今やコンピュータシステムは企業のあらゆる部署で使用されており、財務情報、販売情報、人事情報、生産情報、顧客情報など様々な機密情報を処理・管理するとともに、社内外をつなぐコミュニケーションネットワークの要でもあります。
そのために情報漏えいや横領などの不正が企業内で行われたときには、何らかの痕跡がコンピュータシステムの中に残ります。そこで、注目を集めているのが「デジタルフォレンジック」の技術です。
デジタルフォレンジックとは
「フォレンジック」とは、犯罪捜査において証拠を見つける「鑑識」や「分析」を意味する言葉で、「デジタルフォレンジック」はコンピュータシステムの記録媒体に保存されているデータを収集・分析し法的証拠を探し出す技術のことです。現在では民間企業だけでなく、警察、検察庁、金融庁等の公的機関においても導入されています。
デジタルフォレンジックが我が国で注目され始めたキッカケとなったのは有価証券報告書虚偽記載で堀江貴文氏ら数名が実刑判決を受けたライブドア事件ですが、現在はさらにデジタル化・IT化が進み、デジタルフォレンジックの対象となるインシデント(事件)は多岐に渡ります。
主なインシデントの種類
- 情報流出、データ破壊
- 不正プロクグラムの実行
- 不正アクセス・不許可の持ち出し、コンプライアンス違反
- 設定ミス、操作ミス、物理的故障
- システム悪用、破壊行為、内部犯行
また、データを記憶する媒体もさまざまな姿となり、仕事や個人の生活に浸透しているため、調査対象となる機器は年々増加しています。
調査対象となる主な記録媒体
- コンピュータ( タブレット / ノートPC / デスクトップPC /サーバ 等 )
- ネットワーク機器
- ハードディスクドライブ
- ストレージメディア( CD / DVD / ブルーレイディスク / フラッシュメモリ等 )
- 通信端末( 携帯電話 / スマートフォン / タブレット端末等 )
- 音楽プレイヤー、ゲーム機器、ICレコーダ
- ストリーミンクグデバイス( Chromecast9 / Fire TV Stick10 等 )
- スマートスピーカー、スマート家電等
さらに、インターネットなどの普及でログがネットワーク上に残されている可能性も増えています。
調査対象となる主なソフトウエア
- OS(オペレーティング・システム)
- Webやメール等のアプリケーション
デジタルフォレンジックが使われた事例
ここからは、いくつかの事件をもとに実際にデジタルフォレンジックの技術がどのように活用されたのかを紹介して行きます。
大阪地検特捜部主任検事証拠改ざん事件
事件の経緯
この事件はもともと「郵便不正事件」として報道されました。事件の経緯は、厚労省の木村元局長が障害保健福祉部の企画課長だった2004年当時、実体のない障害者団体「凜の会」を郵便割引制度の適用団体と認める虚偽証明書を発行したとして起訴され、2010年9月無罪判決が言い渡されたものです。
ところが、その後、本件を担当していた大阪地検特捜部の前田主任検事が、村木元局長を起訴した証拠であるフロッピーディスクのデータを改ざんしていたことが判明し「大阪地検特捜部主任検事証拠改ざん事件」へと発展し、大阪地裁は前田被告に対し証拠隠滅容疑で懲役1年6か月の判決を言い渡しました。
デジタルフォレンジックが果たした役割とは
前田被告によるフロッピーディスクのデータ改ざんが明らかになったのは、デジタルフォレンジック調査によって改ざんの証拠を発見できたからです。
証拠となったのは一太郎のフロッピーディスクで、データを更新するとファイルに記録される更新日付以外に、内部情報として別に更新日付を記録しています。そこで、内容を改ざんした後でファイルの更新日付を書き換えると、内部情報に記録されている本当の日付データと食い違いが発生するため、改ざんが判明しました。
文章ファイルを上書きした場合は、元のデータは消えてしまうと思われますが、アプリケーションによっては、上書きの都度ファイルを残すものがあります。この場合、デジタルフォレンジックによる復元作業を行うと元データのファイルを取り出すことができるので、上司からの指示で書き換えを行ったとういような場合にはきわめて重要な証拠となります。
大相撲八百長事件
事件の経緯
この事件は、2010年の大相撲野球賭博事件の捜査で、関与した力士から押収した携帯電話のメールの調査において発覚したもので、現役力士による大相撲本場所の取組に関する八百長事件です。
