目 次 1. 初 めに 2. 警 察 などにおけるデジタル フォレンジック 3. 民 間 におけるデジタル フォレンジック 4.デジタル フォレンジックの 最 近 の 動 向 と 対 応 5. 今 後 の 方 向 2

証拠の保全と

デジタル・フォレンジック

２０１４年３月５日 MELT up フォーラム 日本の情報通信産業の盛衰から再生へ

IDF会長

東京電機大学教授

佐々木良一

[email protected]

目次

１．初めに

２．警察などにおけるデジタル・フォレンジック

３．民間におけるデジタル・フォレンジック

４．デジタル・フォレンジックの最近の動向と対応

５．今後の方向

2

目次

１．初めに

２．警察などにおけるデジタル・フォレンジック

３．民間におけるデジタル・フォレンジック

４．デジタル・フォレンジックの最近の動向と対応

５．今後の方向

デジタル・フォレンジックのイメージ

Digital Forensics：「デジタ ル・フォレンジック」 捜査や裁判に必要な情報を、 情報処理技術を用いて明ら Forensic Medicine：「法医 学」 捜査や裁判に必要な情報 を医学知識を利用して明ら Forensicというのは「法の」とか「法廷の」という意味を持つ形容詞や、 「捜査や法廷で役に立つもの」の意味を持つ名詞（通常_Forensics） 4 情報処理技術を用いて明ら かにする技術や学問 を医学知識を利用して明ら かにする技術や学問 不正侵入 侵入手口 は？ 侵入経路 は？ 死因は？、 凶器は？、 犯人の血液 型は？ 殺人事件 デジタルフォレンジックをデジタル鑑識と訳す人もいる

目次

１．初めに

２．警察などにおけるデジタル・フォレンジック

３．民間におけるデジタル・フォレンジック

４．デジタル・フォレンジックの最近の動向と対応

５．今後の方向

利用者による

_DFの分類

デジタル・フォレンジック（ＤＦ） （インフォメーション・フォレンジックという場合もある） 警察などにおけるデジ タルフォレンジック 訴訟される側のＤＦ 企業におけるデジタル フォレンジック タルフォレンジック 訴訟する側のＤＦ 6

大相撲八百長問題

2011年に発覚した、日本相撲協会の現役の大相撲

力士による大相撲本場所での取組での八百長への

関与に関する問題

関与に関する問題

前年

_{2010年に起きた大相撲野球賭博問題の捜査に}

おいて、賭博に関与した力士から証拠として押収し

た

携帯電話のメール

を調べていて発覚

消去していたはずだが

データ消去とは（１）

• データとファイル構造

– “データ”は PCや携帯内に「ファイル」として存

在

データ消去とは（２）

データの取り出し

• データ消去の行っている事

特殊なソフトを使う

と取り出し可能

こんなもののデータまで復元できた

2003年2月1日「コロンビア号空中分解事故」において、地上 にたたきつけられたハードディスクから_{Kroll Ontrack Inc.が} データを復元

http://gigazine.net/news/20080509_ shuttle_hd_recover/

Seagate製400MBの2.5インチ ハードディスク

警察などにおける

_{DFの適用候補}

１．殺人など犯罪の証拠の_{PCからの確保} （電子メール、インターネット検索履歴、その他） ２．児童ポルノの保管証拠の確保 対象は一 般犯罪 12 ２．児童ポルノの保管証拠の確保 ３．脅迫文書の_{WEBサイトへの書き込み者の特定} ４．コンピュータウイルスの作成の証拠確保 対象はコン ピュータ関 連犯罪

大量殺人 予告など インターネット

脅迫文書の

_{WEBサイトへの書き込み}

正規サイト インターネット 不正者 プロバイ ダー 脅迫文書書き込み

インターネット

脅迫文書書き込み者の推定方法

警察による捜 査（含むフォレ 警察 ③その_IPアド レスを対応時 正規サイト インターネット 不正者 プロバイ ダー 査（含むフォレ ンジック） ①書き込み時刻 と到着パケットの 対応付け ②到着パケットの IPアドレス管理プ ロバイダーの特定 刻に使ってい た申請者の特 定

目次

１．初めに

２．警察などにおけるデジタル・フォレンジック

３．民間におけるデジタル・フォレンジック

４．デジタル・フォレンジックの最近の動向と対応

５．今後の方向

利用者による

_DFの分類

デジタル・フォレンジック（ＤＦ） （インフォメーション・フォレンジックという場合もある） 警察などにおけるデジ タルフォレンジック 訴訟される側のＤＦ 企業におけるデジタル フォレンジック タルフォレンジック 訴訟する側のＤＦ 16

