サイバーセキュリティインシデントが発生した際に、企業や個人が被害を最小限に抑え、法的証拠を確保するためには「フォレンジック調査」が非常に重要です。本記事では、フォレンジック調査とは何か、その重要性、具体的な手順について詳しく解説します。また、フォレンジック調査に関して特に重要なポイントや、実施に際して注意すべき点も紹介します。
本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
フォレンジック調査とは
フォレンジックとは、パソコンや携帯、サーバー等のログや変更履歴を解析することで、不正行為の証拠を収集する調査手法です。
これによりハッキング、不正アクセス、情報漏洩、社内横領、労務問題などの証拠調査を行うことができます。また、フォレンジック技術はデジタル遺品のパスワード解析にも応用されています。
官公庁や警察の調査でも使用される技術
フォレンジック(forensic)という言葉自体には「法廷の」という意味を持っており、コンピュータ等の記憶媒体に保存されるファイルやアクセスログなどを解析する技術を、デジタル・フォレンジックと呼びます。本記事ではデジタル・フォレンジックを便宜上フォレンジックと呼びます。
電子端末のデータを裁判所や警察に提出する法的証拠として活用する場合、フォレンジック調査では機器を解析する前に証拠保全作業を行うため、官公庁や警察の調査でも利用されています。
また、警察でフォレンジック調査が困難な場合、民間のフォレンジック調査会社や研究機関と連携することもあります。
出典:npa.go.jp
フォレンジックの活用事例
フォレンジックを活用したインシデントの事例は以下のようなものがあります。
インシデント・事件名 | 被害規模や内容など |
大相撲野球賭博・八百長問題 | 力士が野球賭博・八百長に関与している可能性が発覚した事件。携帯電話を押収し、フォレンジック調査を行ったところ、削除したメールの履歴を復元し、賭博・八百長の証拠が明らかになった。 |
株式会社ビジネスブレイン太田昭和 マルウェア感染事例 | セキュリティ装置が社内端末が感染していることを検知。その後フォレンジック調査を行った。認証サーバやその他の端末には被害が拡大していないことを確認した。 |
フロッピーディスク改ざん事件 | 大阪地検特捜部の主任検事がフロッピーディスクを改ざんした疑いが上がった事件。フォレンジック調査を実施し、データの同一性が存在しないことが証明され、検事は逮捕・送検された。 |
出典:日本経済新聞
出典:東洋経済ONLINE
フォレンジック調査の必要性
フォレンジック調査が必要な理由は、デジタルデータの削除や改ざんが容易なためです。データを法的証拠として裁判所などに提出する際、改ざんなどが行われていないことを裏付けるために必要となります。
またフォレンジック調査は犯罪の解明以外にも、サイバー攻撃の調査で活用することができます。サイバー攻撃の中には、不正アクセスを行った際などにログなどの痕跡が残らないものがあるため、一般的なセキュリティソフトを導入するだけでは対策しきれない場合もあります。
フォレンジック調査の中には、痕跡が残りにくいサイバー攻撃を調査する技術があるため、調査を通じてシステムの脆弱性を特定することで、調査結果を元に適切なセキュリティ対策を実施することができます。
フォレンジック調査の種類
フォレンジック調査には、調査する端末や方法によって名称が異なります。主なフォレンジック調査の種類は以下の通りです。
- コンピュータフォレンジック
- ネットワークフォレンジック
- モバイルフォレンジック
- ファストフォレンジック
コンピュータフォレンジック
コンピューターフォレンジックは、デジタルデバイスやネットワーク上の法的証拠を収集・分析する方法です。主にセキュリティインシデントの調査や犯罪捜査に用いられ、デジタルデータの回復、暗号化の解除、不正アクセスの追跡などを行います。
コンピュータフォレンジックでは以下のデータを調査することがあります。
- レジストリ
- システムログ
- アプリケーションログ
- インターネット閲覧履歴
- メールデータ(本文や添付ファイルを含む)
- 写真や動画などのメディアファイル
- 削除されたファイル
- 隠しファイル
ネットワークフォレンジック
ネットワークフォレンジックは、ネットワーク上の通信データを収集・分析し、セキュリティインシデントの調査や原因究明を行う技術です。主に、不正アクセスやデータ流出などのネットワークを介したインシデントの調査に用いられます。
