2. 用語上の定義 フォレンジック(ス) Forensics Webster によると “ the application of scientific knowledge to legal problems; especially : scientific analysis of physical evidence (as from a crime scene) ” Forensic Science は「法科学」と訳される Forensic Medicine: 法医学 Forensic Chemistry: 法化学??? 日本では日本法医学会 日本法科学技術学会などが活動 デジタルフォレンジックスはこれのデジタル版 Computer Forensics の拡大版 あらゆる電子証跡を扱う学問 形容詞が Forensic 発音は f?-?ren-sik(s) の方が 一般的 4. 実例その1 某不正アクセス禁止法違反裁判の公判にて 「起訴状別紙には、 7 回にわたる ASKACCS へのアクセス行為の時間が書かれているが、この事実は認めますか?」 「回数や時間は覚えていません」 (中略)「ではサーバのログにアクセスの時間などが記録されて残っているのかは知っていますか?」 「ログが残っているのは知ってますが、 そのログが真正であるかどうかはわかりません 」 「じゃあログが真正であると立証されれば、内容を認めますか?」 「立証されてから答えます」 真正である、ということを立証するためには? 6. デジタルの世界は監視社会? IT の世界になって、 人々の行動記録はむしろ残りやすくなった 「ロカールの交換原理」がここでも働いている 例えば昔、人が電話で会話していた頃、 会話の記録は全く残らなかったが???? メールがアタリマエの時代になって、 全ての会話の記録が残るようになった 特に企業内不正?組織不正では絶大な威力 エンロン事件など 7. 普通の人は 思わぬ証拠に気付かない IT の世界では、大量の情報が 利用者の意識しない間に蓄積されてゆく 例えば写真の場合、アナログなら??? 時系列は写真の内容とフィルムの前後関係から類推 指紋、フィルムや印画紙の銘柄??? ところがデジカメの写真は 大変重要な情報をたくさん蓄積している! 撮影日時、カメラの機種、撮影時のカメラ設定 使用したツールによっては「撮影者名」も GPS 付き携帯電話等なら「撮影場所」も 10. 改めて デジタルフォレンジックとは インシデント?レスポンス ※ や法的紛争?訴訟に対し、 電磁的記録 の証拠保全及び調査?分析を行うとともに、 電磁的記録 の改ざん?毀損等についての分析?情報収集等を行う一連の科学的調査手法?技術を言う。 ※ コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う。 ( NPO デジタルフォレンジック研究会による定義) 11. ポイントは??? 電磁的記録(電磁的証跡,電子証拠) (digital evidence / e-evidence) は: 削除がとても簡単 捏造が比較的簡単 大量のデータからのマイニングで恣意的解釈が可能 技術的に高度なので法曹関係者に評価しにくい (民事だと原告被告間のコンセンサスも必要) 必要なのは「信頼できる技術」と 「正しい運用プロセス」の確立 単なる技術だけでなく「 法曹から受け入れ可能 」でないと ( Forensically-sound) 12. 何のために必要? 責任を追及するため 刑事において:警察?検察が運用 民事において:専門の資格を持つ人?会社? 裁判になる前の「内部調査」も含む (たとえば社員の内部不正があった場合) 事故(インシデント)原因を究明し再発防止 犯罪性の有無の切り分けも 自らの無実を証明するため 特に「踏み台」問題への対応 参考:プロバイダ責任制限法 実際には システム管理者が 行っているのが 現実 13. システム管理者にとっての デジタルフォレンジック 平時の対応 緊急時の対応 情報システム 管理者 システム管理者 又は外部の専門家 分析? 整理 された 証拠 管理者や 専門家へ: 原因究明と 再発防止 被害拡大抑止 弁護士等へ: 法的交渉や 民事訴訟 捜査機関へ: 刑事訴訟 信頼できる認証基盤の確立 通信や操作記録の収集?保管 記録やログの消去改竄抑止 ログや記録の定常的検査に よるインシデント発見 など… 電磁的証拠の保全と収集?解析 収集過程と解析結果の文書化 証拠改竄?毀損の有無の確認?立証 証拠保全後のシステムの速やかな回復 など… 法的対応 従来のインシデント レスポンス 事件?事故の 発生 インシデントや訴訟係争の発生/情報漏えい? 内部不正の発覚など 16. 主な Issue 技術分野 証拠保全技術 事前処理(ログ記録?保管技術???) 