民間での利用例

（インシデントレスポンス対応）

何か起きた 時に備えて 証拠が消え_る前に 事件の発生 民間は _警察は事 ＜事前＞ _＜事後＞ 信頼できる認証基盤の確立 通信や操作記録の収集・保管 記録やログの改ざん抑止 ログや記録の監視によるイン シデント発見 電磁的記録の保全と収集・解析 収集過程と解析結果の文書化 証拠の改ざん・毀損の有無の立証 証拠保全後のシステムの速やかな 回復 民間は 両方 警察は事_後のみ

調査範囲の違い

交換機 （ﾙｰﾀ） 交換機 （ﾙｰﾀ） 攻撃 （１）リモートでのログ監視、 データ復元などを用いた侵入 経路切わけ （２）攻撃元の特定 攻撃パケットの発信元検知など （プロバイダーの協力 ＩＰトレースバック技術など） 攻撃元は組織内か 組織外か 18 交換機 （ﾙｰﾀ） 交換機 （ﾙｰﾀ） 交換機 （ﾙｰﾀ） 伝送路 ネットワーク LAN 不正者 管理者 企業内 攻撃 警察などの捜査範囲 企業などの調査範囲

デジタル・フォレンジックツールの比較

名称など 開発者_{（販売会社）} 機能など 備考 Encase (1997年発売) Guidance Software社 （商品） ＰＣ内のデータの復元 メインメモリーのデータ の監視など 報告書の作成など (1997年発売) （商品） 報告書の作成など Access Data社 （同上） Ultimate Tool Kit

（２００４年発売） 証拠性保全のための 総合的ツールキット （ＰＣ内のデータの復元、 パスワード解読、報告 書の作成など） Ｆｏｒｅｎｓｉｃ Ｔｏｏｌ Ｋｉｔが中心

AccessData社の製品

20

デジタル・フォレンジックの手順

PCの押収 証拠の保全 解析 報告書作成 押収_PC ＜押収_HDD＞ 取り出し ① ② ③ ④ 報告書 取り パス ワード 解析 21 取り出し 物理コ ピー 完全 消去 証拠 取得 用 HDD 解析 用 ハッシュ値 解析用に データ変 換 フォレンジッ ク用_PC 逆方向書き込 み防止装置 取り 出し レジス トリー の解析

物理コピーと論理コピー

論理コピー （ファイルコ ピー） 証拠保全用ＨＤＤ 押収ＨＤＤ 22 物理コピー ファイル 削除ファイル フリースペース

レジストリーとは

レジストリ（Registry） Windows 95以降で、各種の環境設定やドライバの指定、 アプリケーションの関連付けなどの情報を保存しているファイル。 Windows 3.1で使われていたINIファイルが発展したもの。各種 のプロパティや設定メニューを変更すると、そのほとんどはレジス トリに保存される。INIファイルの場合はアプリケーションごとに用 トリに保存される。INIファイルの場合はアプリケーションごとに用 意されるため、アプリケーションが増えてくると管理が複雑になっ た。同時に、INIファイルの多くはテキスト・ファイルであるため、だ れでも簡単に編集できるが、これが逆に動作不良などのトラブル の元にもなっていた。そこでWindows 95以降では、すべての設 定情報をレジストリで一元管理し、バイナリ・ファイルとして保存す ることで簡単に内容を変更できないようにした。 日経ＢＰ社 『日経ＢＰデジタル大事典 _{2001-2002年版』}

書き込み防止装置

24 24

ツールを使わなくてもこんなこと

が分かる（１）

C:¥WINDOWS¥prefetch を調べると最近使ったプロ グラムがわかる。

プリフェッチ

この例だと、１６：４５に sol.exeを実行したことが示 されている。 Windows-XPの 場合

sol.exeプログラムの実行

26

ツールを使わなくてもこんなこと

が分かる（１）

C:¥WINDOWS¥prefetch を調べると最近使ったプロ グラムがわかる。

プリフェッチ

この例だと、１６：４５に sol.exeを実行したことが示 されている。 定時内にソリティアゲーム をしたことが分かる

ツールを使わなくてもこんなこと

が分かる（２）

ｐｐｔで「ファイル」 ＝＞「プロパティ」 で左記入のような表示 28 「インターネット時代の セキュリティ」用に作っ たｐｐｔを修正して使っ ていることがわかる。 （他の人が下書きを 作ったのがばれる場 合も）

COC(Chain of Custody)

デジタルデータは改ざんや消去を容易に行うことができる。 証拠の確保のために適切に処理されていることを証明する ことが必要。 COC（Chain of Custody：保管の連続性）が重要になる。（そ のためコピー先ディスクの完全消去やハッシュ値の利用を 行う）

