵守されることを確実にする全ての責務がある。

実例[編集]

コンピュータ・フォレンジクスは多くの事例で重要な役割を果たす。

BTKキラー
デニス・レイダー(Dennis Rader)は16年間にわたり発生した一連の連続殺人で有罪判決を受けた。この末期にレイダーは幾つかの手紙をフロッピーディスクに入れて警察に送った。その文書中のメタデータは"Dennis"という名の著者を"Christ Lutheran Church"と結びつけた。この証拠はレイダーの逮捕につながる裏づけとなった。
ジョセフ・ E・ダンカンIII
ダンカン(Joseph E. Duncan III)のコンピュータから復元された表計算ソフトの表は、彼が犯罪を計画したことを示す証拠を含んでいた。検察はこれを予謀の証明と死刑の確定に使った。[5]
シャロン・ロパートカ
ロパートカ(Sharon Lopatka)のコンピュータに残されていた数百ものEメールは、捜査員を彼女の殺害者ロバート・グラスへ導いた。[6]

フォレンジクスの過程[編集]

Nuvola apps kview.svg 画像外部リンク
Searchtool.svg 書き込み防止装置
TABLEAU Forensic STAT/IDE Bridge Model T35i
Searchtool.svg ハードディスクドライブに接続した携帯式書き込み防止装置
TABLEAU FireWire800+USB2.0 SATA Bridge

コンピュータ・フォレンジク捜査は通常、標準的なデジタル・フォレンジクスの過程に従う。[6] 慣例上、捜査は"live"システムよりも静的データ、つまり取得画像(Disk image)で行われる。それらが押収された時、 デジタル時限爆弾がデータの消去を引き起こし得る危険から、捜査官はコンピュータ・システムをシャットダウンするように言われていた。[要出典]

揮発性データ[編集]

証拠を押収する時、もし機器がまだ稼働中ならば、RAMに専ら蓄積され電源を切る前に回復されていない全ての情報は失われる可能性がある。[5]

メモリセルに蓄積された電荷の放散に時間がかかるため、RAMは動力停止後に重要な内容が解析され得る。データ回復が可能な時間は、低温とより高いセル電圧により長くなる。−60 °C下での電源が入っていないRAMの保持は、ある桁による残存データの保存を助け、そのようにして回復成功の見込みを改善する。しかしながら、 現場調査の間にこれをすることは非現実的ということが言える。[7]

技法[編集]

クロス・ドライブ解析
複数のハードドライブに発見され、情報と相互に関係するフォレンジク技法の1つ。その技法は、まだ調査中であるが、ソーシャル・ネットワークの識別と異常検出Anomaly detection)の実施のために使用されることができる。[8][9]
ライブ解析
カスタム・フォレンジクスまたは証拠を抽出するための既存のシステム管理者ツールを使用した、動作システムの中からのコンピュータの調査。その実施は、例えば、暗号化キーが収集され得る暗号化ファイルシステムEncrypting File System)を扱う場合に有用であり、またいくつかの事例では、論理ハードドライブ・ボリュームはコンピュータがシャットダウンされる前にイメージを作成される可能性がある(ライブ取得として知られる)。[10]
削除されたファイル
コンピュータ・フォレンジクスで使用される一般的な技法の1つが、削除されたファイルの回復(Recovery of deleted files)である。最新のフォレンジク・ソフトウェアは、削除されたデータの回復または取り出しのための独自のツールを備えている。[11]

解析ツール[編集]

いくらかのオープンソースと商用ツールがコンピュータ・フォレンジクス捜査のために存在する。

典型的なフォレンジク解析に含むのは、メディア上の資料の手動調査、Windowsレジストリ上の疑わしい情報に関する調査、パスワードの発見とクラッキング、犯罪に関連した主題のキーワード捜査、調査のためのEメールと画像の取り出し。[要出典]

認証[編集]

いくつかの利用可能なコンピュータ・フォレンジクス認証がある。アメリカ合衆国の多くの州法はコンピュータ・フォレンジク鑑定人に専門的認証または私的捜査員のライセンスを所有するように要求する。[要出典]

一般的認証[編集]

他のコンピュータ・フォレンジク・ソフトウェア企業は、EnCase Certified Examiner(EnCE)認証とAccessData ACE認証のように製品固有の認証を提供する。

関連項目[編集]

脚注[編集]

  1. ^ Michael G. Noblett; Mark M. Pollitt, Lawrence A. Presley (2000年10月). “Recovering and examining computer forensic evidence”. 2010年7月26日閲覧。
  2. ^ A Yasinsac; RF Erbacher, DG Marks, MM Pollitt (2003年). “Computer forensics education”. IEEE Security & Privacy. 2010年7月26日閲覧。
  3. ^ Pollitt, MM. “Report on digital evidence”. 2010年7月24日閲覧。
  4. ^ ACPO Good Practice Guide for Computer-Based Evidence”. ACPO. 2010年7月24日閲覧。
  5. ^ a b Various (2009年). Eoghan Casey. ed. Handbook of Digital Forensics and Investigation. Academic Press. pp. 567ページ. ISBN 0123742676. http://books.google.co.uk/books?id=xNjsDprqtUYC 2010年8月27日閲覧。. 
  6. ^ a b Casey, Eoghan (2004年). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4. http://books.google.com/?id=Xo8GMt_AbQsC&dq=Digital%20Evidence%20and%20Computer%20Crime,%20Second%20Edition. 
  7. ^ J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten (2008年2月21日). Lest We Remember: Cold Boot Attacks on Encryption Keys. プリンストン大学. http://citp.princeton.edu/memory/ 2009年11月20日閲覧。. 
  8. ^ Garfinkel, S. (2006年8月). “Forensic Feature Extraction and Cross-Drive Analysis”. 2010年9月27日閲覧。
  9. ^ EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis”. 2010年9月27日閲覧。
  10. ^ Maarten Van Horenbeeck (2006年5月24日). “Technology Crime Investigation”. 2010年8月18日閲覧。
  11. ^ Aaron Phillip; David Cowen, Chris Davis (2009年). Hacking Exposed: Computer Forensics. McGraw Hill Professional. pp. 544ページ. ISBN 0071626778. http://books.google.co.uk/books?id=yMdNrgSBUq0C 2010年8月27日閲覧。. 
  12. ^ GIAC Certified Forensic Analyst (GCFA)”. 2010年7月31日閲覧。
  13. ^ 2,146 GCFA Credentials Granted - 199 GCFA Gold”. 2010年7月31日閲覧。
  14. ^ International Society of Forensic Computer Examiners”. 2010年8月23日閲覧。
  15. ^ Information Assurance Certification Review Board
  16. ^ International Association of Computer Investigative Specialists, 公式ウェブサイト
  17. ^ IFS Education Department, 公式ウェブサイト
  18. ^ EC-Council, 公式ウェブサイト

発展資料[編集]

  • A Practice Guide to Computer Forensics, First Edition (Paperback) by David Benton (Author), Frank Grindstaff (Author)
  • Casey, Eoghan; Stellatos, Gerasimos J. (2008). “The impact of full disk encryption on digital forensics”. Operating Systems Review 42 (3): 93–98. doi:10.1145/1368506.1368519. 
  • Incident Response and Computer Forensics, Second Edition (Paperback) by Chris Prosise (Author), Kevin Mandia (Author), Matt Pepe (Author) "Truth is stranger than fiction..." (more)

関連記事[編集]

英文記事

外部リンク[編集]

英文リンク