FIDS サイバー犯罪とデジタルフォレンジック アカウンティングソリューション事業部 FIDS(不正対策・係争サポート) Cyber Crime Investigator 杉山一郎 • Ichiro Sugiyama 国内大手フォレンジック会社にてマネジャーとして勤務した後、国内大手サイバーセキュリティー会社に4年間勤務。同社のComputer Incident Response Team(CIRT)にて、情報漏えいやサイバー攻撃など、多くの情報セキュリティーインシデントに対応した経験を有 する。また、デジタルフォレンジックに関する研修プログラムを独自に開発し、国内外問わず、多くの法執行機関に提供している。GIAC Certification Forensic Analyst(GCFA)、EnCase Certified Examiner(EnCE)などの資格も保有。 Ⅰ はじめに サイバー攻撃、従業員による顧客情報の持ち出し、 フィッシング詐欺、POSシステムへのハッキング、イン ターネットバンキングにおける不正送金など、数え上 報収集等を行う一連の科学的調査手法・技術を言 います。 出典:デジタル・フォレンジック研究会ウェブサイト 〈https://digitalforensic.jp/home/what-df/〉 げていくと、きりがないほど多くのサイバー犯罪が発 サイバー犯罪が増加している現状に鑑みると、今後 生し、日々報道されています。もはや、サイバー犯罪 デジタルフォレンジックの必要性は増していくと考え はひとごとではない状況になっており、多くの組織が られます。 サイバー攻撃やサイバー犯罪に対する取り組みを強化 しています。 サイバー犯罪が発生した際、多くの人が、いつ何が Ⅱ デジタルフォレンジックの概要 起きていたのか、誰がなぜ行ったのか、といった疑問 を持ちます。被害の内容によっては、サイバー犯罪の 証拠を保全し、事実を証明したいと考えると思います。 1. 対象領域 デジタルフォレンジックはデジタルデータを対象と この場合、デジタルフォレンジックと呼ばれる技術が した鑑識技術だと説明しましたが、昨今デジタルデー 活用できます。 タは日常生活に深く関わり、さまざまな場所にさまざ デジタルフォレンジックは「デジタルデータの鑑識 まな方法で記録されています。故に、対象としなけれ 技術」と表現されることが多い技術で、デジタル・ ばならない領域が増え、対象の特性に合わせて個別の フォレンジック研究会は次のように定義しています。 技術として発展しています。次に、対象領域ごとに発 インシデントレスポンス(コンピュータやネット ワーク等の資源及び環境の不正使用、サービス妨 害行為、データの破壊、意図しない情報の開示等、 並びにそれらへ至るための行為(事象)等への対 応等を言う。)や法的紛争・訴訟に際し、電磁的 記録の証拠保全及び調査・分析を行うとともに、 電磁的記録の改ざん・毀損等についての分析・情 24 情報センサー Vol.101 February 2015 展中の主な技術について説明します。 (1)コンピュータフォレンジック ノートパソコンやサーバーなどのコンピュータを対 象とするフォレンジックです。通常、コンピュータ内 部に設置されたハードディスクドライブやソリッドス テートドライブに記録されたデジタルデータを別の媒 体に全て複製し、それを対象に分析を行います。サイ バー攻撃を受けた(受けている)コンピュータの場合、 電源オフにより消失するメモリ上のデータも複製し、 分析することがあります。この分析により、削除され たファイルが復元できたり、インターネットの閲覧状 況などが分かったりします。 • 情報の種類、保存場所、保存形式 • 起きている事象の真偽や影響を確認するために 必要な情報の種類 • 情報記録端末の所有者および法的規制の有無 • 揮発性が高い情報の有無と、ある場合の迅速な 措置方法 (2)モバイルデバイスフォレンジック スマートフォンやタブレット端末を対象とするフォ データ収集フェーズでは、分析対象の特性を見極 レンジックです。対象の機種により使用可能なデータ め、適切な手法を用いてデータ収集(保全)を行いま 複製技術が異なるほか、パスワードによる画面ロック す。この作業は、専門的な訓練を受けた人間が行うべ やデータの暗号化など、多くの技術的課題が存在しま きで、専門知識のない人間が不用意に分析対象を操作 す。