DFで使う技術の分類

① 削除されたファイルや物理的に破壊 １．証拠保全技術 ① アクセスログや通信ログなどの記録_{② データの変更の防止やバックアップ} 30 ① 削除されたファイルや物理的に破壊 された媒体を復元 ② 暗号化されたファイルの復号 ③ 証拠隠滅の痕跡の調査など ① 得られた大量のデータから有用な データを抽出する（データマイニング） ② 得られたデータが改ざんされていない かの分析 ２．証拠収集技術 ３．証拠分析技術

分析手順の基本

１．いろいろなツールを用いてタイムライン（時系列に並べ た事象の痕跡）を構築する。 ２．これらのタイムラインを解析し、本来ありえないような ２．これらのタイムラインを解析し、本来ありえないような 使い方をしてないか検証する。 ３．この過程で作業者のねつ造や偽装工作の可能性を否 定するため作業の様子を撮影したり、元データのハッシュ 値を残しておく。＝＞法廷で利用できなければならない。

利用者による

_DFの分類

デジタル・フォレンジック（ＤＦ） （インフォメーション・フォレンジックという場合もある） 警察などにおけるデジ タルフォレンジック 訴訟される側のＤＦ 企業におけるデジタル フォレンジック タルフォレンジック 訴訟する側のＤＦ 32

企業が訴訟を受ける場合

（１）企業が企業を訴訟する場合 業務依頼を受けたビジネスの相手から、守秘義務の違反や、不 誠実な業務であったとして契約違反で、訴えられる可能性がある。 （２）国などが企業を訴訟する場合 （２）国などが企業を訴訟する場合 SOX法（米国企業改革法）や商法（証券取引法など）などの違反 で、訴えられる可能性がある。 （３）個人が企業を訴訟する場合 企業の不正の告発や、組合活動などのために、会社から不当な 扱いを受けたということで従業員が、企業を訴訟する場合が考え られる。

日本企業が米国の訴訟に巻き込まれる例

日本本社 本社幹部のPC データの開示要求 など 関連部署 工場 法務 訴訟の種類 特許訴訟 環境訴訟 経営陣 34 米国企業 日本企業現地法人 訴訟 米国進出 法務 知財 研究所 会計 環境訴訟 PL訴訟 SECからの 開示命令 PL：製品責任法 準備なしに情報開示を行うコストは膨大 以下、日本企業が米国の訴訟に巻き込まれる場合を対象とする

望ましくない結果（損害）の例

情報漏洩事件の加害者として相手から訴えら

れ、自分の無過失または軽過失を証明できず、

有罪または重過失と判断されて、過大な損害賠

償をせざるを得なくなる

【濡れ衣、そこまではやってない】

訴訟する側の証拠性確保と

される側の証拠性確保の違い

訴訟する側の証拠性確保 訴訟される側の証拠性確保 １．訴訟に耐える証拠 を１つでもつかめば良 １．すべての証拠が改 ざんされず残っている 36 を１つでもつかめば良 い ２．相手がデータを消 去・破壊するかもしれ ない ざんされず残っている ことの心証形成が必要 ２．データを扱う本人の 行為の証拠性なので 何らかのTrusted Third Partyが必要

不正を行っていないことの

心象形成の準備

（１）企業のシステムが不正を行えないようになっている ことの規則作り ＝＞ポリシー作成 （２）職員が不正を行っていないことの監視と証拠の確 （２）職員が不正を行っていないことの監視と証拠の確 保 ＝＞基本的には従来と同じ （３）経営者や管理者であっても不正を行えないことの仕 組みづくり ＝＞運用や技術で対応 将来は_{Trusted OSや専用ハード}

これで不正は行えないはず。

しかし、

_{PCの持ち主がPC内でログデータの改ざんを}

行った後、署名をしたら不正は容易

PC内での不正を防止するために

38

ICカード（スマートカード）のような耐タンパー装置の中な

ら装置の持ち主であっても不正はできない

PC全体を耐タンパー化できないか（研究1）

研究１ 耐タンパー高速処理装置

耐タンパ性を持ち高速処理を行える

ＰＣベースのハード・ソフト

Hi

gh

G

rade

A

nti-

T

amper

E

quipment

HiGATE

を試作した

目次

１．初めに

２．警察などにおけるデジタル・フォレンジック

３．民間におけるデジタル・フォレンジック

４．デジタル・フォレンジックの最近の動向と対応

５．今後の方向

40

デジタル･フォレンジックの必要性

No

目的

％

１ 2 法的紛争時の対応のために コンプライアンス・内部統制のために ４２％ ２１％ 41 2 3 4 5 コンプライアンス・内部統制のために 情報セキュリティマネジメントのために 行政や取引先との関係のために ほとんど必要ない ２１％ ７１％ ２７％ ５％ 向井徹、足立正浩「フォレンジック関連ビジネス動向」日本セ

