コンピュータ・フォレンジクス

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動先: 案内検索
コンピュータ・フォレンジクス解析はコンピュータ・メディアのみに限定されない

コンピュータ・フォレンジクス英語: computer forensics)は、コンピュータやデジタル記録媒体の中に残された法的証拠に関わるデジタル的な法科学の一分野である[1]

コンピュータ・フォレンジクスの目的は、コンピュータ・システム自身やハードディスクドライブまたはCD-ROMのような記録媒体、電子文書中のメッセージやJPEG画像のような、デジタル製品の最新の状態を明らかにすることである。[2] 法科学的な分析の範囲は単純な情報の修復から一連の事象の再構成までが含まれる。

コンピュータ法科学 (computer forensic science) とも呼ばれる[1]。また、デジタル・フォレンジクス (digital forensics)、デジタル法科学とも呼ばれる。

用語[編集]

英語では、forensics を IPA: [fərénsɪks] (ファレンシクス)と発音する。しかし、2016年現在の日本では、「フォレンジックス」(「シ」に濁点あり)と表記されることが多い。この名詞を「フォレンジック」(最後の「ス」がない)と表記するのは誤り。

英語での元の単語は形容詞 forensic であり、「法廷の」という意味である(その元はラテン語であり、「広場の」という意味)。

証拠としての使用[編集]

デジタルな証拠に通常求められる要求に加えて、コンピュータ・フォレンジクスにはとりわけ多くの指針と法的手続きが存在している。

イギリスの法的指針[編集]

デジタル証拠の完全性を維持するという要求に応じるために、イギリスの調査官はAssociation of Chief Police Officers(ACPO)により発行された指針に準拠する。[3][4] その指針は4つの原則からなる。

  1. 法執行機関またはそれらの代理人は、後に法廷で要求され得るコンピュータまたは記録媒体に保持されているデータにいかなる変更も施すべきでない。
  2. コンピュータまたはストレージ・メディアに保持されている原データにアクセスする必要があると判断する例外的事情のある場合、その者はそうする資格がなければならず、それらの行為の妥当性と意味合いを説明し、証拠を示すことができなければならない。
  3. 電子的証拠に基づいてコンピュータに適用される全ての過程の監査記録または他の記録は、作成され保存されるべきである。独立した第三者はそれらの過程を調査し同様の結果を得ることができるべきである。
  4. 捜査の担当者(the case officer)は法とこれらの原則が遵守されることを確実にする全ての責務がある。

実例[編集]

コンピュータ・フォレンジクスは多くの事例で重要な役割を果たす。

BTKキラー
デニス・レイダー(Dennis Rader)は16年間にわたり発生した一連の連続殺人で有罪判決を受けた。この末期にレイダーは幾つかの手紙をフロッピーディスクに入れて警察に送った。その文書中のメタデータは"Dennis"という名の著者を"Christ Lutheran Church"と結びつけた。この証拠はレイダーの逮捕につながる裏づけとなった。
ジョセフ・ E・ダンカンIII
ダンカン(Joseph E. Duncan III)のコンピュータから復元された表計算ソフトの表は、彼が犯罪を計画したことを示す証拠を含んでいた。検察はこれを予謀の証明と死刑の確定に使った。[5]
シャロン・ロパートカ
ロパートカ(Sharon Lopatka)のコンピュータに残されていた数百ものEメールは、捜査員を彼女の殺害者ロバート・グラスへ導いた。[6]

フォレンジクスの過程[編集]

画像外部リンク
書き込み防止装置
TABLEAU Forensic STAT/IDE Bridge Model T35i
ハードディスクドライブに接続した携帯式書き込み防止装置
TABLEAU FireWire800+USB2.0 SATA Bridge

コンピュータ・フォレンジク捜査の標準的な手順は、データ取得、調査、解析、そして報告から成る。黎明期のフォレンジク活動では、専門的ツールの不足のため、稼動中のコンピュータを捜査せざるを得ない場合が一般的であったが、現代では稼動中のシステムではなく静的データ、つまりイメージファイルに対して捜査を行うのが一般的である。

揮発性データ[編集]

証拠物を押収するとき、もし機器がまだ稼働中ならば、RAM上のデータは電源を切ると失われる可能性が高い。[5]

メモリセルに蓄積された電荷の放散に時間がかかるので、電力停止後にもRAMにある重要な内容が解析されうる。データ回復が可能な時間は、低温であって高いセル電圧であるほど長くなる。−60℃ 下で電源が入っていない状態でRAMを保持すると、ある桁における残存データの保存を助け、回復成功の見込みを高める。しかし、現場調査でそうすることは非現実的である。[7]

技法[編集]