また、スマートフォンなどのモバイルデバイスは、 することはデジタル証拠の破壊につながる可能性があ コンピュータに比べると、電源が原則常にオンである、 るため、極力避けなければなりません。一般にデータ 所有者のすぐ近くに存在するといった特性を持ってい 収集は、事前に十分な検査がされた専用のソフトウエ ます。そのため、位置情報の解析など、コンピュータ アまたはハードウエアを用いて行います。このフェー フォレンジックでは実施する機会が少ない分析を行う ズでは単なるデータ収集だけでなく、収集したデータ ことが多くあります。 の完全性を検証する作業も行います。 分析フェーズでは、収集したデータに対し、さまざ まな手法を用い、次のような追加の情報抽出や整理を (3)ネットワークフォレンジック ネットワーク内を流れる通信データを対象とする フォレンジックです。コンピュータ内部には残りにく い情報が含まれており、サイバー攻撃の事案では流出 した情報そのものや、流出先を分析する際に有用で す。コンピュータフォレンジックやモバイルデバイス フォレンジックに比べて、事前に専用機器を設置して おく必要性が高いのが特徴です。 2. プロセス デジタルフォレンジックは、通常<図1>のプロセ 行います。 • ソ ー シ ャ ル・ ネ ッ ト ワ ー キ ン グ・ サ ー ビ ス (SNS)のアカウントやメッセージ • 情報の窃取に使用された不正プログラム • 外部媒体の接続履歴 • 削除されたファイル • ファイルの作成や編集に関するログ • インターネットの閲覧履歴 前述の情報を抽出して時系列で整理するなどし、起 きた事象を解明します。また、必要に応じて複数の スで実施されます。 データソース、例えば複数のコンピュータとモバイル ▶図1 デジタルフォレンジックのプロセス デバイスのデータから得た情報を統合して分析します。 最後のフェーズでは、分析で判明した事実に加え、 データ収集の対象や過程を文書化します。どのような 対象の特定 データ収集 検査・分析 文書化・報告 形式で、どこまで詳細に文書化し報告するかは、報告 を受ける相手や、発生した事案に依存します。 最初のフェーズでは、発生した事案に対応するため Ⅲ デジタルフォレンジックの活用例 に何を調べるべきか、対象を決定します。ここでは、 次の点を考慮しながら進めます。 サイバー犯罪でデジタルフォレンジックがどのよう に活用されるのかを、次の発生頻度が高い二つのケー スについて説明します。 情報センサー Vol.101 February 2015 25 FIDS 1. 情報窃取を目的としたサイバー攻撃を受けたケース 最近よく見受けられるサイバー攻撃の流れは<図2> のとおりです。サイバー攻撃を行う犯罪組織は、攻撃 の成功率を上げるため、ターゲットに関する情報を SNSなどにより収集するケースが多くあります。ま た、関係組織を先に攻撃し、メールの認証情報などを 窃取するケースも見受けられます。攻撃者は収集した 情報を使い、最初の攻撃を実施します。例えば、ター ゲットが添付ファイルやメール本文のURLを開いて しまうようなメールを送付してきます。この場合、添 ぜいじゃく 付ファイルを開くと、ソフトウエアの脆弱性などが悪 • 最初の攻撃に関する詳細(攻撃日時、設置され たマルウエア、利用された脆弱性など) • マルウエアの通信先(攻撃者の指令を発行する サーバーのIPアドレスなど) • 最初の活動拠点を利用して侵害されたコンピュー タの情報 • 組織内での活動に使用された手法(ソフトウエ アなど) • データの転送先に関する情報 • 窃取された(漏えいした)可能性がある情報 用され、マルウエアがターゲットのコンピュータに設 こうした情報は、単に事実の確認だけでなく、追加 置されたりします。このマルウエアは、遠隔地にいる の攻撃に対する防御や、ログなどのモニタリングに活 攻撃者がターゲットのコンピュータを自由にコント 用できます。特に、昨今のサイバー攻撃は手口が巧妙 ロールしたり、同じネットワーク上のコンピュータを で気付きにくくなっているため、デジタルフォレン 侵害したりするために使用されます。次に、攻撃者は、 ジックを活用した定期的な診断が、早期の攻撃検知に 目的のデータを窃取するためにアカウントの認証情報 つながり有効といわれています。 の窃取などを行い、活動可能な範囲を拡大していきま す。