対象による

_DFの分類

種類 対象 ディスクフォレンジック （コンピュータフォレン ジック） ハードディスクを中心とした不揮発 な記憶媒体 ネットワークフォレン ジック ネットワーク機器、サーバのログな ど 電子メールフォレン ジック 電子メールを中心とするデータ Webフォレンジック Webサイトに関連するデータ モーバイルフォレン ジック 携帯電話、携帯端末、スマートフォ ン等のデータ 42 情報セキュリティ白書２０１１より

標的型攻撃の概要

①標的型メール送信 （ウイルス付き） ② 添付ファ イルを不注意 でダブルクリッ ク＝＞感染 ③ 強制接続 ④ 攻撃指令と _{⑤感染の拡大＊} C&Cサーバ ④ 攻撃指令と 攻撃用ソフトの 送信 ⑤感染の拡大＊ 不正者管理 サーバなど ＊ソフトのぜい弱性やパスワード管理の不備を利用 ⑤ 重要情報 の流出＃

標的型攻撃と対策案

初期 侵入 侵入の 拡大 目的の 遂行 標的型メール ぜい弱性をつ_いた攻撃 機密情報の盗み出し 攻撃法 44 不正メール の見極め 不正送出の 検知・防止 ① パケット系のログ・証跡管理（ネットワークフォレン ジック）の充実による被害実態の早期把握

② 組織内CERT（ computer emergency response team ） の設置と継続的充実による早期対応 など

対策案

セキュリティパッチ アクセス制御など

1人でも標的型メールを開ける確率①

N人の組織でｎ人に標的型 メールがあり_{1人でも標的型} メールを開けると被害はど んどん拡大する。 今、_{i人目の人が開ける確率} を_{Piとすると組織の中で誰} n人 を_{Piとすると組織の中で誰} かひとりが開ける確率は次 式で求められる。 ｎ PT＝１－Π （1-Pi） i=1 Piがすべて同じだとすると ｎ 感染の拡大＊

だれか

_{1人が標的型メールを開ける確率②}

Pi n １０ ５０ １．０ ０．１ _０．０１ １．０ １．０ ０．６５ _{０．０９６} １．０ _０．３９ ０．０３ ０．２６ ０．８７ 46 ５０ １００ ５００ １．０ １．０ １．０ １．０ １．０ １．０ ０．３９ ０．６３ ０．９９ n ： 組織に属する人の数 Pi ： i 番目の人が開ける確率 Piを少々小さくしてもnが大きいと効果がないことがわかる。 ＝＞セグメントの分離なども考えるべき ０．８７ ０．９５ １．０

標的型攻撃と対策案

初期 侵入 侵入の 拡大 目的の 遂行 標的型メール ぜい弱性をつ_いた攻撃 機密情報の盗み出し 攻撃法 不正メール の見極め 不正送出の 検知・防止 ① パケット系のログ・証跡管理（ネットワークフォレン ジック）の充実による被害実態の早期把握

② 組織内CERT（ computer emergency response team ） の設置と継続的充実による早期対応 など

対策案

セキュリティパッチ アクセス制御など

ネットワークフォレンジックの対応フェーズ

ネットワー ク関連ロ 機能 各種ログ の統合管 フェーズ１ フェーズ２ フェーズ３ フェーズ４ フェーズ５ 今後 大多数 の企業 先進的_企業 監視情報 管理のイン テリジェン 対応 状況 ログ統 合管理 ツール SIEM

SIEM: Security Information and Event Management LIFT: Live Intelligent Network Forensic Technologies

LIFT ネット ワーク監 視ツール なし ク関連ロ グの収集 ツール 機能 _の統合管 理 との統合 テリジェン ト化

標的型攻撃対策のための

適切なログの管理（その１）

＜機器によらない全般的な対策＞ １．各ログ取得機器のシステム時刻を、タイムサーバを 用いて同期する。 49 用いて同期する。 ２．ログは１年間以上保存する。 ３．複数のログ取得機器のログを、ログサーバを用い て一括取得する。 ４．攻撃等の事象発生が確認された場合の対処手順 を整備する。 内閣官房情報セキュリティセンター： http://www.nisc.go.jp/active/general/pdf/logkanri_kanki_120705.pdf

