労務管理に関する訴訟

/カテゴリ:

 労務管理に関する訴訟もフォレンジック調査が非常に重要な事案が多い。
SOHOなどの職場環境では、労働時間を証明する手段がデジタルデータの解析以外にはない場合も多く、また、タイムカードなどの他の資料が残っていない場合や原告となる人物が過労死などで直接状況を説明できない場合も多いからである。

bus0042-009-thumb-320x480-1.jpg

 労務管理問題に対してデジタル・フォレンジックを行う場合、重要な手がかりとなるのがさまざまなログデータだ。OS が出力するものとアプリケーションが出力するものがあるが、いずれも改ざんされていないという前提があって初めて証拠性が確保される。不正侵入について調査を行う場合には、たサーバやルータのログだけではなく、業務に使用したと思われるPC のデータも重要な証拠となる。

 PC のHDD を解析するためには専用のデジタル・フォレンジック・ツールを使用する。ソフトを使用する前段階として、対象となるPC のHDD の完全な物理コピーを作成し、証拠として保存しておく必要がある。物理コピーとは、OSで扱えるデータだけではなく、消去されたファイルの実データなどを含むHDD の完全なコピーだ。ここで作成されたHDD が、裁判などでは証拠として提出される。その後、証拠確保のためのHDD から解析用のデータを作成し、さらに別のHDD へとコピーしておく。解析に使用するデータは、サーバやルータのログ、PC 内のファイルやレジストリデータである。

 実際に解析作業で使用するのは、HDDそのものだ。近年はファイル単位でパスワードを設定し、暗号化することも広まっているが、そういった問題には、パスワード解析を行う。こうして解読された各ファイルの内容とともに、Windows や各アプリケーションが利用しているレジストリデータも解析し、証拠として使用できる情報を探し出す。これらの解析結果に基づいて報告書を作成したら実際の訴訟を行うかこれらの証拠に基づいて該当者に対応を迫るなど、物理的な対処を行う。

 さらにPCのアクセスログ機能では、すでに残っていない古いログが必要な場合も多いが、過去のログデータをデータ復旧して、フォレンジック調査することになる。

野村證券インサイダー事件

/カテゴリ:

野村證券インサイダー事件(http://mainichi.jp/select/jiken/news/20080513ddm041040107000c.html)。先日、大きく世間を騒がせたこの事件も発端となったのは、フォレンジック調査からだった。

notePC1-thumb-320x213.jpg

他人名義の取引をごまかすため、容疑者らは、顔の見えないオンライン取引を多用していた。今回のインサイダー取引事件では、タイミングをはかったような取引に疑惑の目を向けた監視委員会が、証券会社に協力を要請。ネット上の注文経路をたどった結果、容疑者らが浮上したという。
このインサイダー事件の直接の被害額は、「わずか」数百万円である。しかし、証券会社最大手、野村證券が被った「信用の失墜」という被害は、計り知れないほど大きなものであったといえる。このような事件を未然に防ぐ、または、仮に事件が発生しても、早期発見・被害の最小化に努めるということは、企業の至上命題となりつつある。日々の業務でやりとりするデータは、ほとんどがデジタル・データとなった現在において、それを成し遂げるためには、コンピュータ・フォレンジックのノウハウと技術が必要不可欠である。
 また、容疑者らは、メールなどでのやりとりでは、すぐに監視されると考え、携帯電話のチャットを利用し、連絡を取り合ったという。最新のフォレンジック調査では、モバイル・フォレンジック(携帯電話・携帯情報端末に対するフォレンジック調査)が重要になってきている。このモバイル・フォレンジックについては、後日書くことにする。

立ち聞き情報まで”駆使” 野村インサイダー事件(MSN産経新聞)http://sankei.jp.msn.com/affairs/crime/080512/crm0805122134031-n1.htm

野村証券元社員インサイダー:元社員と知人再逮捕 情報伝達、携帯チャット利用か(毎日新聞) http://mainichi.jp/select/jiken/news/20080513ddm041040107000c.html

情報セキュリティEXPOレポート

/カテゴリ:

東京ビックサイトにて開催中の情報セキュリティEXPOに行ってきました。

フォレンジック関係の出展は8社ありましたが、ネットワーク・フォレンジック製品が3社で出典されていたのでそちらをリポートしたいと思います。

基本的にはどれもネットワークのパケットをキャプチャ(記録)しておいて、インシデント発生時にWeb、メールなどを解析するというシロモノです。監視カメラに映像を記録しておいて事件があったときに映像を確認する、というのと同じですな。記録していることを明示することで抑止効果があるという点も似ています。

PacketBlackHole出展元:ネットエージェント社
言わずと知れたネットワークフォレンジック製品の代表格。

  1. メール、Webだけでなく、データベースやVOIPの解析も可能。
  2. OnePointWall製品との組み合わせによりパケットキャプチャだけでなく、情報漏えい防止も可能。
  3. 画面デザインは3製品の中で一番シンプル。

NetEvidence出展元:㈱オーク情報システム社
一番力を入れてPRしていました。大林組が出資しているだけに資金力があるのでしょうか。

  1. キャプチャしたパケットは自動解析され、検索可能な形式でテープへ保存されるため、リストア後すぐ検索が可能。
  2. 暗号化ソフトCyberCryptを導入している環境の場合、暗号化パケットの複合・解析も可能。
  3. 画面デザインは洗練されており、使いやすそう。

inetSNAPs

  1. 独自の検索エンジンにより、高度かつ高速な検索が可能。
  2. バックアップの際、データの暗号化が可能。

どれもパケットをキャプチャするという点は共通ですが、せっかく記録していても解析できなければ無駄なので、その点から見るとPacketBlackHoleの対応プロトコルの多さやNetEvidenceの暗号化データ解析は大きなメリットになると思います。

CEIC2008カンファレンスレポート7

/カテゴリ:

CEIC2008カンファレンスレポートの第7弾は、モバイル・フォレンジックについて。

モバイル・デバイスが身近になったことで、フォレンジック調査の対象となる確率の増した携帯電話。この中のデータを抜き取り、解析することでフォレンジック調査を行う。

携帯電話からのデータの抜き取りには、様々な形状のコネクタが必要になるが、これらを丸ごとセットにして、ケースに入れ込んだ商品も展示されていた。

ceie_7.JPG
CEIC2008

CEIC2008カンファレンスレポート6

/カテゴリ:

CEIC2008 フォレンジック・カンファレンスの中で注目された講演の1つに、Gmail に対してのフォレンジック調査があった。当局の関心度も高く、講演会場では珍しく立ち見が出るほどの人気であった。

内容的には、Gmail におけるパケット通信、プロトコル解析など専門的な解析方法が紹介された。ハードディスクに残された情報はもとより、ネットワーク・モニタリングによる情報を含め、様々な内容であった。

Gmail を含め、メールに関するフォレンジック調査に関心のある方は、FSS.jp までご一報を。

ceic_6.jpg
CEIC2008

CEIC2008カンファレンスレポート5

/カテゴリ:

CEIC2008 フォレンジック・カンファレンスに出展されていたツールの中で、実行中のPCのRAMを解析できるツールが注目されていた。

HBGary社のRESPONDERだ。要は揮発性データのフォレンジック調査ということになるが、通常のハードディスクやUSBメモリデータのフォレンジック調査と違い、時間の経過とともに刻一刻とデータが変化してしまうため、デジタル・フォレンジック調査の中でも厄介な代物だ。

具体的には、Rootkit(ルートキット)などメモリRAM上に隠された小さな実行コードを検出し、解析するものであるが、通常OSで取れるプロセスダンプよりも、フォレンジック調査がしやすくなっているのが特長だ。

ceic_5.jpg
Cybercrime is real. How you respond is critical.