最終的に目的のデータを入手したら、あらかじめ 2. 従業員が会社の顧客情報を持ち出したケース 用意したサーバー(このサーバーも被害者である可能 内部の人間による情報持ち出しの多くが、セキュリ 性がある)にデータを転送し、攻撃に関する活動痕跡 ティー対策の穴や、不十分な職務分離が原因で発生し などを消去します。 ています。そのため、デジタルフォレンジックを活用 このようなケースにおいて、デジタルフォレンジッ し、次のような調査を行います。 クの活用により、次のような情報を得られる可能性が あります。 ▶図2 サイバー攻撃の流れ • SNSや電話を活用し、標的に • 最初の攻撃 • 関連組織(子会社など)への • ソフトウエアの脆弱性やソー 関する情報を収集 攻撃 • ターゲットが頻繁に参照する (攻撃者の活動拠点の確保) シャルエンジニアリング利用 (事前に収集した情報の活用) ウェブサイトにマルウエアを 設置 • 目的のデータや、追加の攻撃 に活用するためのデータを、 攻撃者が用意したサーバーな どに転送 • マルウエアなどの攻撃に関す る痕跡を削除 26 情報センサー Vol.101 February 2015 • 確保した活動拠点をベースと し組織内の活動範囲を拡大 • アカウントやネットワークに 関する情報を収集 • 情報にアクセスする権限を有する、あるいは利 アーカイブサービスなどを利用し、過去のメー 用できるユーザーのコンピュータやモバイルデ ルデータにアクセスできますが、限定的であ バイスからデータを収集し分析 り、調査したい時期のメールを保全および分析 • USBメモリなどの外部デバイスの接続履歴 • クラウドサービスやSNSの利用状況 • 削除されたファイルの復元 • コンピュータの操作ログ、ファイルサーバーの アクセスログ、プロキシサーバーのログなど、 各種ログを収集し分析 こうした調査を実施しても、情報漏えいの痕跡が発 見されないことがあります。これは、情報漏えいが起 きていないことを意味するわけではありません。単に 痕跡が削除された後に別のデータによって上書きされ た可能性や、情報持ち出し時期が古過ぎてログなどが 残っていない可能性も示唆します。 つまり、デジタルフォレンジック技術を活用すれば できない可能性があります。 • クラウドサービスを利用しているウェブサイト がサイバー攻撃を受けたため、調査を実施した いという場合、クラウドサービス事業者が提供 する管理画面などからはアクセスできない領域 (例えば、削除されたファイルが含まれる未使 用領域)の保全が必要となります。しかし、物 理的なサーバーの場所や他の利用者への迷惑が 掛かるといった理由から、保全が実施できない 可能性があります。 このような課題を考慮し、デジタルフォレンジック 技術の活用時に、どのような対応をすべきか検討して おくことは非常に有意義です。 何でも分かるわけではありません。情報漏えい対策を 考える場合、デジタルフォレンジック(事後対応)の 限界を知り、漏えいを早期に検知するためのモニタリン グや、漏えいさせないための職務権限の分離(実行責 任者と承認責任者を別々にする)も併せて実施するこ とが、地味ですが有効な手段となります。 お問い合わせ先 アカウンティングソリューション事業部 FIDS(不正対策・係争サポート) Tel:03 3503 3292 Ⅳ デジタルフォレンジックにおける最近の課題 デジタルフォレンジックでは、さまざまなデータを 保全し、解析する必要があります。最近、この対象と なるデータの保存先が多様化し、保全や解析が難しく なっています。その中でも、特にクラウドサービスの 普及と、従業員所有のモバイルデバイスの業務利用は、 デジタルフォレンジックに次のような大きな課題をも たらします。 • 持ち出した情報が個人契約のクラウドサーバー やモバイルデバイス上に保存されている場合、 利用者への同意を得ずにアクセスできません。 場合によっては、持ち出された情報の詳細を得 られない可能性があります。 • 企業のメールデータやメーリングリストの情報 がクラウドサーバー上にのみ保存されている状 況で、過去にさかのぼって調査が必要となる場 合があります。クラウドサービスによっては、 情報センサー Vol.101 February 2015 27
© Copyright 2024 ExpyDoc