標的型攻撃対策のための

適切なログの管理（その２）

＜機器別の対策＞ １．ファイアウォール：「外⇒内で許可した通信」と「内⇒外 で許可・不許可両方の通信」のログを取得する。 50 ２．_{Web プロキシサーバ：接続を要求した端末を識別でき} るログを取得する。 ３．他のシステムや機器の権限を管理するサーバ（LDAP, Radius 等）：管理者権限による操作ログを取得する。 内閣官房情報セキュリティセンター： http://www.nisc.go.jp/active/general/pdf/logkanri_kanki_120705.pdf

標的型攻撃対策のための

適切なログの管理（その３）

＜機器別の対策＞ ４．メールサーバ：「メールの送受信アドレス」及び「メッセ ―ジID」のログを取得する。 ５．クライアント_{PC：マルウェア対策ソフトウェアの検知・ス} キャンログ・パターンファイルのアップデートログを取得する。 ６．DB サーバ・ファイルサーバ：特別なログ設定は不要だ が、確実にログを取得する。 内閣官房情報セキュリティセンター：

ネットワークフォレンジックの対応フェーズ

ネットワー ク関連ロ 機能 各種ログ の統合管 フェーズ１ フェーズ２ フェーズ３ フェーズ４ フェーズ５ 今後 大多数 の企業 先進的_企業 監視情報 管理のイン テリジェン 対応 状況 ログ統 合管理 ツール SIEM

SIEM: Security Information and Event Management LIFT: Live Intelligent Network Forensic Technologies

LIFT ネット ワーク監 視ツール なし ク関連ロ グの収集 ツール 機能 _の統合管 理 との統合 テリジェン ト化

目次

１．初めに

２．警察などにおけるデジタル・フォレンジック

３．民間におけるデジタル・フォレンジック

４．デジタル・フォレンジックの最近の動向と対応

５．今後の方向

ネットワークフォレンジックの対応フェーズ

ネットワー ク関連ロ 機能 各種ログ の統合管 フェーズ１ フェーズ２ フェーズ３ フェーズ４ フェーズ５ 今後 大多数 の企業 先進的_企業 監視情報 管理のイン テリジェン 対応 状況 ログ統 合管理 ツール SIEM

SIEM: Security Information and Event Management LIFT: Live Intelligent Network Forensic Technologies

LIFT ネット ワーク監 視ツール なし ク関連ロ グの収集 ツール 機能 _の統合管 理 との統合 テリジェン ト化

SIEMの問題点と対策案

１．対策の総合的判断が過剰に運用者の能力に依存 （１）判断の自動化 （２）対応に関する適切なガイド ２．判断に利用する情報が不十分 （１）パケットを流した元のプロセスの探索方法の確立 AI技術の活用 55 （１）パケットを流した元のプロセスの探索方法の確立 （２）_{LIVEメモリー情報のトリガーベースの効率的収集} （３）不当に消されたデータの持つ情報の有効利用 （４）ゾーンニングなどの能動的行動によって得られる情報の 有効利用 ３．対象に合致したシステムの構築運用支援が不十分 （１）計画支援システムとのリンク （２）実証実験システムとのリンク

LIFTシステムの概要

知識 Fire Wall 各種ログ 状況認識知識 獲得用実験シ ステム 検知シ ステム 計画支援 システム ルータ システム LIFTシステム（自動運転や操 作ガイド） （１）基本：_{AIベースシステム} （２）追加情報：①原因アプリ、 ②_{LIVEメモリー、③消去デー} タ、④能動的操作結果など

サイバー・セキュリティ研究所

東京電機大学

総合研究所 他部門 他部門 情報研究部門 他部門 他部門 他部門 他部門 情報研究部門 他部門 他部門 サイバー・セキュリティ研究所 （所長：佐々木良一教授 副所長：上野洋一郎教授） 2013年9月発足 現在５つの 共同研究プ ロジェクトの 1つとして実 ＴＤＵ－ＭＣＳＴＲＰ：複合領域サイバー・セキュリティ ＴＤＵ－ＭＣＳＴＲＰ

終りに

１．サイバー攻撃はますます厳しくなり、デジタル・フォレン ジックの必要性も増大するだろう。 ２．日本のデジタル・フォレンジック研究も産業も、米国など に比べて優れているとはいえない。 58 に比べて優れているとはいえない。 ３．しかし、製品は予測コーディング関連e-Discoveryツール など日本がよいポジションにあるものも出てきている。 ４．研究も今後、世界のトップレベルのものを作り出していき たいと考えている。多くの研究者のこの分野への進出が期 待される。＝＞情報通信産業の活性化には不可欠。

END

END