「デジタル鑑識」ってなにするの?
はじめに
弊社は社名を「デジタル鑑識研究所」といいます。
読んで字のごとくデジタル鑑識をサービスとして提供してる会社です。
さて、そもそも「デジタル鑑識って何?」と思いませんか?
デジタル鑑識は、別名「デジタルフォレンジック」といいます。
こちらの呼び方の方が一般的かもしれません。
とは言うものの、取引先などに自社の業務を説明しなければならないとき「デジタルフォレンジックです」とお伝えしても「デジタルフォレンジック???」と特大の疑問符付きで返されることが多々あります。
つまり、デジタル鑑識よりデジタルフォレンジックが一般的と言っても、世間一般にはほとんど知られていないサービスです。
デジタル鑑識の定義
さて、デジタル鑑識とは何をするものなのでしょうか。
端的に表現すると、「サイバー被害の証拠を可視化する」と言えるかと思います。
この表現は、必ずしも正確ではありません。なんとなくイメージしていただけるのではないかと考えた説明です。
では、正確な定義づけをしてみましょう。
NPO法人デジタル・フォレンジック研究会という団体があります。この団体は、法執行機関を始めとして、他の官公庁、民間企業において「デジタル・フォレンジック」の普及・促進を図り健全なIT社会の実現に貢献することを目的として設立されたものです。
この団体が、デジタル・フォレンジックについて次のような定義づけを行っています。
デジタル・フォレンジック研究会「デジタル・フォレンジックとは」から引用
インシデントレスポンスや法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術
何を言っているのかよく分からないと思います。
まず初めに出てくる「インシデントレスポンス」が何かということろから難解です。
同じくデジタル・フォレンジック研究会によれば、インシデントレスポンスというのは
コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う
デジタル・フォレンジック研究会「デジタル・フォレンジックとは」から引用
とされています。
ますます分からなくなりました?
丸めて言うと、コンピューターが絡んだ危機的なできごとへの対応とういことです。
デジタル・フォレンジック研究会の定義は、正確で漏れがないように書かれているため、どうしてもくどくなってしまいます。
これは、法律が漏れのない表現を行う必要があるため、結果として難解な文章になってしまうのと同じです。
これに対して、弊社が使用しいてる
「サイバー被害の証拠を可視化する」
という表現は、分かりやすくて、なかなかの優れものだと自負しています。
証拠の可視化
次に、証拠を可視化するということについて説明します。
コンピューターが扱うデータは、突き詰めれば0か1の電気信号です。
これは目に見えません。いや、私は見えるぞという人がいたらすごいです。
一度病院で診てもらってください。
さて、目に見えないデータを目に見える形にする。つまり、可視化する技術がデジタル鑑識というわけです。
これは、警察の鑑識と同じです。
ですから、代表が警視庁出身である弊社は「デジタル鑑識」という言葉を使用しています。
警察の鑑識も目に見えない指紋や血痕を検出して犯罪の証拠を明らかにします。
また、そういう化学的な検出だけにとどまらず被害現場の状況、すなわち、破られた窓ガラスや散乱した室内の状況などを詳しく記録して、犯人がどこから入ってきたのか、そこで何をやっていたのかを合理的に証明していくのも鑑識の仕事です。
デジタル鑑識も同じようなことをやります。
攻撃者がどのようにして侵入したのか、何をやっていったのか、盗まれた情報は何かといったことを、点と点を結んで線にして、その線を組み合わせて一枚の見取図に仕立てていく作業です。
デジタル鑑識が活躍する場面
デジタル鑑識がどういうものかお分かりいただけたかと思います。
それでは、実際にデジタル鑑識が活躍する場面について見ていきましょう。
デジタル鑑識が活躍する場面は、大きく分けると次の四つが挙げられます。
- サイバー攻撃
- マルウェア感染
- 内部不正の疑いがあるとき
- eディスカバリー
1.サイバー攻撃
これは読んで字の如くです。
ですが、一口にサイバー攻撃といっても、いろんなパターンや種類があります。
まず思いつくのが「不正アクセス」ではないでしょうか?