本場所の取組に関して力士同士が数十万円で白星を売買し、代金を受け取った力士は故意に負けるなどしていました。また、具体的な戦い方の内容についても事前に打ち合わせていたとされています。
最終的に八百長に関与していたのは力士や親方を含め25人が認定され、解雇や引退勧告などの処分が行われました。
デジタルフォレンジックが果たした役割とは
スマートフォンや携帯電話の調査を行うには、①データの取り出し ⇨ ②データの復元 ⇨ ③データの解析というステップが必要となります。本事件では、押収された携帯電話の多くは力士によって破壊された状態だったため、分解し基板からメモリチップを取り外してからデータを取り出しました。
最も困難で時間がかかるのは最後のデータ解析になりますが、ガラパゴス携帯と呼ばれる日本の携帯電話は、メーカーが内部構造を開示してくれません。
そこで、携帯電話やスマートフォンに特化した「モバイルフォレンジック」というフォレンジックツールを使用することによって、故意に削除された通話履歴の復元や、時には数千にもおよぶ過去の通話履歴の調査が可能となりました。 このツールは、オレオレ詐欺事件などの捜査の場合にも、証拠となる大量の携帯電話から削除されたデータの復元・解析にも期待されています。
パソコン遠隔操作事件
事件の経緯
この事件は、2012年に起きたサイバー犯罪事件です。一人の犯人が東京や大阪などの異なる地域に在住する4人のパソコンを遠隔操作し、2チャンネルなどのインターネット掲示板への書き込みやメールによって小学校の襲撃や無差別殺人などの犯罪予告を行ったものです。
犯人の手口は、「トロイの木馬」と呼ばれるマルウエア(悪意のあるプログラム等の総称)を4人のパソコンに仕込み、遠隔操作によって犯行予告の書き込みやメールを送信させていました。
警察は最初、書き込み時のログなどを手掛かりに送信元を突き止め4人の男性を逮捕しましたが、その後の調査でそれぞれのパソコンがトロイの木馬の一種に感染していることが判明し釈放。
その後、真犯人は報道機関や弁護士に対し捜査のかく乱を意図したと見られる何回かのメールを送り、2013年1月には最後となるメールで3題のクイズを送ります。
そのクイズを解くと、「ウイルスソフトを格納した記憶媒体を江ノ島に住むネコの首輪に付けた」という文章が見つかり、警察が江ノ島でそのネコを発見し首についていたSDカードを回収。 周辺の防犯カメラに写っていた容疑者の映像が逮捕につながったという、何ともあっけない幕切れでした。
デジタルフォレンジックが果たした役割とは
この事件のように犯人が高度なIT知識を持っている場合、犯行に使用したパソコンのデータは完全に消去されているケースもあり調査の難易度は高くなります。
この事件の場合は、犯行に使用した自宅のパソコンは、ハードディスクの全領域がゼロで埋め尽くされ復元が不可能な状態でしたが、犯行に使用した会社のパソコンは、仕事のデータなどもあり、自宅のパソコンと同様にゼロクリアはできずファイル本体は消去したが、その場所を示すパス名だけは残っていたとのことです。 削除されたファイルの復元は、検査、警察機関にも採用されている「ファイナルフォレジック」という証拠復元ソフトを使って行われます。ファイナルフォレンジックは、消されてしまったファイルの特徴となるヘッダ情報などをハードディスク上から検出し、ファイル復元を行いますが、今回の事件のようにファイル本体は復元できなくて、ファイル名だけが検出されることもあります。
サイバー犯罪の増加とデジタルフォレンジック
サイバー犯罪とは「コンピュータ技術及び電気通信技術を悪用した犯罪」のことですが、パソコンの普及とインターネットの利用によって到来したネットワーク社会において、ネットバンキング、Eコマース、SNSなど膨大な数の利用者がいるサイバー空間では、コンピュータ犯罪、不正アクセス、SNSなどを利用した犯罪が年々増加しています。
企業においては、情報の安全性と漏えい防止を保証するだけでなく、数億円を節約する戦略的なセキュリティ対策にもなります。米国では4割近くの企業がセキュリティ戦略の一形態としてフォレンジックツールなどを利用していると言われています。
企業内のコンピュータシステムだけではなく、匿名取引が可能で痕跡が残りにくいサイバー空間の特殊性にも対応できるのが「デジタルフォレンジック」の技術なのです。