Cross-drive analysis
複数のハードディスクドライブから発見された情報を関連づける技法。この技法は、まだ研究段階であるが、人間関係の解明や異常検知への活用が提案されている。[8][9]
Live analysis
対象物のOSが稼動している状態で、独自のフォレンジク・ツールまたは既存の管理ツールを使用して証拠データを取得し、コンピュータを調査する技法。この技法は、暗号化ファイルシステムEncrypting File System)を扱う場合に有用であり、例えばデータが復号化されている内に暗号化キーを収集できる可能性がある。また、コンピュータがシャットダウンして論理ハードドライブ・ボリュームが暗号化される前にそのイメージを取得できる可能性がある(いわゆる"live acquisition"である)。[10]
削除ファイルの復旧
コンピュータ・フォレンジクスで使用される一般的な技法の1つが、削除されたファイルの復旧(Recovery of deleted files)である。現代のフォレンジク・ソフトウェアは、削除されたファイルをファイルシステムに基づいて復旧する機能、もしくはファイル内容の特徴(ヘッダ等)に基づいて復旧する機能を有する。[11]多くのOS及びファイルシステムでは、ファイルを論理的に削除しても物理的にはデータが残存するため、未使用セクタに物理アクセスを行ってデータ復旧を試みることが可能である。
ステガノグラフィ (Steganography)
データを隠蔽する手法として、ステガノグラフィがある。これは、画像などのバイナリファイルの中にデータを埋め込んで隠す手法である。使用例としては、児童ポルノなどの違法なデータの隠蔽が挙げられる。この手法への対策としては、ハッシュ値の比較がある。証拠物の中の一見無害なファイルのハッシュ値と、そのオリジナルのファイル(入手できれば)のハッシュ値を比較し、相違があればファイル内容にも相違があり、違法データが埋め込まれている可能性があると看破できる。[12]

解析ツール[編集]

多くのオープンソースツール及び商用ツールがコンピュータ・フォレンジクス捜査のために存在する。

フォレンジク解析の典型例としては、メディア上の資料の手動調査、Windowsレジストリ上の疑わしい情報に関する調査、パスワードの発見とクラッキング、犯罪に関連した主題のキーワード検索、Eメール及び画像の抽出及び調査が挙げられる。[6]

認証[編集]

いくつかの利用可能なコンピュータ・フォレンジクス認証がある。アメリカ合衆国の多くの州法はコンピュータ・フォレンジク鑑定人に専門的認証または私的捜査員のライセンスを所有するように要求する。[要出典]

一般的認証[編集]

他のコンピュータ・フォレンジク・ソフトウェア企業は、EnCase Certified Examiner(EnCE)認証とAccessData ACE認証のように製品固有の認証を提供する。

関連項目[編集]

脚注[編集]

  1. ^ a b Michael G. Noblett; Mark M. Pollitt, Lawrence A. Presley (2000年10月). “Recovering and examining computer forensic evidence”. 2010年7月26日閲覧。
  2. ^ A Yasinsac; RF Erbacher, DG Marks, MM Pollitt (2003年). “Computer forensics education”. IEEE Security & Privacy. 2010年7月26日閲覧。
  3. ^ Pollitt, MM. “Report on digital evidence”. 2010年7月24日閲覧。
  4. ^ ACPO Good Practice Guide for Computer-Based Evidence”. ACPO. 2010年7月24日閲覧。
  5. ^ a b Various (2009年). Eoghan Casey. ed. Handbook of Digital Forensics and Investigation. Academic Press. pp. 567ページ. ISBN 0123742676. http://books.google.co.uk/books?id=xNjsDprqtUYC 2010年8月27日閲覧。. 
  6. ^ a b Casey, Eoghan (2004年). Digital Evidence and Computer Crime, Second Edition. Elsevier. ISBN 0-12-163104-4. http://books.google.com/?id=Xo8GMt_AbQsC&dq=Digital%20Evidence%20and%20Computer%20Crime,%20Second%20Edition. 
  7. ^ J. Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, and Edward W. Felten (2008年2月21日). Lest We Remember: Cold Boot Attacks on Encryption Keys. プリンストン大学. http://citp.princeton.edu/memory/ 2009年11月20日閲覧。. 
  8. ^ Garfinkel, S. (2006年8月). “Forensic Feature Extraction and Cross-Drive Analysis”. 2010年9月27日閲覧。
  9. ^ EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis”. 2010年9月27日閲覧。
  10. ^ Maarten Van Horenbeeck (2006年5月24日). “Technology Crime Investigation”. 2010年8月18日閲覧。
  11. ^ Aaron Phillip; David Cowen, Chris Davis (2009年). Hacking Exposed: Computer Forensics. McGraw Hill Professional. pp. 544ページ. ISBN 0071626778. http://books.google.co.uk/books?id=yMdNrgSBUq0C 2010年8月27日閲覧。. 
  12. ^ Dunbar, B (2001年1月). “A detailed look at Steganographic Techniques and their use in an Open-Systems Environment”. 2016年12月8日閲覧。
  13. ^ GIAC Certified Forensic Analyst (GCFA)”. 2010年7月31日閲覧。
  14. ^ 2,146 GCFA Credentials Granted - 199 GCFA Gold”. 2010年7月31日閲覧。
  15. ^ International Society of Forensic Computer Examiners”. 2010年8月23日閲覧。
  16. ^ Information Assurance Certification Review Board
  17. ^ International Association of Computer Investigative Specialists, 公式ウェブサイト
  18. ^ IFS Education Department, 公式ウェブサイト
  19. ^ EC-Council, 公式ウェブサイト

発展資料[編集]

  • A Practice Guide to Computer Forensics, First Edition (Paperback) by David Benton (Author), Frank Grindstaff (Author)
  • Casey, Eoghan; Stellatos, Gerasimos J. (2008). “The impact of full disk encryption on digital forensics”. Operating Systems Review 42 (3): 93–98. doi:10.1145/1368506.1368519. 
  • Incident Response and Computer Forensics, Second Edition (Paperback) by Chris Prosise (Author), Kevin Mandia (Author), Matt Pepe (Author) "Truth is stranger than fiction..." (more)

関連記事[編集]

英文記事

外部リンク[編集]

英文リンク