コンピューターフォレンジックがPCのHDDなど端末内のデータを対象とするのに対し、ネットワークフォレンジックはファイアウォールやルーター、サーバーのログなど、ネットワーク上を流れる情報を分析します。「いつ」「どの経路で」「どのような」通信があったかを特定し、侵入経路の遮断や感染端末の隔離などの対応につなげます。
モバイルフォレンジック
モバイルフォレンジックは、スマートフォンやタブレットなどのモバイルデバイスから、デジタル証拠を収集・分析する技術です。通話履歴、メッセージ、画像、位置情報、ブラウザ履歴などのデータを対象とし、サイバー攻撃調査や社内不正調査に活用されます。
モバイルフォレンジックの特徴は、デバイスの揮発性データや位置情報など、他の手法では取得困難な情報を収集できることです。一方でスマートフォンのストレージは強力に暗号化されており、完全なコピーの取得が困難なことや、root権限の制限により、システムファイルへのアクセスが制限されているなど、技術的に困難な調査になります。
ファストフォレンジック
ファストフォレンジックは、従来のフォレンジック調査と比べて必要最低限のデータを短時間で収集・解析する技術です。短時間で感染経路などの原因究明や被害範囲の特定を行えるため、適切かつ効果的なセキュリティ対策の実行につなげることができます。
ファストフォレンジックで調査するデータ例は以下の通りです。
- パソコンの処理中データ
- システムの動作履歴
- マルウェアの痕跡
- 不正アクセスの記録
これらのデータは、電源を切ったり時間が経過したりすると消失する可能性がある揮発性の高い情報です。これらを迅速に収集・分析することで、攻撃者の侵入経路や活動状況を把握し、適切な対応策を講じることができます。
インシデント別フォレンジック調査の内容
フォレンジック調査が必要になる場合は以下のような場合が与えられます。訴訟利用の証拠が必要となる場合や、サイバー攻撃の被害に遭った場合に多く利用されています。
- 社内の不正・労務問題
- ハッキング・サイバー攻撃・ウイルス感染
- その他の調査
社内の不正・労務問題
横領やデータ改ざん、社員による退職による情報持出しなど、社内で人為的な不正が行われる際には、デジタル機器が頻繁に悪用されています。その場合はフォレンジック調査が有効です。
情報漏えい調査
退職者の情報持ち出しや横領などの社内不正などにより情報漏えいが発生した際に、電子端末から情報漏えいがどこから発生したか、被害範囲などの調査を行うことができます。
フォレンジック調査においては社内で利用しているPCやスマホ、社内サーバーなどを調査し、以下のデータ内容などを調査して証拠として保全します。
- USBメモリなど外付け機器の接続履歴
- 削除したファイル・メールの調査
- 指定キーワードによる検索
- インターネットや社内サーバへのアクセス履歴
- 端末の基本情報
退職者調査
退職者が社内で不正を実行していた場合、使用していた機器から証拠が無いように、データが削除されている可能性が高いです。
そのため、フォレンジック調査会社では、削除された情報を復元し、復元された情報から証拠の収集・解析を行うことも可能です。 損害賠償や賠償などを目的として、調査するケースが多いため、証拠保全や調査レポートの作成が必要になります。退職者調査については以下の記事でも紹介しています。
>退職者の不正調査のやり方とは | 企業が行うべき対応を解説
労働議事・労働争議(残業代・ハラスメント)
労務問題における「残業代不当請求」や「職務怠慢・ハラスメント」など、会社内部で労務関連の調査が必要な場合にもフォレンジック調査が利用されています。
調査内容によってフォレンジック調査で調べるデータの内容も変化しますが、PCの利用状況を調査することで勤務の実態や改ざんの有無などを把握したり、チャット・メールの復元によって関係者や他に社内不正を行っていないかなどを確認することが可能です。
横領・脱税・データ改ざん
フォレンジック調査で社用端末などを調査して、横領・脱税・データ改ざんの調査を行うことが可能です。
横領や脱税については、社内の報酬不当利用・着服などの証拠を収集・解析し、業務上横領罪・単純横領罪などに当たらないかの調査や、脱税事実の所在を調査することができるこれらは本来の関係のないデータへのアクセス履歴や、不正を行っていた行為があった電子メールなどを調査します。
社内不正調査におけるデータ改ざん調査では、勤怠や財務帳簿などが改ざんされていないか調査します。
ハッキング・サイバー攻撃・ウイルス感染
「ハッキングやサイバー攻撃の被害にあった」「マルウェア感染してしまった」といった場合にもフォレンジック調査が利用されています。これらはデジタル機器やネットワーク中に行われるため、フォレンジック調査によって被害の有無を確認したり、被害端末・漏洩したデータの特定が可能です。
