イギリスの某武器兵器開発企業に関連した事件に関して、フォレンジック調査の再検討を要請してきた。この英国政府機関が手がけるフォレンジック調査は、一度相手国からの圧力により、調査中断を余儀なくされた経緯がある。
フォレンジック調査再開となるのか、各機関の関係者から注目が集まっている。
FSS.jp では引き続き動向を見守る姿勢であるが、詳細については、BBCニュース記事本文を参照してもらいたい。
http://news.bbc.co.uk/1/hi/business/7407023.stm
記憶に新しい、NHK元記者らによる「インサイダー取引事件」。
「課徴金納付命令を受けた水戸放送局の元ディレクターら3人(4月10日付で懲戒免職)は報道用端末(報道情報システム)の記事情報を使って売買を繰り返していた疑いがある(YOMIURI ONLINE/2008年5月28日記事より抜粋)」のだという。
しかもそのうちの一人は、株取引に使ったパソコンからデータを消去し、さらにパソコンそのものを破壊。そこに明確な証拠隠滅の意思があったかどうかは現在調査中のようだが、このような犯罪の「跡」は使用したパソコンだけに残されているとは限らない。10年前ならともかく、今ではスタンドアロンで使っている方が珍しい。メールサーバ、データベースサーバ、ファイルサーバetc…それらのログを解析することで証拠となる手がかりを見つかる可能性もある。
ましてや、個人情報漏洩事件が相次ぎ、内部統制の重要性が高まってきた今、ネットワーク・フォレンジック製品を導入している企業も増えてきているので、そうなるとパソコンをいくら破壊したところで外部とのやりとりは丸裸にされてしまうことだろう。
今回の事件現場で、ネットワーク・フォレンジック製品が導入されていたかは不明だが、引き続き動向を見守っていきたいと思う。
5月27日(火)にデジタル・フォレンジック研究会・技術分科会が東京都南部労政会館で開催されました。主題は『原本同一性の確保とEnCaseを利用したフォレンジック調査』という内容で、講師はネットエージェント株式会社フォレンジック調査部の松本、平戸氏でした。
技術部会は、今まであまり開催されたことがなかったそうですが、今後は多く開催していく予定だとのことでした。松本、平戸氏の講演内容は、実際のフォレンジック調査業務の手順の説明など、具体的でとてもおもしろかったです。証拠資料に改竄や真正性があるかを証明するための「証拠の鎖(CoC、Chain of Custody)」を保持するための工夫をして、調査を行っているのがよくわかりました。
ネットワークエージェント社さんでは、P2P関連の調査事例が8割を占めるそうです。まだまだ日本の中では、デジタル・フォレンジックが黎明期といえる段階なんだと感じました。
講演中に司会者が講演内容をバシバシ撮っている人に対して、その場で写真を消すよう注意していました。
←講演の様子(実際に業務で使用している書類などを使って実演してくれました)。
メール調査について、最後は削除されたメールについてです。
前回、Outlook Expressのデータファイルの調査について紹介しましたが、通常、他人に読まれて不都合なメールであれば、ほとんどの場合は削除されているはずです。
メールの削除を分類してみると以下の場合があります。
それぞれ場合についてもうちょっと詳しく見てみましょう。
OutlookExpressの場合、メールを削除すると、「削除済みアイテム」にメールが移動されます。もちろんこの時点では移動されただけですので、「削除済みアイテム」を見れば、メールが見つかる可能性が高いと言えます。
