Written by Aimee
大手日系企業でのマーケティング職を経て、2022年にフリーランスに転身。
要件定義〜保守まで行うウェブデザイナー、ライターとして活動しています。タイ、チェンマイを拠点に旅暮らし中。
目 次
フォレンジック調査とは
フォレンジック調査はなぜ必要なのか
フォレンジック調査が有効に活用された事例
フォレンジック調査の手順
フォレンジック調査でやってはいけないNG行為
フォレンジック調査を外部パートナーに依頼するメリット
フォレンジック調査を外部委託する場合の選定ポイント
フォレンジック調査のプロが、いち早い復旧を支援!「インシデント対応パッケージ」とは
まとめ
IT分野における「フォレンジック調査」とは、セキュリティインシデントが発生した際に、端末やネットワーク内の情報を収集し、被害状況を解明したり、法的証拠を見つけたりすることを表します。
フォレンジック調査の「フォレンジック」とは、直訳すると「法廷の」という意味で、法的な証拠を見つけるための技術や手順を指します。
フォレンジック調査は一般的に以下の4つのフェーズで構成されています。
- 1. 証拠保全
- 2. データの復元
- 3. 解析・分析
- 4. .報告
フォレンジック調査を行うことで、インシデントの発生原因を特定 できるだけでなく、インシデントの再発防止や法的証拠の確保が可能です。
この記事では、フォレンジック調査の概要、その手法について詳しく解説いたします。
▼この記事を要約すると
- IT分野で使用されるフォレンジック調査とは、セキュリティインシデントが発生した際に、端末やネットワーク内の情報を収集し、被害状況を解明したり、法的証拠を見つけたりすること
- フォレンジック調査には、「コンピュータフォレンジック」「ネットワークフォレンジック」「ファストフォレンジック」などの種類がある
- フォレンジック調査が必要な理由としては「インシデントの発生原因が特定できる」「インシデントによる被害の拡大を防止できる」「インシデントの再発防止につながる」「法的証拠を確保できる」などが挙げられる
- フォレンジック調査は一般的に、「1.証拠保全」「2.データの復元」「3.解析・分析」「4.報告」という手順で行われる
- フォレンジック調査を外部に依頼するメリットとして、「調査~結果までの時間が短縮でき、迅速に対策を打てる」「客観的証拠として認められる」「二次被害が発生する心配がない」などが挙げられる
フォレンジック調査とは
フォレンジック調査の「フォレンジック(forensic)」とは、犯罪や不正行為の証拠を収集・分析し、法的手続きに利用できる形で提供する科学的および技術的な手法を指します。
主に法医学の分野で使われることが多いですが、IT分野で使用されるフォレンジック調査とは、セキュリティインシデントが発生した際に、端末やネットワーク内の情報を収集し、被害状況を解明したり、法的証拠を見つけたりすることです。
具体的には、以下のような場面でフォレンジック調査が用いられます。
- ・ 不正アクセスされていないか確認してほしい
- ・ ランサムウェアに感染したのでどこから感染したか経路を調査してほしい
- ・ 不正行為の証拠となるデータが消去されてしまったので復元してほしい
またフォレンジック調査は、ただセキュリティインシデントが発生した原因を特定するだけでなく、更なる被害の拡大・再発防止に向けた対策を打つための情報源としても、重要な役割を果たします。
さらにフォレンジック調査により、適切な手順で収集・分析・保存されたデータは、「証拠の真正性(証拠が改ざんされていないこと)」「証拠の適法性(証拠が合法的に取得されたこと)」が確保されるため、裁判で有効性をもつ証拠として扱われます。
この情報は、企業(被害者側)が攻撃者を特定し、法的責任を追及するために不可欠な存在です。
フォレンジック調査の3つの種類
IT分野におけるフォレンジック調査には、主に以下の種類があります。
- ・ コンピュータフォレンジック
- ・ ネットワークフォレンジック
- ・ ファストフォレンジック
コンピュータフォレンジック
コンピュータフォレンジックは、コンピュータや記録媒体を対象にしたフォレンジックです。
ハードドライブ、メモリ、ファイルシステムなどのデータを収集し、不正アクセスやデータの改ざん、ウイルス感染などの証拠を解析します。
ネットワークフォレンジック
ネットワークフォレンジックは、ネットワーク機器を対象にしたフォレンジックです。
パケットキャプチャやログファイルの解析を行い、不審なネットワーク活動や攻撃の痕跡を特定します。
ファストフォレンジック
ファストフォレンジックは、早急な原因究明のために、必要最低限のデータを抽出・コピーし、分析する手法です。