マルウェア感染・ランサムウェア感染調査
マルウェアとは、、悪意のあるソフトウェアの総称で、データの盗難、システムの破壊、不正な操作を行うプログラム全般を指します。有名なマルウェアには「トロイの木馬」「スパイウェア」「ランサムウェア」などがあります。
マルウェアの中でも、ランサムウェアは、感染した電子端末のファイルを暗号化し、データの復号と引き換えに身代金を要求します。
ランサムウェアは企業を狙って感染する場合がほとんどで、一度感染すると長期間にわたる業務停止や大規模な情報漏えいなど甚大な被害が発生する可能性が極めて高いため、感染したらフォレンジック調査も必要になります。
マルウェアに感染した際には、以下のような内容を調査します。
- マルウェアの感染の有無
- データの暗号化の解除
- 個人情報流出の有無
- ダークウェブ上での情報流出の有無
- 被害範囲の特定
- 感染経路の特定 など
ランサムウェアに限らずマルウェアに感染すると、情報漏えいが発生している可能性が高いです。法人の場合は、改正個人情報保護法に基づき、情報漏えい時個人情報保護委員会や被害者への報告が義務化されました。
したがって、マルウェア感染の被害を受けた場合、情報漏えい調査ができるフォレンジック調査はほぼ必須となっています。マルウェア感染調査については以下の記事でも解説しています。
ハッキング・不正アクセス調査
端末のハッキング・不正アクセスが発生した場合には、個人情報が盗まれる・金銭的な被害が発生する・WEBサイトが改ざんされるなどの被害が発生する恐れがあります。
ハッキング・不正アクセスは、被害範囲も攻撃手法も多岐にわたるため、被害の全容を特定することが難しいですが、フォレンジック調査会社では以下の内容を調査してハッキング・不正アクセスの解明を行います。
- 情報漏えいの有無
- 不正なWi-Fi接続履歴
- 不審なログ
- 悪意のあるプログラムの実行履歴
- 不正通信の有無
不正アクセス調査については以下の記事でも紹介しています。
その他の調査
ここまで紹介したインシデントの他にも、フォレンジック調査で対応してもらえるインシデントの範囲は広いです。また、インシデントを防ぐためのセキュリティ診断サービスなども行っている会社もあります。受けられるそのほかの調査サービスを紹介します。
- パスワード解析解析パスワード
- デジタル遺品の解析
- OSINT調査
- 侵入テスト
- 脆弱性診断
- eディスカバリ(eディスカバリ)
パスワード解析
スマホやPCなどのパスワードを忘れた時のために、パスワードを解析するサービスがあります。
デジタル機器のパスワードの多くは、セキュリティ対策のための機能ですが、自分でパスワードを忘れると、保存しているデータや機器自体にアクセスできなくなります。自力で解除しようとむやみにパスワードを入力すると、入力上限に達し、初期化しないと解除できない状態になることも考えられます。
フォレンジック調査では、市販で販売されている解除ツールなどと比較して、短時間でかつ高確率でパスワードを解析することが可能です。パソコンのパスワード解除については以下の記事でも解説しています。
>パソコンのパスワードを初期化せずに解除する方法(Windows/Mac)
デジタル遺品の解析
デジタル遺品とは、故人が生前に利用していたデジタル機器に保存されているデータを指します。デジタル遺品はパスワードの所有者が故人のため、解析できなければ二度とデータにアクセスできない状態になってしまいます。
遺産の相続などのトラブルが発生した場合には、このデジタル遺品のパスワードを解析し、トラブル解決に必要な情報の収集を行うことができます。
OSINT調査
OSINT調査とは、インターネット上に公開されている情報を収集し、企業の戦略を予測するサイバー上の諜報活動のことを指します。
資料に記載された連絡先から意図せず社員の個人情報が洩れていたり、誤って重要な資料が外部からアクセス可能な状態になってしまっているケースもあります。
フォレンジック調査会社では、自社調査が難しいインターネット上の膨大な情報を調査し、リスクを発見することができます。また、二次被害や三次被害の発生の危険性も防ぐ目的で活用されています。
ペネトレーションテスト
ペネトレーションテストとは、セキュリティの脆弱性を調査するための調査手法の一つです。 ハッキングや不正アクセスなどのサイバー攻撃において、攻撃者が実際に利用するようなハッキング手口を用いて調査対象のシステムに侵入します。これにより、現状のセキュリティ対策の脆弱性を明確にすることができます。