アカウントの乗っ取りやパスワードを破られてシステムを勝手に使われてしまうような被害です。
実は、不正アクセスの手法は、ものすごくたくさんあります。
それを説明し始めると、それだけで一冊の本になってしまうくらいですので、ここでは詳細には触れません。
少しだけ例を挙げてみます。
SQLインジェクション
サーバーサイドリクエストフォージェリ
バッファオーバーフロー
ディレクトリトラバーサル
SQLインジェクションは、不正アクセスの手法ではると同時に情報を抜き取ることを目的としています。
古典的な手法ではありますが、いまだにこれによる情報漏洩被害が後を絶ちません。
企業としては油断のならない相手だといえます。
2.マルウェア感染
これもサイバー攻撃の一種ですが、向こうから攻撃を仕掛けてくるというより、こっちのミスやうっかりにつけ込んで悪さをしてくるという特徴があります。
もちろん、サイバー攻撃もこちら側のシステムに設計ミスや穴が開いているところを狙ってくるわけですから、似ているといえば似ています。
ですから、それほどに厳密に分けて考える必要はありません。
マルウェア感染で真っ先に思いつくのが「ランサムウェア」ではないでしょうか。
「ランサム」というのは「人質」という意味で、それにソフトウェアの「ウェア」を合わせた造語です。
これは、感染したコンピュータや、それがつながっているネットワークの中にある他のコンピュータなどのハードディスクに記録されているファイルを暗号化して、正規のユーザーがファイルを使えないようにしてしまいます。
そして
「へっへっへ、俺はお前らのファイルを暗号化したぜ。元に戻して欲しかったらカネを払いな」
と恐喝してくるものです。
ランサムウェアの悪質なところは、ファイルを暗号化する前に、ハードディスクに記録されている情報をごっそり抜き取っていくものがあることです。
これのどこがいやらしいかというと、
「身代金を払わないなら抜いた情報をリークしちゃおっかなぁ」
といったノリで二重の脅しをかけてくるところです。
そして、実際に身代金の支払いを拒否した結果、犯人に機密情報をリークされてしまった企業も少なくありません。
これでニュースになったものとして、大手ゲーム会社「カプコン」の事件が記憶に新しいところかと思います。
「サイバー攻撃」と「マルウェア感染」は、そのままサイバー被害ということでイメージしやすいと思います。
そして、これらについて「どこから侵入したのか」「何をしていったのか」などをデジタル鑑識が明らかにします。
3.内部不正の疑い
これも字面のとおりです。
組織内で行われるよからぬことの総称です。
例を挙げてみます。
「産業スパイ」
これは、内部の人間が企業秘密を他社に開示したりするものです。
これに対しては、不正競争防止法でかなり重い罰則が規定されています。
「職務専念義務違反」
サイバー関係いのでは?
いえいえ、そんなことありません。
仕事中にエロサイトを巡回したり、株式投資をしたり、暗号資産のマイニングやったりしていませんか?
大丈夫ですか?
本当に大丈夫ですか?
「不正会計」
「内部統制の無効化」
「会社資産の不正流用」
など、たくさんの内部不正が考えられます。
超過勤務の不正申告も含まれます。
カラ超勤でお金をもらおうと考えるとデジタル鑑識で裏を取られてしまいますよ。
4.eディスカバリー
これは、アメリカの民事訴訟で使われている用語です。
彼の国の法律では、原告被告のどちらも、法的要求に応じてコンピュータなど保存されている全ての関連データを証拠として期限内に提出しなければならないと義務づけられています。
これにより提出する証拠は、自分に有利なものだけを出せばいいというものではなく、不利になると分かっていても出さなければなりません。
この作業は、被害の原因や被害状況を把握するためではありません。
従って、前の三つとは少し毛色が違い、データの抽出とレビューといった作業がメインになります。
その過程でデジタル鑑識の技術が使われることになります。
おわりに
デジタル鑑識が何をするものなのか、なんとなくお分かりいただけたでしょうか。
デジタル・フォレンジック研究会が次のように言っています。
近年、企業活動においてコンプライアンスの問題がクローズアップされるなど、組織及びその構成員の行動が社会規範に照らして容認されるものであるのか、その正当性が問われる時代となっている。また、企業等における危機管理の一貫としてインシデントレスポンスの重要性が高まっているところであり、これらの問題の対応如何により企業等の死命を制する場合も生じてきている。更に、企業活動の国際化に伴う国内外の法的紛争に備えておくことも企業にとって必要不可欠なこととなってきている。
デジタル・フォレンジック研究会「設立趣旨」から引用
企業等における危機管理の一貫として、そして国内外の法的紛争に備えるためにデジタル鑑識が必要不可欠だということです。