事後処理(正しい「証拠保全」のあり方) 証拠収集技術 データ収集技術そのもの(含むファイル復活) データ分析技術、検索技術 (場合によっては)暗号化解除技術 証拠分析技術 文書マイニング?画像映像解析?フォーマット解析 法曹分野 技術の評価と法的位置づけの確立 電子証拠収集プロセスの確立と評価 17. 証拠保全の技術 事前対策 基本的にはログの確実な保全( WORM 利用など) さらに改竄防止、時刻+存在証明(ハッシュ、タイムスタンプ署名) ネットワーク向け侵入検知システム (IDS) 究極には「全部記録」:通信パケットを全部保管するなど 事後対策 メモリや磁気媒体の複製+保全(ハッシュ) 最近磁気媒体が大きくなりすぎて問題に その他のデータ収集(意外なところでは BIOS の CMOS など) 基本的には「複製」するのでその真正性がキモ 作業記録と、複数人 or 第三者の立会い、外部による証明 19. RFC にもなっている( 3227 ) Guidelines for Evidence Collection and Archiving 遵守すべき事項として主に システム全体を証拠保全すること 証拠保全の作業内容を時刻を含め記録すること bit 単位のデータ保全を行い、収集による副作用を最小限にとどめるよう努めること 収集を揮発性の高いものから低いものの順に行うこと 避けるべき事項として主に 証拠収集が終了するまでシャットダウンするな ネットワーク接続断も避けよ 実際にはジレンマ (被害拡大防止の観点から) 20. パソコンの場合の証拠押さえの 標準化 米国司法当局には Standard Operating Procedure (SOP) というのがある ???日本には? 本があるくらい。羽室英太郎氏?大橋充直氏 「 Forensic Examination of Digital Evidence :A Guide for Law Enforcement 」 あと cybercrime.gov に 各種ガイドラインやマニュアル 21. 基本的なプロセスは「現状保存」と ハードディスクの複製、内容解析 PC 等の押収 PC の BIOS 設定確認?変更 証拠保全?解析用 HDD の準備 関連するファイル等の確認、印字 PC の CD 起動等/ HDD を DF 用 PC に外付け HDD の物理コピー (保全用?解析用) 削除?隠蔽データの復元、内容確認、印字 報告書(鑑定書)作成 証拠取得 解析 DoD 等の規格に基づく消去 パスワードリカバリーを含む Tag & Bag 押収 報告書作成 複製元 HDD への 書込み防止ハッシュ値 による検証 タイムスタンプ等の書換え防止 内蔵 HDD 起動-> CD 起動等 23. 証拠収集?分析の技術 主なターゲットはファイル ファイル収集技術 特に削除ファイル?物理的に破壊された媒体の復活 ファイルの分析技術 ファイルそのものの分析(タイムスタンプ、所有権等) データの分析?ログの分析 データ分析には多様なアプリケーションへの対応が必要 大量になっている場合は適切な検索技術 暗号化されている場合は解読技術が必要 最近は媒体の暗号化が進んで困難に その他の分析技術 ファイルシステム内の解析 証拠隠滅作業の痕跡など ネットワークに関しても同様 24. 外部記憶(特に HDD )の 消去データ復元?完全消去問題 ファイル復元は証拠隠滅への対抗策 純粋に「データ復活」はニーズが多い 完全消去は??? Anti-forensics や情報漏洩対策として PC の廃棄時などに特に問題になる Forensics の「正しいプロセス」の一環として 証拠保全に使われるハードディスク等は 「完全に消去」されたものであることが望まれる FBI や警察庁のマニュアルはそれを求めている 27. 物理的破壊からの復元 ハードディスクは??? 単に磁化が弱くなっただけ ならソフトで直ることも HDD Regenerator など メディアが無事なら復元の 可能性は高い(部品交換) クリーンルーム作業が必要 物理的衝撃で壊れるのはプラッタよりヘッド 逆に確実な消去のためにはプラッタの物理的 / 電磁気的破壊が手っ取り早い そういうツールが普及している 30. 写真の改竄は容易だが 発見もそれほど難しくない 切り貼りした部分には必ず「不連続性」がある 通常のツールではそれを隠蔽するのは大変困難 頑張れば 電算処理で随分高度なことができる 2004 年 米国大統領選挙 ブッシュ候補の CM より Scientific American 電子版 “ Digital Forensics: 5 Ways to Spot a Fake Photo” by Hany Farid 2008 年 6 月 2 日 31. 