また、調査会社のサービス次第では、テスト結果をもとに明らかにしたセキュリティの脆弱性状況に合わせてセキュリティ対策を提案してもらうことができます。
脆弱性診断
脆弱性診断とは、社内で利用しているシステムにセキュリティ上の欠陥がないか調査するものです。
インシデント発生前に脆弱性診断を行っておくことで、セキュリティの脆弱性が明確になり、的確なセキュリティ対策で今後の被害を防止することができます。
eディスカバリ(eディスカバリ)
eディスカバリとは、民事訴訟の手続きにおいて、デジタルデータの中から利用可能な法の証拠を調査・解析し、開示することを求めることができる、米国で適応される電子証拠開示制度を指します。
電子メールやOffice文書などを含む多くのデジタルデータが調査対象となります。もし米国の訴訟における調査対象になった場合には、日本国内のデータであっても情報を開示、例文を作成する必要があります。フォレンジック調査では、eディスカバリ制度の目的に合わせた情報開示に必要な項目の調査をすることが可能です。
フォレンジック調査の手順と流れ
証拠保全
証拠保全は、インシデント発生時にデータをそのままの状態で保存し、改ざんされないようにすることを目的としています。ファイルやログを収集し、オリジナルデータが変わらないよう厳重に保護することが重要です。
データの復元
インシデントにより削除されたデータや失われた情報を復元するプロセスです。復元には専用ツールや技術が必要であり、データが不完全な状態で証拠として使用されるリスクを最小限に抑えます。
解析・分析
集めた証拠データを解析し、不正アクセスの痕跡やマルウェアの痕跡などを探し出します。このフェーズで得られた情報をもとに、インシデントの原因や影響範囲を特定します。
報告書の作成
調査結果を整理し、証拠としての信頼性を担保した上で報告書を作成します。法的対応が必要な場合には、報告書は裁判所に提出できる形式で作成します。
フォレンジックサービスを利用すべきケース
フォレンジック調査は専門知識が要求される分野であり、特に以下のケースでは専門家のサポートが必要です。
1. ランサムウェアやハッキングの被害
ランサムウェアやハッキング被害に遭った場合、証拠の信頼性や法的対処を考慮すると、自社での調査はリスクを伴います。
調査の不備や証拠の改ざんが起きると、法的証拠としての価値が低下するだけでなく、情報漏えいの有無や攻撃者の侵入経路も正確に特定できなくなる恐れがあります。こうしたリスクを避けるためにも、専門のフォレンジック調査会社への依頼が重要です。
専門家による調査では、被害範囲や攻撃経路の迅速かつ正確な特定が可能となり、今後の対策にもつながります。
>>【ハッキング調査会社を徹底比較】信頼できる調査会社を選ぶコツを紹介
2. 内部不正や情報漏えいの疑いがある場合
内部不正が疑われる場合、証拠の改ざんや調査が不十分になったりするリスクが伴うため、信頼性のある証拠収集と原因の特定が難しくなる可能性があり社外の第三者による調査が求められます。
こうしたリスクを回避するためには、フォレンジック調査の専門家に依頼することが有効です。専門の調査会社は、デジタル証拠を適切に収集・解析し、内部からの不正アクセスや情報漏えいの経路を正確に特定します。これにより、再発防止策を講じるだけでなく、法的な根拠としても使用可能な信頼性の高い証拠を確保できます。
フォレンジック調査を依頼する時の注意点
フォレンジック調査を依頼する時の注意点は以下のようなものがあります。
- 機器の電源を切らない
- 自力で調査をしない
- 市販の調査ソフトを使用しない
- 調査内容によっては時間がかかることを念頭に置く
機器の電源を切らない
フォレンジック調査を依頼する時は、対象のデジタル機器の電源を切らずにスリープモードの状態で依頼するようにしましょう。機器の電源を切ってしまうと、RAMなどの揮発性メモリに一時的に保存されているデータやログが削除されてしまいます。
重要なデータや証拠が削除されてしまうと、正確な調査結果を出せなくなる危険性があるため、必ず電源を切らずに管理するようにしてください。
自力で調査をしない
フォレンジック調査には、専門技術や調査実績から得たノウハウが必要なため、内製化が難しいといわれています。自力で調査した結果、調査に必要なログや保存していたデータを上書き・削除する可能性があります。
企業の情報システム管理をしている部署であっても正確に調査することはほとんど不可能ですので、自社内で調査する前に、まずは実績の豊富な調査会社に相談するようにしましょう。
