かつて「フォレンジック」という言葉が大きく注目を浴びたのは2006年4月に起こったライブドア事件です。事件の概要は、2004年9月期年度の決算報告として提出された有価証券報告書に虚偽の内容(経常利益前年比-120%のところ+300%と大幅黒字増)を掲載したとする疑いが持たれるなど、証券取引法等に違反した罪で当時の関係者が逮捕されたというものです。
この時警察は、関係者から押収したパソコンなどの電子機器から何万通ものメールや、機密事項の記載されたファイルを復元し、法的証拠として活用したことで最終的に有罪判決が出されたことがニュースとして取り上げられています。これが、日本国内においてフォレンジックという言葉が広く知られるようになったきっかけと言われています。
今では、ファイルサーバーへの不正侵入などが発生すると専門機関に対し「サーバーのフォレンジック調査をお願いしたい」と依頼する企業が増えています。では、このフォレンジックとは何なのでしょうか?ここではこれからのセキュリティ強化に欠かせないフォレンジックについて解説します。
フォレンジックとは?
正確には「デジタル・フォレンジック」や「コンピューター・フォレンジック」といいます。ここではフォレンジックで統一します。
フォレンジックという言葉は、直訳すると「法廷の」という意味があります。分かりやすく言い換えると「鑑識」が該当します。鑑識とは、交通事故や刑事事件が起きた際に、筆跡・指紋・血痕などの遺留物を鑑定した捜査に役立てるための作業です。この言葉をデジタル分野に置き換えたのが、今回解説するフォレンジックになります。
近年のサイバー攻撃の多発の中には、システムへ不正にアクセスされたことが情報漏えいなどの悪質な事件に発展することも少なくありません。そうした事件を立証するには法的証拠が必要になります。単純に「ファイルサーバーへ不正アクセスされた!」ではダメなのです。
つまりフォレンジックとは、不正アクセスやその他のサイバー攻撃によって被害を受けた企業や個人が、法的証拠を押さえるために実施するデジタル的な鑑識だと理解してください。
フォレンジックの手順
フォレンジックには専門的な知識と技術を要することから、個人的に実施することは難しい作業です。デジタルデータに証拠能力を持たせることは決して簡単ではありませんし、いくつか従わなければいけない手順もあります。ここでは、フォレンジックの大まかな手順を紹介します。
1. 収集(Collection)
フォレンジック最初のステップは、法的証拠とするためのデータを記憶媒体(HDD・SSD・USBフラッシュメモリ・SDカードなど)から収集することです。これを通称「証拠保全」といいます。
証拠保全ではフォレンジックに必要なデータを集めるだけでなく、調査対象になる記憶媒体を完全に複製することが重要です。調査のために、対象となる記憶媒体の中身を書き換えてしまっては、データとしての証拠能力が無くなってしまいます。従って、別の記憶媒体にデータを完全に複製し、その後はデータ部分だけでなく全領域における物理複製も行います。
完全に複製されたかどうかを確認するために「ハッシング」という作業を行います。これは、調査対象の記憶媒体と複製された記憶媒体のハッシュ値を計算し、一致するかどうかを確認するためのものです。両方の記憶媒体に保存されているデータが完全に一致していれば、計算されたハッシュ値も同じになるはずです。このステップまでがフォレンジックの事前準備段階です。
2. 解析(Examination)
解析では、記憶媒体から可読可能な情報を作り出すことが目的になります。たとえば各種ファイルが持つタイムスタンプ(作成日時、アクセス日時、更新日時など)をもとにタイムライン情報を作成したり、レジストリ解析によるプロセスの実行日時の洗い出しを行ったりします。削除されたファイルの復元作業も含みます。
解析により、記憶媒体は情報化されて人が読み解くことが可能な状態になります。この解析は主に専門ツールで半自動的に実施されることがほとんどです。そのため、記憶媒体の容量や数量によっては1日~数日間かかることも少なくありません。
3. 分析(Analysis)
分析のステップでは、情報化された記憶媒体から調査目的に応じて必要な情報を探し出していきます。たとえばマルウェアに感染したという事例なら、マルウェア検体の抽出や感染日時の特定、感染後の挙動などを膨大な情報の中から抽出して、法的証拠を持つための情報を整理します。ファイルシステムやオペレーティングシステム、マルウェア解析などに関する専門的な知識と技術を持つ人材の力が必要になるでしょう。
4. 報告(Reporting)
最後のステップです。分析から得られた情報をもとにして、調査結果を整理します。分析によって得られた情報は断片的であることが多く、「点と点」の間にある情報を保管しながら解釈を加えていくことになります。当然ながら、調査報告は最初から最後まで筋の通ったものでなくてはいけないため、「この情報は何を意味するのか?」を考えながら調査報告をまとめていきます。
報告作業は、定型化や自動化によって一定時間は短縮できますが、分析で整理した「事実」だけを連ねるような調査報告では読み手の負担になり、事件の全容を詳しく理解してもらうことができません。
できる限り全容と重要ポイントを分かりやすく解説し、読み手の理解を促すような調査報告を作成するにはやはり人手が必要です。
以上がフォレンジックの主な手順です。
サイバー攻撃が社内で発覚した際に、フォレンジック調査を内製で行おうとする企業が少なくありません。しかしながら、フォレンジックは専門的な知識と技術が必要になる時がありますし、しっかりとノウハウを持った人材が作業にあたらなければ証拠能力が弱くなる可能性が大いにあります。
なお、旧来のシステムではフォレンジックの重要性の認知度が低かったため、こうした作業は非常に手間と工数のかかるものでしたが、昨今では各種ログを容易にそして、しっかり取得できるフォレンジックを想定した機能を有するシステムも増えています。例えば、クラウドストレージおよびコンテンツ管理のサービスを提供するBoxでは、管理コンソールでレポートを生成することによって、アクティビティを監視し、Boxアカウントに関するデータおよびアカウント所有のコンテンツを表示できます。レポートは、指定した期間で生成でき、最大7年前まで遡ることができます。また、レポートにアクセスできるアカウントがある限りいつでも閲覧できるため、収集、解析のプロセスを自動化、作業工数を大幅に削減することも可能です。
フォレンジックの内製化を目指すメリット
フォレンジックの内製化は難しい部分が多いものの、その負担を補って有り余るメリットがあります。それが「内部不正防止」です。実は、企業の情報漏えい事件のうちサイバー攻撃が原因によって起こるものは全体の2割にも満たず、過半数を占めるのは「メールの誤送信」「管理ミス」「端末の紛失・置き忘れ」「内部犯行」など企業内の原因です。
サイバー攻撃による大規模な情報漏えい事件がニュースで度々報道されていることから、情報漏えいが起きるとまずサイバー攻撃を疑う企業が多いでしょう。ところが実際は、以前から内部要因による情報漏えい事件の方が圧倒的に多く、そうした固定概念が内部不正を生む原因にもなっています。
フォレンジックを内製化し、それが組織全体に知れ渡っていると内部不正を働こうとしている人間は動きづらくなり、情報の取り扱いにも注意を怠らなくなるなど、結果として抑止効果や人的ミス防止に繋がり、機密情報を保護することができます。もちろん、フォレンジックを導入するには課題も多いですが、今の時代、導入する価値は大いにあるのでこの機会にフォレンジックだけではなく、その元となるログがしっかり取れるシステムを検討し、対策を検討してみてはいかがでしょうか。