Outlook Expressでは①の操作を行った後、「[削除済みアイテム]フォルダを空にする」メニューを実行すると、メールソフト上からは見えなくなってしまいますが、FinalForensicではメールソフト上で削除されたメールも同時にスキャンし、検出された削除メールは、別フォルダ(DeletedFiles)に表示されます。これら削除されたメールも通常のファイルと同じようにフィルタ機能で絞り込むことができます。
メールソフトはソフト毎に決まった(あるいはユーザが指定した)フォルダにデータファイルを作成していますが、そのファイルを削除された場合、より詳細なスキャンが必要になる場合もあります。しかし、それによりFinalForensicsは削除されたファイルを見つけ、通常のファイルと同様にソートしてくれますので、①,②と同様に「送信済みアイテム.dbx」「削除済みアイテム.,dbx」ファイルなどを調べます。
メール関連ファイルが削除された場合の画面。×印は削除ファイルを意味している。
宇都宮地裁判事の下山芳晴容疑者(55)が、山梨県内に住む20歳代の女性裁判所職員に、面会を迫るメールを繰り返し送ったとされるストーカー規制法違反事件で、女性の自宅や携帯電話に、繰り返し無言電話があったことがわかったという。
メールが送り付けられていた時期と重なるため、山梨県警は、無言電話も下山容疑者がかけた可能性があるとみている。捜査関係者が23日、明らかにした。 下山容疑者は、甲府地家裁都留支部長だった2月19日~3月19日に匿名のメールを十数回送りつけたとされる。
無言電話があったのはほぼ同じ時期で、非通知設定の電話や公衆電話からかけられていた。
ストーカー判事事件
http://sankei.jp.msn.com/affairs/crime/080521/crm0805212010026-n1.htm
前回、メールソフト毎のデータファイルをFFSがソートしてくれるところは説明しました。OutlookExpressのデータファイルを選ぶとOutlookExpressに関連するファイルが表示されます。
OutlookExpressデータファイルのリスト
情報漏えい調査であれば、メールにより社内文書等が外部へ送付されていないかを調べる必要があります。送信済みアイテム.dbxを確認してみましょう。
「送信済みメール.dbx」内メールの解析画面
大量のメールから目的のメールだけ絞りこめるように送信先アドレス、送信日などでフィルタをかけることができるので、この機能を利用しながら不審なメールがないかを探すことができます。
メールフィルタ画面。「送信済みメール.dbx」内メールを日付で絞り込もうとしている。
というわけで、前回のお話の続き。
殺人を犯した犯人のところに突如として現れた警察。片手にはなにやら怪しげな噴霧器を持っています。
警官 「一週間ほど前ですが、この近くで殺人事件がおきましてね」
犯人 「そうですか」
犯人は警官からの質問につっかえつっかえ答えていきます。なにもかも計画通り。こういうことはあまり流暢に喋りすぎると却って怪しまれてしまうので、適当に考え込んだり、そのときの様子を思い出すフリをすることが重要なのです。
警官は犯人の受け答えに何ら疑問を感じる様子もなく、最後の質問を終え、「わかりました。どうも」と言ってその場を去ろうとしました。
警官 「ところであなた、○○色のシャツをお持ちじゃありませんか?」
犯人 「ええ。持っていますが」
警官 「ちょっと持ってきてくれませんかねえ」
犯人はしめたと思いました。
このシャツは殺人のときに着ていたものですが、血はきれいに洗い流してあります。大方警官は目撃情報か何かを元に、このシャツを割り出したのでしょうが、血の跡がなければこっちのもの。同じシャツを着ている人間なんて、この世に何百万人もいるのですから。
警官は犯人が持ってきたシャツをしばらくの間眺めると。おもむろに持ってきた噴霧器でシャツをシュッと一吹きしました。
NO!!!!!!!!!!!
シャツには”あのときの血の跡”がぼうっと青白く浮かび上がってきたのです!!