市販の調査ソフトを使用しない
市販のフォレンジック調査ソフトは多数存在しますが、そのどれもが万能なものではなく、フォレンジック調査サービスと比較して調査の正確性が劣ります。セキュリティ対策やログの監視ツールとして利用する分には問題ないですが、インシデント発生時の調査で利用する時は目的に合わせて利用すべきか判断が必要になります。
調査内容によっては時間がかかることを念頭に置く
フォレンジック調査は、調査内容や規模によって所要時間が大きく変わります。単純な調査であれば1週間以内で完了することもありますが、複雑なケースでは数か月~半年以上を要する場合もあります。
例えば、ランサムウェア感染で数百台の端末を調査する場合や、情報漏洩、感染経路、不正通信など複数の調査項目がある場合は、1ヶ月以上かかることがあります。
個人情報保護委員会への報告など調査期間が限られている場合は、365日相談でき、調査開始までの時間が早い調査会社に相談することをおすすめします。
フォレンジック調査会社の選定基準
フォレンジック調査会社は、会社によって調査できるインシデントの範囲が異なるため、目的に合った調査が可能な調査会社を選定する必要があります。フォレンジック調査会社の選定基準として、以下のポイントがあります。
- 調査実績が豊富
- セキュリティの高さ
- 調査完了までのスピード
調査実績が豊富
技術力の判断には「復旧成功率」「相談実績」のような数字と算出期間などの根拠となる数字が確信されるセキュリティの確認が必要です。実績を明示できない業者は意図的に公開を控えているケースがあるため、注意しなければなりません。
セキュリティの高さ
顧客のデータを扱うサービスという性質上、セキュリティ対策は必須です。セキュリティ対策に力を入れている調査会社は、「ISO認証」「プライバシーマーク」などの世界基準で規定されている厳しい調査をクリアした調査会社のみが取得できる認定を取得しています。上記2つの認定の資格がセキュリティ面の判断に有用です。
調査完了までのスピード
フォレンジック調査完了までのスピードが重要な理由として、調査の報告期限が決まっている・被害が拡大する可能性がある・業務を停止して調査する必要があるなど緊急性が高いインシデントが発生していることがあげられます。
しかし、調査会社によっては調査する設備やノウハウが整っていないところや、調査内容のヒアリングなど事前調査に時間がかかり、本調査に着手するまで時間がかかる場合があります。
24時間365日対応可能かつ、本調査に着手するまでの時間が短い会社であれば、依頼したタイミングですぐに対応してもらえるため、調査完了まで時間がかかりません。緊急性が高いときこそ、実績が豊富でスピード対応をしてもらえる調査会社に相談して調査しましょう。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
携帯のウイルス感染を調査してくれる専門会社をご紹介します。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、幅広い調査に対応していておすすめです。
>>デジタルデータフォレンジックの評判を徹底調査|特徴・料金・依頼前の流れを解説
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
費用 | ★見積り無料 まずはご相談ください |
---|---|
調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、携帯のウイルス感染調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
携帯のウイルス感染調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
まとめ
今回は フォレンジックサービス の概要や調査会社選定の基準を解説しました。情報化に伴いデータの価値が高まりセキュリティの強化は必須となりました。しかし、情報漏洩被害や侵入の形跡を残さないサイバー攻撃も近年はみられるようになりました。専門家によるフォレンジック調査を実施し、法的措置やセキュリティ対策に活用しましょう。
■警視庁からの捜査協力依頼実績が多数あり
■法人/個人問わず幅広く対応
■ 国際標準規格「ISO27001」取得
■ 14年連続国内売上No.1のデータ復元サービス
- サービス
ハッキング不正アクセス調査、マルウェア・ランサムウェア感染調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、データ改ざん調査など