近年、発生しているサイバー犯罪のうち、内部犯行によるものは少なくないとされる。その犯行の追及に役立つのが、企業内で常時収集しているログデータであり、また、それを分析するデジタルフォレンジックの技術だ。本記事では、デジタルフォレンジックの概要と成り立ちを紹介した上で、調査手法の概要を解説する。
デジタルフォレンジックが求められる背景
デジタルフォレンジックとは、デジタルデバイスに記録された情報の回収と分析調査などを行うこと。増加するサイバー犯罪に対し、企業内の内部調査や裁判の証拠として使われるようになってきている。
日本ネットワークセキュリティ協会の「2018年 情報セキュリティインシデントに関する調査報告書」によると、2013年以降、情報漏えいの原因として「不正アクセス」が増加しているものの、その件数は全体の2割程度にとどまっている。今なお、犯行の多くが社外からの不正アクセス以外となっており、社内の人間に起因するセキュリティインシデントが多数起こっていることがわかる。
具体的には、内部不正行為、目的外使用、不正な情報持ち出し、管理ミス、設定ミス、誤操作などが挙げられる。昨今、セキュリティインシデントが甚大な被害につながるリスクを踏まえると、意図的であるかどうかに関わらず、何らかの対策を講じることが企業には求められている。
IPA(情報処理推進機構)による資料「組織における内部不正とその対策」では、故意に営業秘密を流出させたケースとして、USBメモリーやメールが多用されている点が指摘されている。しかし、その内部不正に対し、証拠不足、あるいは、不正行為をした個人が特定できなかったため、処分や起訴ができなかったとの調査報告も記載されている。
IPAで情報セキュリティ白書の執筆やガイドラインの策定にも携わるエドコンサルティング社の江島将和氏によると、「内部不正は『動機』、『機会』、『正当化』の3つの要素が全て揃った時に発生する」としている。そのため、内部不正の防止対策としては、不正に走らせる動機の軽減や不正を難しくする仕組みの導入など、内部統制を強化する必要がある。つまり、犯行を難しくする、捕まるリスクを高める、犯行の誘因を減らす、犯罪の弁明をさせない、といった環境を整備して内部不正の芽を摘む対策が求められているのだ。
一方、それでもインシデントが発生する可能性は完全に排除できない。その場合、速やかにデジタルフォレンジックを行うことができるような準備を事前に講じることが必要となってきている。コンピューター操作ログの記録を徹底し、疑わしいデータへのアクセスをいち早く検知する。あるいは、管理者権限の設定を徹底し、必要な担当者が適切な情報にのみアクセスできるようにする、といった対応を講じることで、犯行者の特定はスムーズとなる。デジタルフォレンジックの手法を通して証拠を保全しておけば、懲戒や起訴を含む、事後対策がとれるようになるのだ。
デジタルフォレンジックの種類
デジタルフォレンジックには大きく分けて、コンピューターフォレンジック、モバイルフォレンジック、ネットワークフォレンジックの3種類がある。
コンピューターフォレンジック
サイバー犯罪に携わったコンピューターを押収し、そのハードディスクを信頼できる技術でコピーした上で、「いつ、どこで、誰が、何を行ったか」を解析し、犯罪の痕跡を特定していく手法。証拠保全の過程で、ハードディスクの内容を変更してしまうと、証拠として採用できなくなってしまう。そのため、調査対象のハードディスクとコピーされたものの「ハッシュ値」を計算し、デジタルデータが一致していることを確認する。コンピューターフォレンジックを通して、消去されたデータを復元したり、データの改ざんを防止したりできるのもメリットだ。
また、ハードディスクやSSDなどのディスクに対する「ディスクフォレンジック」、稼働コンピューターのメモリーデータに対する「メモリーフォレンジック」に細かく分類される。メモリーフォレンジックは、ハードディスクに痕跡を残さないマルウェアの解析などに有効だと言われている。
モバイルフォレンジック
モバイル端末が普及し、最近はスマートフォン(以下、スマホ)やタブレットが情報の持ち出しに使われるケースが増え、「モバイルフォレンジック」が重要視されるようになってきている。モバイルフォレンジックはコンピューターフォレンジックの中でもモバイル機器に対する証拠保全の手法であり、モバイル端末における通話履歴・メール等を対象に、証拠の保全を行う。
ネットワークフォレンジック
メールの利用はもちろん、社内外のクラウドサービスでの情報共有が増える中、オンライン上で情報漏えいが行われるケースは多い。ネットワークフォレンジックでは、パケットキャプチャというツールを用い、ネットワークに流れるデータ(パケット)を捕らえ、不正の証拠を保全する。ファイルの編集ログ、外部媒体との接続履歴、インターネットの閲覧履歴、攻撃日時などが保存対象に含まれる。クラウドサービスの利用と暗号化通信が一般化する中、ネットワークに流れるデータを捕捉する重要性が高まっている。
デジタルフォレンジックのプロセス
デジタルフォレンジックは「事前準備」、「収集」、「復元・分析・報告」の手順で構成される。
事前準備
まず証拠となるログを取得する体制を構築することが重要である。具体的には、コンピューターフォレンジックやネットワークフォレンジックを行うために必要なIT環境の整備、セキュリティポリシーや就業規則の変更などが挙げられる。また、事前準備の段階で、取得するログの対象や対応方針・対応体制を確立しておく。
収集
サイバー犯罪が発覚した際には、状況に応じて分析するべきコンピューターやネットワーク機器を特定し、データを収集する。むやみにコンピューターを起動してデータを書き換えない等、証拠として認められるよう、適切なプロセスを経て保全する必要がある。外部の犯行であればログを警察などに提出する必要があり、内部の不正であれば、関わった可能性の高い従業員のコンピューターを調べることになるだろう。
復元・分析・報告
押収したコンピューターやモバイル端末で、削除されたファイルがある場合は復元が可能かどうかを試行し、不正の隠ぺいを明らかにする。そして、得られたデータを分析し、意味のある情報を抽出すれば、証拠として採用するべき情報が特定できる。最後に、内部調査や裁判において、結果を報告する。
より具体的には、デジタル・フォレンジック研究会が発行する「証拠保全ガイドライン」(PDF)が参考になる。
デジタルフォレンジックをめぐる課題
デジタル機器の増加に伴い、フォレンジックの対象となる端末数の増加や、取り扱うデータの大容量化が進んでいる。その影響で、フォレンジックに要する時間が延びてしまうという課題が指摘されてきた。全てのデータを複製し、証拠として分析するのが難しくなっているのだ。
そこで、「ファスト・フォレンジック」の技術が新たに注目されてきている。「早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出およびコピーし、解析すること」を目指すファスト・フォレンジックは、今後もとどまることのないデジタル機器、データの増大を受け、より広範に採用されていく可能性も見込まれる。
デジタルフォレンジックを進める上では、内部統制の観点からも、システムの観点からも、予防的な視点を持ち、事前の対策が求められている。メール内のデータを高速検索可能な状態で保管することや、機密データの消去を徹底するシステム・プロセスを導入する、といった方法で不正に対するリスクを軽減するようにしたい。
他にも、機械学習を保全データの解析プロセスに活用するなど、新しい技術の取り込みも進んでいる。自社のデジタル活用の度合いに合わせ、適切なデジタルフォレンジックの方法を選択し、いざという時に備えてほしい。