通常のフォレンジック調査が時間をかけて詳細に行われるのに対し、ファストフォレンジックは緊急性が高い場合に、まず必要最小限の証拠を短期間で集め、インシデントの初期段階での状況判断を行うことに重点が置かれます。
ファストフォレンジックが用いられるケースとしては、サイバー攻撃が現在進行中である場合や、重要なシステム・データの保護に即時対応が必要な場合などが挙げられます。
フォレンジック調査はなぜ必要なのか
フォレンジック調査が必要な理由としては、以下4つが挙げられます。
- 1. インシデントが発生した原因を特定するため
- 2. インシデントによる被害の拡大を防ぐため
- 3. インシデントの再発を防ぐため
- 4. 法的証拠を確保するため
1.インシデントが発生した原因を特定するため
1つ目の理由は、インシデント発生時の原因を特定するためです。例えば、企業のシステムが不正アクセスの被害にあった場合、フォレンジック調査を行うことで、不正アクセスに利用された脆弱性などを特定できます。
サイバー攻撃の種類特定も可能なので、インシデントの詳細(どのような手法で攻撃が行われたのかなど)を、明らかにすることにもつながります。
2.インシデントによる被害の拡大を防ぐため
インシデント発生時は、感染拡大や攻撃者による証拠隠滅を防ぐため、セキュリティチームの正確かつ迅速な対応が求められます。フォレンジック調査によって、迅速に被害の範囲や影響を把握し早期に対策を講じることは、被害の拡大防止と着実な情報確保において欠かせません。
3.インシデントの再発を防ぐため
前述したように、フォレンジック調査では攻撃に利用された脆弱性やマルウェアの感染経路など、インシデントの発生原因が特定できます。
原因を明らかにすることで、「同様のインシデント発生を防ぐには、どういった対策が必要か」を検討し、適切な再発防止策を講じることが可能となります。
4.法的証拠を確保するため
サイバー攻撃の被害をめぐる裁判にて、有効性のある法的証拠を残す上でも、フォレンジック調査は欠かせません。
というのも、フォレンジック調査により集められるデータは、証拠の改ざんや損失のリスクが低く、裁判で高い信頼性を持つためです。例えば、フォレンジック調査によって「特定のIPアドレスから不正アクセスが行われたこと」や、「特定のネットワーク経路からマルウェア感染が行われたこと」を明らかにすることで、攻撃者の特定や責任の追及に直接役立ちます。
また、従業員や退職者による「内部不正」によって、情報の流出・横領が発生した際にも、犯人を特定・裁く証拠として、フォレンジック調査で得る情報が有用です。
フォレンジック調査が有効に活用された事例
フォレンジック調査を活用したことで解決された有名な事例に「パソコン遠隔操作事件」があります。
この事件は、犯人が他人のPCを遠隔操作して殺害予告や爆破予告などを行いました。遠隔操作に利用されたPCの持ち主計5名にあらぬ容疑がかけられ、このうち4人が誤認逮捕される事態となったのです。
実際には、誤認逮捕されたユーザーのPCは「トロイの木馬」と呼ばれるマルウェアに感染させられており、攻撃者がトロイの木馬を通じて、被害者のPCを遠隔操作していました。
また、犯人は「Tor」というIPアドレスを秘匿するソフトウェアを悪用することで、自身のIPアドレスを隠蔽し、遠隔操作の足取りをつかめないよう細工していたのです。
一度は4名が誤認逮捕された本事件でしたが、警察が調査を進める中で、被害者1名のPCから「トロイの木馬ウイルス」を検出。その後、フォレンジック調査によって真犯人が犯行に使用した会社のパソコンから、消去したファイルの場所を示すパス名や、犯人が開発途中の遠隔操作ソフトのバージョンが検出され、最終的に犯人逮捕へとつながりました。
フォレンジック調査の手順
フォレンジック調査の、一般的な「手順」について説明します。
- 1. 証拠保全
- 2. データの復元
- 3. 解析・分析
- 4. .報告
1.証拠保全
先ほど「フォレンジック調査はなぜ必要なのか」の部分でフォレンジック調査によって得られた結果は法的証拠として使用できることを説明しました。
しかし、法的証拠として使用するためには、データの改変・改ざんが行われていないことを証明する「証拠保全」が必要不可欠です(というのも、デジタルデータは容易に改変・改ざんができてしまうからです)。
デジタルデータの信ぴょう性を保つために、専用のツールを使用してデータの複製を作成し、保存します。
2.データの復元
証拠となりうるデータが犯人によって意図的に削除されていたり、機器が損傷してデータが閲覧できなかったりした場合、特殊なソフトウェアや技術を使用して、データやファイルを復元します。
データの復元は、物理的なデバイスからのデータ回復や、バックアップからのデータ復元など、さまざまな方法で行われます。
3.解析・分析
