日本の法曹界におけるデジタルフォレンジックに関する認知度

 日本でデジタルフォレンジックが注目を集めるきっかけになったのは、ここ数年で施行されたいくつかの法律である。2005年4月に施行された個人情報保護法はその端緒である。この法律によってもたらされた個人情報漏洩対策は、大きく人々の関心を呼び、「個人情報」の必要性を人々に意識させた。デジタルフォレンジックは、個人情報が漏洩した際に流出経路を特定することができるし、情報開示を早めて、社会的信用の失墜や経済的損失を最小限に抑えることができる。また、一般企業に対するコンプライアンスや財務の信頼性向上を要求する日本版SOX法や、内部統制システム構築の義務化を求める新会社法も大きくデジタルフォレンジックの必要性を人々が感じる契機となった。

 しかし、そのような日本でのデジタルフォレンジック分野への関心が高まる中で、現在の日本の法曹界における認知度はどの程度あるのだろうか。デジタルフォレンジックとは、企業や政府機関などにおいて法的な問題が発生したときに証拠となるデータを保全し、データの解析を行い、その証拠となるデータの保全をすることまでを含んだ一連の手法のことである。訴訟大国であるアメリカでは、情報漏洩や不正事件の原因究明のためにデジタルフォレンジックがとても積極的に取り入れられ、一般の認知度も日本に比べてきわめて高い。アメリカでは、企業や監査法人にフォレンジック専門のチームが編成されているのは、きわめて一般的なことである。裁判においてデジタルフォレンジックで作成された証拠資料が実際に多く使用されている。一方、日本の場合はアメリカとは少し異なった事情がある。日本の訴訟法上では、裁判官の自由な判断に委ねる「自由心証主義」が採用されている。そのため、デジタルフォレンジックで解析されたものが証拠として採用されるかどうかは裁判官の自由な裁量によるというのである。それが原因で日本の法曹界におけるデジタルフォレンジックの認知度は未だにあまり高くない。(日本の法律事務所に勤務するある弁護士と話した時に「デジタルフォレンジックって何ですか?」と聞かれたときには、かなりショックだった。。)また、日本の法曹界にはIT分野に強い人材が相当不足している。(このことは私も日ごろよく実感している。)ITリテラシーが低いというか、デジタルデータに対する認識がほとんどない法曹界の関係者がとても多いのである。そういった一般社会の意識との隔たりをまもなく施行される「裁判員制度」が埋めてくれるのだろうか。本ブログでも何度も言及しているが、日本では、デジタルフォレンジックの分野は、まだまだ本当に黎明期なのである。

個人情報漏洩事件、864件・約3,053万人分が漏洩

個人情報漏洩事件、864件・約3,053万人分が漏洩したという最新結果(2007年度)が出た。

 日本ネットワークセキュリティ協会(JNSA)は19日、2007年に報道された個人情報漏洩事件をまとめた「2007年度情報セキュリティインシデントに関する調査報告書」を公表した。

compromise1.jpg

 報告書によると、件数は減っているが、被害者数が増加したという。大規模な漏洩事件の発生件数が増えているようだ。また、JNSAの算出モデルによると、2007年に発生した個人情報漏洩事件の想定損害賠償額は総額約2兆2,711億円。1件あたりの平均想定損害賠償額は27億9,347万円だそうだ。

 そして、特筆すべきは、情報の漏洩媒体・経路は、「Web・ネット」が15.4%、「PC本体」が10.4%、「USBなどの可搬記録媒体」
が12.5%、メールが9.8%だという。やはり、情報漏洩の経路としては、デジタル・フォレンジックの領域が過半を占めている。ただし、Web・ネットを経由した割合が2006年の22.0%からやや減少して
いるそうだ。これは、ネットワーク・フォレンジック対策は、比較的改善しつつあるが、コンピュータ・フォレンジック対策は、増加傾向、ないしは、改善が進んでいないということを示していると思われる。コンピュータ・フォレンジック対策は、情報漏洩事件は、年々大規模化し、被害総額は、増加傾向にある。各企業は、情報漏洩対策を当局に任せっきりにするのではなく、自社の監査部門、管理部門へのフォレンジック調査ツールの導入やPCモニタリングツール等の利用を積極的に推進し、事件を未然に防ぐ必要が高まっているといえる。

英国軍事企業フォレンジック調査【続報】

イギリスの某武器兵器開発企業に関連した事件に関して、フォレンジック調査の再検討を要請してきた。この英国政府機関が手がけるフォレンジック調査は、一度相手国からの圧力により、調査中断を余儀なくされた経緯がある。

フォレンジック調査再開となるのか、各機関の関係者から注目が集まっている。

FSS.jp では引き続き動向を見守る姿勢であるが、詳細については、BBCニュース記事本文を参照してもらいたい。

bbc_news2.jpg
http://news.bbc.co.uk/1/hi/business/7407023.stm

パソコン壊して証拠隠滅? 元NHK記者らによるインサイダー取引事件

記憶に新しい、NHK元記者らによる「インサイダー取引事件」。

「課徴金納付命令を受けた水戸放送局の元ディレクターら3人(4月10日付で懲戒免職)は報道用端末(報道情報システム)の記事情報を使って売買を繰り返していた疑いがある(YOMIURI ONLINE/2008年5月28日記事より抜粋)」のだという。