CEIC2008カンファレンスレポート4

/カテゴリ:

CEIC2008で目立つ動きとして、携帯電話を対象にしたデジタル・フォレンジック調査用ツールが増えたことが挙げられます。

携帯電話に記録されたショートメール発信履歴やデジカメ画像、動画などデジタル証拠として決定的な証拠能力になり得る割合が増加傾向にあることから、この分野のツールの重要性が増すことは容易に想像できます。

CEIC2008で出展されたモバイル・フォレンジックのツールメーカとも情報交換をし、調査官にとっての効率的なツールの情報を入手してきました。

ceic_4.jpg
CEIC2008

CEIC2008カンファレンスレポート3

/カテゴリ:

CEIC 2008のカンファレンスで情報交換した某イギリス政府の調査官から得た情報によると、デジタル・フォレンジック調査に対し、相手国からの圧力がかかり、調査中止を余儀なくされた件が最近あったそうです。

BBCニュースでも報道され、今後のフォレンジック調査再開に向けた動向が非常に関心を呼んでいます。

このフォレンジック・ケースについての詳細は、BBCのニュース記事を参照ください。

ceic_3.jpg
情報ソース: http://news.bbc.co.uk/1/hi/business/7339231.stm

フォレンジック調査の実際:メール調査①

/カテゴリ:

昨日のブログで情報漏洩の事例を紹介しましたが、どのようにして証拠調査をするのか、もう少し詳しく紹介したいと思います。
 本事例の場合、元社員による情報の漏洩の証拠を探すわけですが、疑うべき流出経路としてはメール、リムーバブルメディアでの流出が考えられました。まず、メールでの調査について書きます。

-強力な証拠調査用ツール FinalForensics-

弊社では証拠調査用のツールとしてFinalForensicsというソフトを使用しています。データ復元ソフトの定番FinalDataで培われた復元力、強力かつ使いやすい検索機能を持ち、証拠調査作業の大きな助けとなります。

-利用していたと思われるメールを調べる-

話がそれました。
メールを調べると言っても、Outlook, Outlook Express, Becky! などなど。。。色々なソフトがあります。
しかも、当然ながらメーラーによりデータの格納場所は異なっていて、一つ一つメーラーのデータを探すのも一苦労。この作業が効率よくできるようにFFSではメーラ毎にデータをソートして表示してくれます。

FFS_mail-thumb-320x335-1.jpg

対応メーラーは、AL-Mail, Becky!, Eudora, Netscape mail, Outlook, Outlook Express, Windows mailです。各メーラ毎に関連ファイルがソートされており、各ファイルが存在するフォルダもわかるようになっています。また、そのフォルダへ移動し、フォルダ内に存在する全ファイルを確認することも簡単にできます。

フォレンジックサービスhttps://www.fss.jp

元社員による情報漏洩

/カテゴリ:

わたしたちがフォレンジック調査を実施したある会社の実例です。

ある建設会社の取締役クラスの人物が退職しました。それからほどなくして、既存顧客へ競合他社から新規案件への対抗提案がなされました。状況を確認してみると、顧客の既存案件の図面や導入価格だけでなく、新規案件の要求仕様などもすべて競合他社が把握していることがわかりました。

その退職者が使用していたパソコンにフォレンジック調査を実施しました。重要顧客に関連する資料をくまなく調査したところ、退職の約2ヶ月前、10日前、退職日当日に顧客名簿、2003年~2005年の案件資料(図面、見積書を含む)などへのアクセスが確認されました。さらに、その名簿、書類の数十点については、USBメモリへのコピー、CD-ROMへのコピーが確認されました。また、詳細な調査で、会社のメールアドレスからその退職者本人のYahooメールへ重要資料をメールに添付して送っていたことが判明しました。しかも、削除されたメールのフォレンジック調査を実施すると、その送信済みメールは削除され、退職日当日に削除した送信済みメールはすべてごみ箱からも空にしてありました。これらの重要名簿・書類の外部メディアへのコピー、外部メールへの転送の履歴は、すべてこの対象者による情報漏洩の明確な証拠として、損害賠償訴訟に提出されることになりました。

退職者による情報漏洩は、企業に多大な損害を与える事態であるということを、本件でも目の当たりにすることになりました。

参考)マイクロソフトによる情報漏えい対策ガイド
http://www.microsoft.com/japan/windowsserver2003/activedirectory/kinko/default.mspx#EIB