サイバー攻撃の激化・高度化を背景に、デジタル端末を対象にした犯罪捜査の重要性が高まり、デジタルフォレンジックと呼ばれる手法を活用する動きが広まっている。この記事では、サイバー犯罪におけるデジタルフォレンジックの概要や活用シーン、犯罪捜査プロセスの概要について解説していく。
サイバー犯罪におけるデジタルフォレンジック
フォレンジック(Forensics)とは、犯罪を裁くために法的な証拠を探し出す手続きや、それを実行する技術を指す。そのうち、コンピューターやハードディスク、各種デバイスを対象に実施するものは「デジタルフォレンジック」と呼ばれる。具体的には、デジタル端末に記録された情報の分析や調査、証拠保全を行う手続きが含まれる。
デジタルフォレンジックでは、サイバー犯罪の被害に遭遇した際に、その原因究明や犯罪捜査における証拠の確保を目指す。つまり、「いつ、どこで、誰が、何を行ったか」を解析し、犯罪の痕跡を特定していくプロセスだとみなせる。また、犯罪を隠蔽するようログの消去や改ざんされているケースでは、攻撃者が証拠を隠滅したデータを復元する手続きが含まれる場合もある。
日本では、2004年にはNPO法人である「デジタル・フォレンジック研究会」が設立され、関連する研究や啓蒙が行われてきた。国内で、不正アクセスが原因でクレジットカード情報が漏えいした際に、第三者機関によるフォレンジック調査が行われるなど、その認知は着実に広がりつつある。
デジタルフォレンジックが実施されるケース
近年のサイバー攻撃の多様化・巧妙化により、多くの企業が脅威に晒されている状況にある。不正アクセスのリスクはかつてなく高まっており、企業規模の大小を問わず、いつ被害に遭遇してもおかしくはない。サイバー攻撃を受けた際には、以下のようなケースでデジタルフォレンジックが実施されることがある。
1)マルウェアへの感染
パソコンやサーバーのログを調査・分析し、マルウェアが感染した経路や影響範囲を特定する。例えば、ランサムウェアによって社内サーバーにあるファイルが不正に暗号化されていたケースで、従業員の端末を解析し、感染経路を明らかにするといった調査が行われる。影響を受けたシステムの復旧や、その後の防御策の立案に活用できる。
2)重要な情報の流出、漏えい
攻撃者による不正アクセスで社内の機密情報や個人情報が窃取されると、大きな被害に発展する恐れがある。ネットワーク経由で情報が盗まれた場合、ネットワークの通信ログを分析し、どういった情報が盗まれたかの特定を目指す。被害者の補償や、犯罪捜査の証拠として、できるだけ正確に状況を把握する必要がある。
3)Webサイトの改ざん
Webサーバーやネットワーク機器の脆弱性を突いて社内のサーバーへ侵入し、Webサイトを不正に改ざんする攻撃が知られている。Webサイトの改ざんにより、訪問したユーザーが副次的にマルウェアに感染してしまう、あるいはフィッシングサイトへ誘導されてしまう、というリスクが生じる。デジタルフォレンジックでは、改ざんされたデータの履歴調査、あるいは不正アクセスを行ったアクセス元を追跡するなどして原因を調査する。
デジタルフォレンジックを使った犯罪捜査のプロセス
デジタルフォレンジックを実施するためには、事前に適切な準備をしておく必要がある。具体的には、ストレージのバックアップを取得する、ネットワークのログを取得しておく、といった対策が基本となる。そして、こうした対策を事前に講じていない場合、被害範囲の特定や原因究明は難しくなる。
加えて、インシデント発生時の対応ポリシーや人員の編成についても、基本計画を策定・周知しておくのが望ましいだろう。具体的には、インシデント発生時において、以下のようなプロセスの実施が考えられる。
1)初動対応と応急処置
サイバー攻撃を検知した際に、被害の状況や調査の対象となるデジタル端末、通信環境を把握する必要がある。サーバー、ネットワーク、パソコン、モバイル機器、外部クラウドサービスなど、その対象は広範囲に及ぶ場合があるからだ。並行して、被害や業務への影響を最小限に抑えるための応急処置も求められる。
2)証拠保全
被害に遭った端末や、感染経路となった端末内のデータを適切に保全する手続きを踏む。証拠となるべきファイルを誤って上書きしたり、コンピューターを停止・再起動してしまうことで保全が難しくなる恐れがある。保全する対象はコンピューターのハードディスクやメモリー、モバイル端末、メール、ファイアウォールのログ、クラウドサービスやVPN(Virtual Private Network)のアクセスログといったものが該当する。
3)詳細分析
攻撃者が証拠隠ぺいのためにデータを消去・破壊した場合、データの復元処理を実施しなければならない。そして、マルウェアの痕跡を見つけ出すよう、復元されたファイルやレジストリを分析する。加えて、マルウェアが検出された場合には、既知のものなのか、未知のものなのか、といった分析も必要となる。
4)事後対応(報告、回復)
サイバー攻撃の原因が特定されれば、その問題の解決を目指す。また、並行してIT環境の復旧を進める手順を進めていく。
復旧対応が完了した後に、再発防止策の策定も必要だ。ほかにも、情報漏えいが発生した場合には、経営層や顧客・取引先、監督官庁へ報告する義務が生じる場合がある。事前に策定した行動指針に従って、適切な対応が求められる。
内部不正におけるデジタルフォレンジック
デジタル関連の被害は外部からのサイバー攻撃によって生じるものという印象を抱く人も少なくないだろう。しかし、実情としては組織内部の不正が原因となっているケースも多く見られる。そういった問題が生じた際に、デジタルフォレンジックによる調査・分析を実施する必要がある。
近年、従業員・退職者・業務委託先による、機密情報や個人情報の漏えいが報じられる事例が見受けられる。悪意のある不正行為による被害もあるが、意図していないヒューマンエラーによって引き起こされるインシデントについても対策を考慮しなければならない。
例えば、退職者による情報の持ち出しが情報漏えいにつながったのであれば、社内システムへのアクセスログ、あるいは貸与していたパソコンやスマートフォンなどの端末内のフォレンジックを行うことになる。仮にアクセスログが改ざんされている場合、改ざん前のログへの復元を試みる。そして、ログを根拠にして、不正行為に関与した人物を特定する手続きがとられる。
また、粉飾決算・横領・残業代の不当請求・ハラスメントといった問題に際しても、証拠となるファイルやログが隠蔽されるケースもあるため、デジタルフォレンジックが活用される場合がある。
なお、削除されたデータの解析や復旧といった作業が含まれるデジタルフォレンジックは、非常に高度な技術が求められる。そのため、専門の業者に委託(アウトソーシング)するのが、現実的であり、かつ一般的な選択肢だろう。
ただし、先述のように、デジタルフォレンジックを実施するためには、事前の適切な準備が求められる。専門の業者にすべてを任せるのではなく、自社で実施すべき作業は自社で完了させておくべきだ。策定したポリシーなどを元に、従業員それぞれがインシデント発生時の対応策を理解しておく必要がある。
インシデント発生時の体制を構築するのは、内部不正の抑止力ともなり得る。内部不正の証拠が残るとわかれば、悪意を持って不正を働く機会の抑止が期待される。激化・悪質化するサイバー攻撃に対する備えに加え、内部不正の抑止力という観点も踏まえて適切な対策を講じておきたい。