しかもそのうちの一人は、株取引に使ったパソコンからデータを消去し、さらにパソコンそのものを破壊。そこに明確な証拠隠滅の意思があったかどうかは現在調査中のようだが、このような犯罪の「跡」は使用したパソコンだけに残されているとは限らない。10年前ならともかく、今ではスタンドアロンで使っている方が珍しい。メールサーバ、データベースサーバ、ファイルサーバetc…それらのログを解析することで証拠となる手がかりを見つかる可能性もある。

ましてや、個人情報漏洩事件が相次ぎ、内部統制の重要性が高まってきた今、ネットワーク・フォレンジック製品を導入している企業も増えてきているので、そうなるとパソコンをいくら破壊したところで外部とのやりとりは丸裸にされてしまうことだろう。

今回の事件現場で、ネットワーク・フォレンジック製品が導入されていたかは不明だが、引き続き動向を見守っていきたいと思う。

PBH_1.JPG

フォレンジック製品での情報漏洩対策

デジタル・フォレンジック研究会・技術分科会

IDF_1-thumb-320x569-1.jpg

↑技術部会らしく質実剛健な案内版

5月27日(火)にデジタル・フォレンジック研究会・技術分科会が東京都南部労政会館で開催されました。主題は『原本同一性の確保とEnCaseを利用したフォレンジック調査』という内容で、講師はネットエージェント株式会社フォレンジック調査部の松本、平戸氏でした。

技術部会は、今まであまり開催されたことがなかったそうですが、今後は多く開催していく予定だとのことでした。松本、平戸氏の講演内容は、実際のフォレンジック調査業務の手順の説明など、具体的でとてもおもしろかったです。証拠資料に改竄や真正性があるかを証明するための「証拠の鎖(CoC、Chain of Custody)」を保持するための工夫をして、調査を行っているのがよくわかりました。

IDF_2-thumb-320x179-1.jpg

↑会場内の様子

IDF_3-thumb-w300.png

ネットワークエージェント社さんでは、P2P関連の調査事例が8割を占めるそうです。まだまだ日本の中では、デジタル・フォレンジックが黎明期といえる段階なんだと感じました。
講演中に司会者が講演内容をバシバシ撮っている人に対して、その場で写真を消すよう注意していました。

←講演の様子(実際に業務で使用している書類などを使って実演してくれました)。

フォレンジック調査の実際:メール調査③

削除メールの調査

メール調査について、最後は削除されたメールについてです。

前回、Outlook Expressのデータファイルの調査について紹介しましたが、通常、他人に読まれて不都合なメールであれば、ほとんどの場合は削除されているはずです。

メールの削除を分類してみると以下の場合があります。

  1. ① メールソフト上で単に削除しただけで、メールソフトのごみ箱にファイルが残っている場合
  2. ② メールソフト上で削除し、メールソフトのごみ箱からも消されている場合
  3. ③ メールソフト上のデータファイルを削除した場合

それぞれ場合についてもうちょっと詳しく見てみましょう。

①メールソフト上で単に削除しただけで、メールソフトのごみ箱にファイルが残っている場合

OutlookExpressの場合、メールを削除すると、「削除済みアイテム」にメールが移動されます。もちろんこの時点では移動されただけですので、「削除済みアイテム」を見れば、メールが見つかる可能性が高いと言えます。

②メールソフト上で削除し、メールソフトのごみ箱からも消されている場合

Outlook Expressでは①の操作を行った後、「[削除済みアイテム]フォルダを空にする」メニューを実行すると、メールソフト上からは見えなくなってしまいますが、FinalForensicではメールソフト上で削除されたメールも同時にスキャンし、検出された削除メールは、別フォルダ(DeletedFiles)に表示されます。これら削除されたメールも通常のファイルと同じようにフィルタ機能で絞り込むことができます。

③データファイル自体が消された場合

メールソフトはソフト毎に決まった(あるいはユーザが指定した)フォルダにデータファイルを作成していますが、そのファイルを削除された場合、より詳細なスキャンが必要になる場合もあります。しかし、それによりFinalForensicsは削除されたファイルを見つけ、通常のファイルと同様にソートしてくれますので、①,②と同様に「送信済みアイテム.dbx」「削除済みアイテム.,dbx」ファイルなどを調べます。

FFS_mail_del.JPG

メール関連ファイルが削除された場合の画面。×印は削除ファイルを意味している。

ストーカー裁判官フォレンジックでつかまる

宇都宮地裁判事の下山芳晴容疑者(55)が、山梨県内に住む20歳代の女性裁判所職員に、面会を迫るメールを繰り返し送ったとされるストーカー規制法違反事件で、女性の自宅や携帯電話に、繰り返し無言電話があったことがわかったという。

judge.jpg

メールが送り付けられていた時期と重なるため、山梨県警は、無言電話も下山容疑者がかけた可能性があるとみている。捜査関係者が23日、明らかにした。 下山容疑者は、甲府地家裁都留支部長だった2月19日~3月19日に匿名のメールを十数回送りつけたとされる。

