刺身包丁殺人事件(前編)

新しい言葉というのは覚えるのに時間がかかります。
それがカタカナだとなおさらです。これを書いている私は今でもついつい「フォレンジック」を「ジェネリック」と言い間違えてしまうほどです。ちなみに二つの言葉の間には何の関係もありません。
というわけで、辞書をめくってみると、「科学捜査の」という意味が載っておりました。というわけで、今回は科学捜査のお話。

科学捜査の一つに「痕跡を探す」というのがあります。要するに「足跡を探す」ってことですが、コンピュータの中で足跡探すといわれても何のことやらピンとこないので、一つ、例を。

ある夕暮れに殺人事件が起こりました。犯人は刺身包丁で被害者を一刺し。大量の返り血を浴びてしまいました。慌てた犯人はシャツについた血をごしごしと洗い流します。凶器を隠して、完璧なアリバイ作りにも成功し、見事高飛び……しようとした、まさにそのとき! 警察がやってきたのです。しかも! 片手になにやら怪しげな噴霧器を持って!

funmuki.JPG

さて。犯人は見事逃げおおせるのでしょうか?Stay TUNE!!!

第6回情報セキュリティーEXPO (その2)

日本最大級のセキュリティ・ショウ

情報セキュリティEXPO1.jpg

5月13日(水)~5月15日までの3日間、東京ビッグサイトで「第6回情報セキュリティーEXPO」 が開催された。今回は、その第二報。

8つの展示会が同時開催され、日本最大のIT専門展となっている。過去最多1,600社が出展したんだそうだ。日本最大級のセキュリティ・ショウといえるだろう。

711d2cb34ac411b390cd17c3f8b0e29e.jpg

どのブースも、展示やデモ、小セミナーを開いていて、力を入れていると感じられる。最近のIT関連のショウとしては盛況といえるのではないだろうか。年々開催規模が大きくなっている。数年前からの個人情報保護被害やWinnyによる情報漏洩などで情報セキュリティの意識は、日本企業の中で格段に定着してきたんだなということを感じた。

情報セキュリティEXPOの会場は、UTM(統合脅威管理)ゾーン、検疫ソリューション ゾーン、メールセキュリティ ゾーン、バイオメトリクス認証 ゾーン、ドキュメントセキュリティ ゾーンという、去年までと同じ5つのゾーン区分に加え、フォレンジック ゾーンが新たに追加されて展示されていた。 会場内はどこからどこまでがどのショウで、その中のゾーンも区分けされ、大まかに区切られてはいるが、別のゾーンでも同じような展示をしている企業があったり、別のショウでもまた同じような展示があったりして、自分がどこのショウ、どこのゾーンを見ているのか分からなくなりそうだった。意識は高まってきたとはいえ、まだまだ、日本市場での情報セキュリティの分野は、発展途上の段階にあるんだなという気がする。

フォレンジック・ゾーンは黎明期

今年から新たに追加された「フォレンジック・ゾーン」へ行ってみた。数社の出展があるが、実際にデジタル・フォレンジック向け製品といえるような内容を展示していた企業は、実質3~4社。中には、「それ、他のゾーンでやったほうがいいんじゃね?」という企業もあった(笑)。「フォレンジック」という単語だけが先行し、デジタル・フォレンジックの製品、ソリューション自体が、まったく揃っていない印象だった。出展している企業も「とりあえず出しとけ」的な出展内容のところも多かった。機器の展示はしてあるけど、実際のデモができないものが置いてあったところとか。。あと数年もすれば、大きな分野に成長することは、間違いないが、今は、まだ黎明期だなという感じだった。以下、フォレンジックゾーンの様子です。

ネットエージェントのサムネール画像

ネットエージェント㈱PacketBlackHoleの展示

DSCN0561.JPG

PacketBlackHoleの画面。

質実剛健な画面デザイン(笑)でも、多機能な感じで実際に使って作りこんだ便利さが感じられる。

DSCN0567.JPG

オーク情報システム。

熱心な聴講者達。見たことのある人がいますネ。大林組で使い込んで鍛えた洗練されたデザインです。

労務管理に関する訴訟

 労務管理に関する訴訟もフォレンジック調査が非常に重要な事案が多い。
SOHOなどの職場環境では、労働時間を証明する手段がデジタルデータの解析以外にはない場合も多く、また、タイムカードなどの他の資料が残っていない場合や原告となる人物が過労死などで直接状況を説明できない場合も多いからである。

bus0042-009-thumb-320x480-1.jpg

 労務管理問題に対してデジタル・フォレンジックを行う場合、重要な手がかりとなるのがさまざまなログデータだ。OS が出力するものとアプリケーションが出力するものがあるが、いずれも改ざんされていないという前提があって初めて証拠性が確保される。不正侵入について調査を行う場合には、たサーバやルータのログだけではなく、業務に使用したと思われるPC のデータも重要な証拠となる。