警官 「これはルミノール薬と言ってね、血に反応する試験薬なんだ。といっても、大量の血が必要ってわけじゃない。ほんの少し。ほんの少しの血さえあればいいんだ。たとえそれが目にみえないくらいわずかな量だったとしてもね」
こうして、完全犯罪だったはずの刺身包丁殺人事件も、ルミノール反応という科学捜査の前に敗れ去ってしまったのです。(END)
…ホントはここで再び、「Stay TUNE!」といいたいところなんですが、それだと何がなんだかわからないので、今日はこのまま最後まで突っ走ることにします。
つまりです。警察で昔から使われていた、この「ルミノール薬」と同じようなことが、コンピュータの世界でも可能だということなんです。えらい長い前置きだったな、おい。
たとえば、ある人が社内の機密データを自分のパソコンにコピーした後、「やばいから」って消したとします。でもこのデータ、実は消えてない。データの痕跡がハードディスクの「どこか」に残っているんです。
だから分かるんです。洗い流したと思った血糊がルミノール薬で青白く浮かび上がるのと同じように、このルミノール薬と同じ機能をもったソフトいわゆるフォレンジックソフトでパソコンをスキャンすれば「消したはずの」データが現われる。
まあ、もっとも、青白い光になってパソコンの画面上に浮かび上がる、というわけじゃありませんがね(笑)。
モバイル・フォレンジックとは、携帯電話・携帯端末に対するデジタル・フォレンジック調査のことを言います。(中には、携帯できるフォレンジック調査機器のことをそう呼んでいるところもありますが、本来的な意味では、上記の意味で用いるほうが適当でしょう。)
その「モバイル・フォレンジック」の展示会が世界で初めて、アメリカのシカゴで開催されました。「MOBILE FORENSICS WORLD 2008」FBIや米国の警察、世界中の政府機関、調査機関の専門家達が多く訪れました。「モバイル・フォレンジック」は、コンピュータ・フォレンジックの中でも高度な技術が要求されます。
実際の調査に関するノウハウの蓄積も不可欠です。そして、実際のフォレンジック調査において、非常にニーズの高い分野のひとつです。しかしながら、まだこのモバイル・フォレンジック技術は、始まったばかりで、技術的な進歩が待たれている分野でもあります。
科学捜査の一つに「痕跡を探す」というのがあります。要するに「足跡を探す」ってことですが、コンピュータの中で足跡探すといわれても何のことやらピンとこないので、一つ、例を。
ある夕暮れに殺人事件が起こりました。犯人は刺身包丁で被害者を一刺し。大量の返り血を浴びてしまいました。慌てた犯人はシャツについた血をごしごしと洗い流します。凶器を隠して、完璧なアリバイ作りにも成功し、見事高飛び……しようとした、まさにそのとき! 警察がやってきたのです。しかも! 片手になにやら怪しげな噴霧器を持って!
さて。犯人は見事逃げおおせるのでしょうか?Stay TUNE!!!
5月13日(水)~5月15日までの3日間、東京ビッグサイトで「第6回情報セキュリティーEXPO」 が開催された。今回は、その第二報。
8つの展示会が同時開催され、日本最大のIT専門展となっている。過去最多1,600社が出展したんだそうだ。日本最大級のセキュリティ・ショウといえるだろう。
どのブースも、展示やデモ、小セミナーを開いていて、力を入れていると感じられる。最近のIT関連のショウとしては盛況といえるのではないだろうか。年々開催規模が大きくなっている。数年前からの個人情報保護被害やWinnyによる情報漏洩などで情報セキュリティの意識は、日本企業の中で格段に定着してきたんだなということを感じた。
情報セキュリティEXPOの会場は、UTM(統合脅威管理)ゾーン、検疫ソリューション ゾーン、メールセキュリティ ゾーン、バイオメトリクス認証 ゾーン、ドキュメントセキュリティ ゾーンという、去年までと同じ5つのゾーン区分に加え、フォレンジック ゾーンが新たに追加されて展示されていた。 会場内はどこからどこまでがどのショウで、その中のゾーンも区分けされ、大まかに区切られてはいるが、別のゾーンでも同じような展示をしている企業があったり、別のショウでもまた同じような展示があったりして、自分がどこのショウ、どこのゾーンを見ているのか分からなくなりそうだった。意識は高まってきたとはいえ、まだまだ、日本市場での情報セキュリティの分野は、発展途上の段階にあるんだなという気がする。
今年から新たに追加された「フォレンジック・ゾーン」へ行ってみた。数社の出展があるが、実際にデジタル・フォレンジック向け製品といえるような内容を展示していた企業は、実質3~4社。中には、「それ、他のゾーンでやったほうがいいんじゃね?」という企業もあった(笑)。「フォレンジック」という単語だけが先行し、デジタル・フォレンジックの製品、ソリューション自体が、まったく揃っていない印象だった。出展している企業も「とりあえず出しとけ」的な出展内容のところも多かった。機器の展示はしてあるけど、実際のデモができないものが置いてあったところとか。。あと数年もすれば、大きな分野に成長することは、間違いないが、今は、まだ黎明期だなという感じだった。以下、フォレンジックゾーンの様子です。
ネットエージェント㈱PacketBlackHoleの展示
PacketBlackHoleの画面。
質実剛健な画面デザイン(笑)でも、多機能な感じで実際に使って作りこんだ便利さが感じられる。
オーク情報システム。
熱心な聴講者達。見たことのある人がいますネ。大林組で使い込んで鍛えた洗練されたデザインです。