無言電話があったのはほぼ同じ時期で、非通知設定の電話や公衆電話からかけられていた。

ストーカー判事事件
http://sankei.jp.msn.com/affairs/crime/080521/crm0805212010026-n1.htm

フォレンジック調査の実際:メール調査②

前回、メールソフト毎のデータファイルをFFSがソートしてくれるところは説明しました。OutlookExpressのデータファイルを選ぶとOutlookExpressに関連するファイルが表示されます。

FFS_mail2-thumb-320x254.jpg

OutlookExpressデータファイルのリスト

情報漏えい調査であれば、メールにより社内文書等が外部へ送付されていないかを調べる必要があります。送信済みアイテム.dbxを確認してみましょう。

SentItem-thumb-320x259-1.jpg

「送信済みメール.dbx」内メールの解析画面

大量のメールから目的のメールだけ絞りこめるように送信先アドレス、送信日などでフィルタをかけることができるので、この機能を利用しながら不審なメールがないかを探すことができます。

SentItem_Filter-thumb-320x259-1.jpg

メールフィルタ画面。「送信済みメール.dbx」内メールを日付で絞り込もうとしている。

刺身包丁殺人事件(後編)

というわけで、前回のお話の続き。

殺人を犯した犯人のところに突如として現れた警察。片手にはなにやら怪しげな噴霧器を持っています。

警官 「一週間ほど前ですが、この近くで殺人事件がおきましてね」
犯人 「そうですか」

犯人は警官からの質問につっかえつっかえ答えていきます。なにもかも計画通り。こういうことはあまり流暢に喋りすぎると却って怪しまれてしまうので、適当に考え込んだり、そのときの様子を思い出すフリをすることが重要なのです。
警官は犯人の受け答えに何ら疑問を感じる様子もなく、最後の質問を終え、「わかりました。どうも」と言ってその場を去ろうとしました。

警官 「ところであなた、○○色のシャツをお持ちじゃありませんか?」
犯人 「ええ。持っていますが」
警官 「ちょっと持ってきてくれませんかねえ」

犯人はしめたと思いました。
このシャツは殺人のときに着ていたものですが、血はきれいに洗い流してあります。大方警官は目撃情報か何かを元に、このシャツを割り出したのでしょうが、血の跡がなければこっちのもの。同じシャツを着ている人間なんて、この世に何百万人もいるのですから。

警官は犯人が持ってきたシャツをしばらくの間眺めると。おもむろに持ってきた噴霧器でシャツをシュッと一吹きしました。

NO!!!!!!!!!!!

シャツには”あのときの血の跡”がぼうっと青白く浮かび上がってきたのです!!

警官   「これはルミノール薬と言ってね、血に反応する試験薬なんだ。といっても、大量の血が必要ってわけじゃない。ほんの少し。ほんの少しの血さえあればいいんだ。たとえそれが目にみえないくらいわずかな量だったとしてもね」

こうして、完全犯罪だったはずの刺身包丁殺人事件も、ルミノール反応という科学捜査の前に敗れ去ってしまったのです。(END)

…ホントはここで再び、「Stay TUNE!」といいたいところなんですが、それだと何がなんだかわからないので、今日はこのまま最後まで突っ走ることにします。
つまりです。警察で昔から使われていた、この「ルミノール薬」と同じようなことが、コンピュータの世界でも可能だということなんです。えらい長い前置きだったな、おい。

たとえば、ある人が社内の機密データを自分のパソコンにコピーした後、「やばいから」って消したとします。でもこのデータ、実は消えてない。データの痕跡がハードディスクの「どこか」に残っているんです。
だから分かるんです。洗い流したと思った血糊がルミノール薬で青白く浮かび上がるのと同じように、このルミノール薬と同じ機能をもったソフトいわゆるフォレンジックソフトでパソコンをスキャンすれば「消したはずの」データが現われる。

まあ、もっとも、青白い光になってパソコンの画面上に浮かび上がる、というわけじゃありませんがね(笑)。

EDR_1.JPG

パソコンでのルミノール(?)反応。こちらは黄色。

モバイル・フォレンジック

モバイル・フォレンジックとは、携帯電話・携帯端末に対するデジタル・フォレンジック調査のことを言います。(中には、携帯できるフォレンジック調査機器のことをそう呼んでいるところもありますが、本来的な意味では、上記の意味で用いるほうが適当でしょう。)

その「モバイル・フォレンジック」の展示会が世界で初めて、アメリカのシカゴで開催されました。「MOBILE FORENSICS WORLD 2008」FBIや米国の警察、世界中の政府機関、調査機関の専門家達が多く訪れました。「モバイル・フォレンジック」は、コンピュータ・フォレンジックの中でも高度な技術が要求されます。

実際の調査に関するノウハウの蓄積も不可欠です。そして、実際のフォレンジック調査において、非常にニーズの高い分野のひとつです。しかしながら、まだこのモバイル・フォレンジック技術は、始まったばかりで、技術的な進歩が待たれている分野でもあります。