 PC のHDD を解析するためには専用のデジタル・フォレンジック・ツールを使用する。ソフトを使用する前段階として、対象となるPC のHDD の完全な物理コピーを作成し、証拠として保存しておく必要がある。物理コピーとは、OSで扱えるデータだけではなく、消去されたファイルの実データなどを含むHDD の完全なコピーだ。ここで作成されたHDD が、裁判などでは証拠として提出される。その後、証拠確保のためのHDD から解析用のデータを作成し、さらに別のHDD へとコピーしておく。解析に使用するデータは、サーバやルータのログ、PC 内のファイルやレジストリデータである。

 実際に解析作業で使用するのは、HDDそのものだ。近年はファイル単位でパスワードを設定し、暗号化することも広まっているが、そういった問題には、パスワード解析を行う。こうして解読された各ファイルの内容とともに、Windows や各アプリケーションが利用しているレジストリデータも解析し、証拠として使用できる情報を探し出す。これらの解析結果に基づいて報告書を作成したら実際の訴訟を行うかこれらの証拠に基づいて該当者に対応を迫るなど、物理的な対処を行う。

 さらにPCのアクセスログ機能では、すでに残っていない古いログが必要な場合も多いが、過去のログデータをデータ復旧して、フォレンジック調査することになる。

野村證券インサイダー事件

野村證券インサイダー事件(http://mainichi.jp/select/jiken/news/20080513ddm041040107000c.html)。先日、大きく世間を騒がせたこの事件も発端となったのは、フォレンジック調査からだった。

notePC1-thumb-320x213.jpg

他人名義の取引をごまかすため、容疑者らは、顔の見えないオンライン取引を多用していた。今回のインサイダー取引事件では、タイミングをはかったような取引に疑惑の目を向けた監視委員会が、証券会社に協力を要請。ネット上の注文経路をたどった結果、容疑者らが浮上したという。
このインサイダー事件の直接の被害額は、「わずか」数百万円である。しかし、証券会社最大手、野村證券が被った「信用の失墜」という被害は、計り知れないほど大きなものであったといえる。このような事件を未然に防ぐ、または、仮に事件が発生しても、早期発見・被害の最小化に努めるということは、企業の至上命題となりつつある。日々の業務でやりとりするデータは、ほとんどがデジタル・データとなった現在において、それを成し遂げるためには、コンピュータ・フォレンジックのノウハウと技術が必要不可欠である。
 また、容疑者らは、メールなどでのやりとりでは、すぐに監視されると考え、携帯電話のチャットを利用し、連絡を取り合ったという。最新のフォレンジック調査では、モバイル・フォレンジック(携帯電話・携帯情報端末に対するフォレンジック調査)が重要になってきている。このモバイル・フォレンジックについては、後日書くことにする。

立ち聞き情報まで”駆使” 野村インサイダー事件(MSN産経新聞)http://sankei.jp.msn.com/affairs/crime/080512/crm0805122134031-n1.htm

野村証券元社員インサイダー:元社員と知人再逮捕 情報伝達、携帯チャット利用か(毎日新聞) http://mainichi.jp/select/jiken/news/20080513ddm041040107000c.html

情報セキュリティEXPOレポート

東京ビックサイトにて開催中の情報セキュリティEXPOに行ってきました。

フォレンジック関係の出展は8社ありましたが、ネットワーク・フォレンジック製品が3社で出典されていたのでそちらをリポートしたいと思います。

基本的にはどれもネットワークのパケットをキャプチャ(記録)しておいて、インシデント発生時にWeb、メールなどを解析するというシロモノです。監視カメラに映像を記録しておいて事件があったときに映像を確認する、というのと同じですな。記録していることを明示することで抑止効果があるという点も似ています。

