信用できるフォレンジック業者の見分け方

2022年7月20日 最終更新日時 : 2023年12月11日 中村 健児
目次

できないものはできない

ランサムウェアにより暗号化されたファイルは、犯人から復号化鍵を手に入れない限り元に戻せないということは別の記事で詳しく解説しました。

ランサムウェアで暗号化されたファイルは復元できません

相変わらずランサムウェアの感染被害が続いています。 複数台の端末でデータを共有しやすくなることから小規模オフィスや家庭内にNASを設置しているところもあるかと思い…

デジタル鑑識研究所

「ランサムウェアで暗号化されたファイルの復元に成功!」という成功事例を掲げている業者がありました。
よくよく記事を読んでみると「お客様から鍵の入ったUSBメモリーをお預かりして」と書いてありました。

なんのことはない、お客様に身代金を支払わせていたのです。

犯人から鍵の交付を受けていれば暗号を解除することは可能です。
ただし、それですら100%のファイルが元に戻る保証はありません。場合によっては、復号化に失敗するケースもあります。

また、別の技術として「削除ファイルの復元」があります。
これをあたかも暗号化ファイルの復元であるかのように説明するところもありあす。

そのほか、運良く削除されずに残っていたスナップショットなどのバックアップファイルから復旧できることもあり、それを暗号化ファイルの復元と称していることもあるようです。

上の二つは、確かにファイルが復元されていますから「ファイル復元」あるいは「ファイル復旧」としては間違いありません。
しかし、ランサムウェアにより暗号化されたファイルの復元では決してありません。暗号化されたファイルの復元と説明した瞬間に、その説明は嘘となります。

この記事を執筆している時点において、日本国内で「AES暗号の解読」ですとか「AES暗号の復号化」といった技術で特許が取得されている事実はありません。

前払い結果無保証

デジタルフォレンジックは、解析を行なった結果、期待したような情報が得られない場合もあります。
そのため、ほとんどの業者が約款または契約書に「結果の無保証」をうたっています。

当社の約款でも結果の無保証をうたっています。

第 7 条(結果の無保証) 電子データの状況によっては、調査依頼項目に関連した結果が得られない場合があります。

当社「デジタル鑑識業務約款」から抜粋

デジタルフォレンジックの対象が目に見えないデジタルデータであり、あらかじめ結果を予測することが難しいという特性を有するものである以上致し方ないことであり、お客様にご容赦を願っているところです。

ところが、これをいいことに、着手金などの名目で前払金を請求する業者があります。

前払金自体が問題になることはありません。
しかし、きちんとした解析や調査を行うことなく、「期待するデータが得られませんでした」という報告を行い「結果無保証なので」満額を請求することも可能です。

証拠を壊す

さらに悪質な業者になると、お客様からお預かりした証拠を壊します。

解析の過程で証拠のデータが破損する可能性は否定できません。
ですが、普通の証拠保全を考えている業者であれば、預かったハードディスクなどの証拠に対して直接解析を加えることはしません。

まず、証拠の完全な複製を作成します。
そして、証拠原本と複製に記録されているデータの同一性をハッシュ値により確認します。
その上で、複製に対して解析を行いますが、その際にも誤って複製に変更を加えてしまうことを防ぐためハードウェア的に書き込み防止ができる装置を介して解析を行うのが大原則です。

これだけの手続きを踏めば、お客様から預かった原本を破損させることはまず考えられません。
保管が杜撰であったとか、原本と複製を取り違え、なおかつ書き込み防止の措置をとらずに直接解析を行なったとかの場合にしか起こり得ない現象です。

では、なぜ通常起こり得ない証拠の破損が生ずるのでしょうか。

それは、再解析の妨害です。
証拠の原本が残っていると、別の業者が解析を行なったときに自社では出なかった情報が出てしまう可能性があります。
ところが、証拠が破損してしまえば再解析にかけられることもなく、自社の結果が最終となります。

デジタルフォレンジック業者には二種類がある

デジタルフォレンジックの結果に違いが出るのは、業者が二種類に分けられるからです。

  • フォレンジック用ツールを回すだけの業者
  • 証拠からストーリーを語れる業者

この二種類です。

デジタルフォレンジックは、専門のツールが存在します。そして、それらで証拠を解析すると様々なデータが可視化されます。
中には、結果が簡単なレポートとして出力されるものもあり、その内容を写し取ればなんとなくそれらしい報告書ができあがります。
しかし、それは、あくまでも「データを抽出した結果」の羅列にすぎません。それだけでは、事案の全体像を把握するには情報量が少なすぎます。

サイバー攻撃は

  • 初期侵入
  • 権限昇格
  • 永続性確保
  • 組織内展開
  • 情報の窃取
  • 攻撃の実行

といったような流れを踏むのが一般的です。
ツールで抽出できたデータを縦横無尽に組み合わせ、上のような物語を作り上げるのがデジタル鑑識です。データの提示だけでは足りないのです。

さらに、ツールで抽出できないデータの中に重要な証拠が残されていることもあります。そのようなデータはアナリストが手作業で抽出して解釈を加える必要があります。

信用できるフォレンジック業者の選び方

  • できないことを「できない」と言える
  • 前払金を要求しない
  • 証拠破損の口コミがない
  • 報告書のサンプルを公開している
  • 各種料金を公開している

これらを満たす業者が信用に足りるといえます。

カテゴリー
デジタル鑑識
タグ
デジタルフォレンジックデジタル鑑識ランサムウェア悪徳業者悪質業者
前の記事
ランサムウェアで暗号化されたファイルは復元できません
2022年7月16日
次の記事
スケアウェアってなんですか?
2022年8月9日