最近脚光を浴びる デジタルフォレンジック 原因:日本版 SOX 法=新会社法、金融商品取引法 会社の監査の新しい仕組み: 2008 年 4 月以降適用 ただし上場企業のみ 会計監査という「結果」だけではなく、その事業期間において経営陣から従業員に至るまでの「内部統制」がきちんと 成立していたことを客観的に評価可能にする必要 米国では「荷が重い」と批判->日本版は「 IT 統制」がキーワードに IT を使って負担軽減(本当????) ということは内部不正はデータの改竄から始まりかねない ->デジタルフォレンジックがちょっとしたブームに 32. 米国では Discovery が キーになっている 日本では民事裁判における証拠は被告原告とも自ら集めなくてはならない 被告が自分に不利な証拠を隠しやすい Discovery がある国(米国など)では 「相手が持つ証拠の開示」を請求できる この際に不利な証拠を隠したと 推定されるような状況になると 大変不利になる E-Discovery: デジタル版 Discovery それを行う専門企業が多くある 33. 日本での学会の動きは 残念ながら低調 日本法科学技術学会では「伝統的法科学の対象が デジタル化した」ことに対応した研究発表は多い しかし「デジタル情報そのもの」を対象にした 研究はほとんどない 同学会は 科学警察研究所 のサポートだが 日本の警察でデジタルフォレンジックを所掌しているのは 管区警察局に置かれた情報通信部情報技術解析課 2004 年 NPO デジタルフォレンジック研究会が発足 会長:辻井重男(情報セキュリティ大学院大 前学長) 法曹界(大学、弁護士)、監査業界(監査人)、技術(企業、大学)から多数参加 技術系の研究者が少ないのが残念 34. 国際的には??? 2001 年 Digital Forensics Research Workshop (DFRWS) 開始 2004 年 IFIP TC11 に WG11.9 として Digital Forensics が発足 毎年学会開催 その後 e-Forensics, IEEE/WIFS など 比較的規模の大きな学会が現れる 2004 年 Journal として Digital Investigation 創刊 その後 Journal of Digital Forensic Practice , ADFSL The Journal of Digital Forensics, Security and Law , IEEE Transactions on Information Forensics and Security など 35. 最近活発に見られる主な研究 (1) 新しい記憶メディアや記憶装置への対応 高度化?大容量化する RAID への対応 フラッシュメモリ? SSD ? USB メモリへの対応 新しい電子デバイスへの対応 PDA 携帯電話 ゲーム機 家電??? 日本では IC カードも課題 データ収集?分析技術の発展 より高度な File carving, 主記憶からのデータ収集 主に文書に対するマイニング技術の応用 36. 最近活発に見られる主な研究 ( 2 ) 画像の分析,音声の分析 大量データからの人の顔?音声の同定と抽出 デジカメ画像からのカメラ機種推定?個体同定 ( Toolmarking) 電子メールや文書の分析 筆者の推定( Authorship Attribution ) 文書作成に使ったソフトウェア?ツールの同定 他分野との連携 交通機関?工場内システムに残ったデジタル情報の取扱など??? 37. ここ数年活動して??? 日米格差に愕然 米国では、 80 を超える大学に Digital Forensics に関するコースがある FBI は全国にラボを持ち教育中 研究会に警察や軍の人が結構顔を出す そして発表する?! 日本では?? 裁判員制度時代を迎えて???? 38. 終わりに 日本ほど高度に IT が使われている社会に おいて、「デジタルのデータ」が法廷で どのように扱われるかについてあまりに 社会の関心が足りないのでは?! デジタルフォレンジックは他の情報科学分野と密接に関わっている もっと多くの研究者の関心を! 例えば個人的には「ソフトウェアのフォレンジック」 が今後問題になるのではと??? 39. 参考となる文献 @police 佐々木良一先生によるコラム http:// www.cyberpolice.go.jp/column/explanation08.html セキュリティ解説「デジタルフォレンジック」 COMPUTER & NETWORK LAN 2005 年 3 月号「デジタルフォレンジック特集」 日本セキュリティマネジメント学会誌 「デジタル?フォレンジック特集」 第 22 巻 3 号 23 巻 1 号( 2008 年 12 月 09 年 3 月) 佐々木良一「ディジタルフォレンジックの最新動向」電子情報通信学会誌, Vol.91, No.8(2008 ) 上原「ディジタルフォレンジック : 電磁的証拠の収集と分析の技術」情報処理 , Vol.48, No.8(2007) .