PacketBlackHole出展元:ネットエージェント社
言わずと知れたネットワークフォレンジック製品の代表格。

  1. メール、Webだけでなく、データベースやVOIPの解析も可能。
  2. OnePointWall製品との組み合わせによりパケットキャプチャだけでなく、情報漏えい防止も可能。
  3. 画面デザインは3製品の中で一番シンプル。

NetEvidence出展元:㈱オーク情報システム社
一番力を入れてPRしていました。大林組が出資しているだけに資金力があるのでしょうか。

  1. キャプチャしたパケットは自動解析され、検索可能な形式でテープへ保存されるため、リストア後すぐ検索が可能。
  2. 暗号化ソフトCyberCryptを導入している環境の場合、暗号化パケットの複合・解析も可能。
  3. 画面デザインは洗練されており、使いやすそう。

inetSNAPs

  1. 独自の検索エンジンにより、高度かつ高速な検索が可能。
  2. バックアップの際、データの暗号化が可能。

どれもパケットをキャプチャするという点は共通ですが、せっかく記録していても解析できなければ無駄なので、その点から見るとPacketBlackHoleの対応プロトコルの多さやNetEvidenceの暗号化データ解析は大きなメリットになると思います。

CEIC2008カンファレンスレポート7

CEIC2008カンファレンスレポートの第7弾は、モバイル・フォレンジックについて。

モバイル・デバイスが身近になったことで、フォレンジック調査の対象となる確率の増した携帯電話。この中のデータを抜き取り、解析することでフォレンジック調査を行う。

携帯電話からのデータの抜き取りには、様々な形状のコネクタが必要になるが、これらを丸ごとセットにして、ケースに入れ込んだ商品も展示されていた。

ceie_7.JPG
CEIC2008

CEIC2008カンファレンスレポート6

CEIC2008 フォレンジック・カンファレンスの中で注目された講演の1つに、Gmail に対してのフォレンジック調査があった。当局の関心度も高く、講演会場では珍しく立ち見が出るほどの人気であった。

内容的には、Gmail におけるパケット通信、プロトコル解析など専門的な解析方法が紹介された。ハードディスクに残された情報はもとより、ネットワーク・モニタリングによる情報を含め、様々な内容であった。

Gmail を含め、メールに関するフォレンジック調査に関心のある方は、FSS.jp までご一報を。

ceic_6.jpg
CEIC2008

CEIC2008カンファレンスレポート5

CEIC2008 フォレンジック・カンファレンスに出展されていたツールの中で、実行中のPCのRAMを解析できるツールが注目されていた。

HBGary社のRESPONDERだ。要は揮発性データのフォレンジック調査ということになるが、通常のハードディスクやUSBメモリデータのフォレンジック調査と違い、時間の経過とともに刻一刻とデータが変化してしまうため、デジタル・フォレンジック調査の中でも厄介な代物だ。

具体的には、Rootkit(ルートキット)などメモリRAM上に隠された小さな実行コードを検出し、解析するものであるが、通常OSで取れるプロセスダンプよりも、フォレンジック調査がしやすくなっているのが特長だ。

ceic_5.jpg
Cybercrime is real. How you respond is critical.

CEIC2008カンファレンスレポート4

CEIC2008で目立つ動きとして、携帯電話を対象にしたデジタル・フォレンジック調査用ツールが増えたことが挙げられます。

携帯電話に記録されたショートメール発信履歴やデジカメ画像、動画などデジタル証拠として決定的な証拠能力になり得る割合が増加傾向にあることから、この分野のツールの重要性が増すことは容易に想像できます。

CEIC2008で出展されたモバイル・フォレンジックのツールメーカとも情報交換をし、調査官にとっての効率的なツールの情報を入手してきました。

ceic_4.jpg
CEIC2008

CEIC2008カンファレンスレポート3

CEIC 2008のカンファレンスで情報交換した某イギリス政府の調査官から得た情報によると、デジタル・フォレンジック調査に対し、相手国からの圧力がかかり、調査中止を余儀なくされた件が最近あったそうです。

BBCニュースでも報道され、今後のフォレンジック調査再開に向けた動向が非常に関心を呼んでいます。

このフォレンジック・ケースについての詳細は、BBCのニュース記事を参照ください。

ceic_3.jpg
情報ソース: http://news.bbc.co.uk/1/hi/business/7339231.stm