保全したデータを解析・分析することで、証拠となりうる情報がないかを確認します。
具体的には
- ・ サーバーログ
- ・ メールの送受信履歴
- ・ Webサイトの閲覧履歴
などを解析・分析し、犯罪行為に関連する情報やパターンを見つけ出します。
また、分析の過程では、データのパターンや傾向を特定し、事件の経緯や関連者の行動パターンを理解するために行われます。
4.報告
解析・分析の結果をまとめて報告書として提出します。
報告書には、調査の手法や使用したツール、解析結果や推論される事実、必要に応じて提案される対策などが記載されます。
この報告書は、裁判所や関係当局、クライアントに提出され、事件の真相を明らかにするための非常に重要な証拠となります。
フォレンジック調査でやってはいけないNG行為
フォレンジック調査では、証拠保全や痕跡の改変を防ぐため、注意すべきポイントがあります。以下に代表的な注意点を挙げます。
- 1. システムのシャットダウンや再起動
- 2. ネットワーク接続を維持したままの操作
- 3. 証拠となるファイルやデータの変更
1. システムのシャットダウンや再起動
フォレンジック調査対象のシステムをシャットダウンや再起動すると、メモリ内の一時データやログ、プロセス情報が消失する可能性があります。
そのため、システムのシャットダウンは慎重に判断し、必要に応じてライブ状態でメモリダンプを取得するなど、適切な対策を講じる必要があります。
2. ネットワーク接続を維持したままの操作
調査対象のシステムがインターネットに接続されたままだと、攻撃者がリモートから証拠を消去したり、再度システムにアクセスするリスクが高まります。
証拠保全を適切に行った後、システムをネットワークから切り離すことが推奨されます。
3. 証拠となるファイルやデータの変更
調査中にファイルを直接開いたり編集したりすると、タイムスタンプやメタデータが書き換えられ、証拠としての信頼性が低下する恐れがあります。
フォレンジック調査を外部パートナーに依頼するメリット
社内対応の難しい“複雑なフォレンジック調査”であれば、外部パートナーに調査を依頼するという手法が有効です。外部の専門サービスを利用するメリットとして、以下の3つが挙げられます。
- ・ 調査~結果までの時間が短く、対策を迅速に打てる
- ・ 客観的証拠として認められる
- ・ 二次被害が発生する心配がない
1.調査~結果までの時間が短く、対策を迅速に打てる
犯行が複雑な場合や調査機器の台数が多い場合、フォレンジック調査が長期化し、多くの社内リソースが費やされる可能性があります。自社のセキュリティ担当者が、他業務と並行して調査を行うとなれば、調査がより長引くことが懸念されます。
フォレンジック調査を外部の専門家に依頼すれば、セキュリティ担当者の負担を軽減しつつ、調査にかかる時間も短縮することが可能です。早急にセキュリティインシデントの原因が解明できれば、その分早く対策を打ち、被害拡大をとどめることにつながります。
2.客観的証拠として認められる
インシデントの原因究明や、訴訟にて証拠を立証するためには「客観的性をもつ正確な証拠」が必要不可欠です。
しかし、自社によって収集された証拠は、収集・保全が適切に行われておらず、結果的に法廷で証拠能力が無効とされてしまうリスクがあります。また「内部不正」の事件などはとくに、社内調査をおこなうと利害関係やバイアスが生じ、結果の信頼性が低下することが懸念されます。
一方、高度な専門知識を有する外部パートナーに依頼することで、法廷で着実に使える、客観的な視点に基づいた調査データを確保することが可能です。
3.二次被害が発生する心配がない
デジタルデータは、ちょっとした誤操作によって書き換えられたり、消去されたりする危険性があります。
「証拠保全作業」は非常に繊細な作業であるため、専門家以外が行うと、原因究明に必要なログデータを意図せず書き換えてしまったり、ファイルデータを破損してしまったりといった、二次被害が発生するリスクがあります。
複雑なフォレンジック調査であるほど、知識と経験の豊富な、信頼できる外部パートナーに依頼することがおすすめです。次章では、外部パートナーの選び方についてご紹介します。
フォレンジック調査を外部委託する場合の選定ポイント
フォレンジック調査を外部委託する場合、以下のポイントをおさえながら選定するとよいでしょう。
- ・ 対応スピード
- ・ 費用
- ・ セキュリティ体制
- ・ 法的証拠となる調査報告書の発行の有無
- ・ データの復旧作業への対応
特に対応スピードと費用面は、あらかじめよく確認しておきましょう。調査依頼から結果報告までに時間を要してしまうと、裁判までに証拠がそろわない、といった事態が起きる可能性もあります。
また費用に関しては、HPに掲載されていないことが多いため、料金体系や概算を実際に問い合わせてみることをおすすめします。
他にも、訴訟を念頭に置いている場合は、法的証拠となる調査報告書を発行してもらえるかどうかも重要なポイントです。
フォレンジック調査のプロが、いち早い復旧を支援!「インシデント対応パッケージ」とは
MOTEX(エムオーテックス)では、フォレンジック調査のスペシャリストが、感染状況の調査から影響範囲を特定し、復旧支援~コンサルティングまでを提供する「インシデント対応パッケージ」を提供しています。
標準メニューとして、感染端末に対する侵害の痕跡などの「フォレンジック調査」を実施。さらに追加で保全、アドバイス等を含めたオプションメニューをご用意しています。
「自社でフォレンジック調査、復旧作業を行うのが難しい」「感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
「ログ取得」でフォレンジック調査に役立つ、LANSCOPEソリューション
フォレンジック調査にて効果を発揮いただける、LANSCOPEのセキュリティソリューションをいくつかご紹介します。
1. AIアンチウイルス統合型のEDR「CylanceOPTICS」
CylanceOPTICSは、アンチウイルス(EPP)製品「CylancePROTECT」と合わせて導入可能な、AIアンチウイルス統合型のEDRです。
未知のマルウェアでも99%予測検知と隔離ができる次世代型アンチウイルス「CylancePROTECT」と連動させることで、AIによる高い精度での脅威の検知、調査、封じ込め、復旧まで一連の対応が行えます。復旧のプロセスでは、フォレンジック用の証拠取得が可能です。
2. あらゆるレイヤーの異常をリアルタイムに自動検知・可視化するNDR「Darktrace」
NDR「Darktrace」は、企業・組織のネットワークやクラウドのパケットを収集することで、企業のもつネットワーク全体の通信状況を可視化し、異常な挙動を検知するセキュリティ製品です。
検知したイベントが発生したデバイスの詳細情報から、接続先ネットワークの情報までを時系列でさかのぼり、一連のイベント発生状況を画面上で再現できます。
通信パケット情報のエクスポートやフォレンジック分析による詳細調査も可能であり、企業のインシデントの登記発見・対策にとって心強い見方となります。
3. IT資産管理・MDMツール「エンドポイントマネージャー クラウド版」
フォレンジック調査を自社で行う場合、ログの収集・活用は必要不可欠といえます。
MOTEXが提供するIT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」では、内部不正の原因特定に欠かせない PC の操作ログを自動で取得し、最大5年分を保存することが可能です。
またログ画面では、PCにおけるアプリ利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続といった従業員の操作について、「いつ」「誰が」「どのPCで」「なんの操作をしたか」などを一目で把握できます。
従業員の不正な操作は、アラートにて管理者に通知されます。
いざという時の証拠収集に加え、早期に情報漏洩のインシデントに気づき、対策する手だてとしても効果的です。
まとめ
本記事では「フォレンジック調査」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- IT分野で使用されるフォレンジック調査とは、セキュリティインシデントが発生した際に、端末やネットワーク内の情報を収集し、被害状況を解明したり、法的証拠を見つけたりすること
- フォレンジック調査には、「コンピュータフォレンジック」「ネットワークフォレンジック」「ファストフォレンジック」などの種類がある
- フォレンジック調査が必要な理由としては「インシデントの発生原因が特定できる」「インシデントによる被害の拡大を防止できる」「インシデントの再発防止につながる」「法的証拠を確保できる」などが挙げられる
- フォレンジック調査は一般的に、「1.証拠保全」「2.データの復元」「3.解析・分析」「4.報告」という手順で行われる
- フォレンジック調査を外部に依頼するメリットとして、「調査~結果までの時間が短縮でき、迅速に対策を打てる」「客観的証拠として認められる」「二次被害が発生する心配がない」などが挙げられる
専門的な知識を有するスペシャリストが調査に取り組むことで、セキュリティ対策の再発防止策を打てたり、仮に法廷で争うとなった場合も、信頼性ある客観的な証拠を確保することが可能です。
MOTEXでも、セキュリティのスペシャリストが丁寧かつ迅速に対応するフォレンジック調査サービス「インシデント対応パッケージ」を提供しています。
関連する記事
