サイバー事件の捜査手法をひも解く 「フォレンジック」とは何か？：“迷探偵”ハギーのテクノロジー裏話（2/2 ページ）

[萩原栄幸，ITmedia]

フォレンジックが生まれた背景

　筆者は、米国などの技術情報や論文などを基にフォレンジックの黎明期から15年間見よう見まねで作業をしてきた。日本のフォレンジック専門会社で現在活動している一流の調査員の方々ともつながりがある。そのフォレンジックの技量は、米国がダントツで高い。その歴史的な事件となったのが、関係者の間では伝説となっている「SJG（Steve Jackson Games,Inc）事件」である。

　この事件は、フォレンジックの歴史を語る時には避けては通れないほど有名なものだ。1990年3月1日、米国のシークレット・サービス（法執行機関）は連邦法上の令状に基づいて、テキサス州オースチンのSJG社で業務用のコンピュータ3台、外付けHDD5台、FD300枚（会社にあったもの全て）、業務記録の全て、出版間近のゲームブックの全てなどを押収した。その結果、SJG社は業務継続が不可能になり、もうすぐ完成予定だったゲームソフトを出荷できなくなった。さらに、SJG社の社長がハッカー行為の犯罪者扱いをされて、同社の信用がガタ落ちになった。従業員の半数を解雇するまでに至ったのである。

　ところがその後の調査で、SJG社も社長もハッカー行為とは全く無関係であると判明した。シークレット・サービスは3カ月後の同年6月になって、押収物をやっと返還している。

　この事件後、いわゆる「写し（コピー）」の証拠能力が問題になった。原本主義を徹するなら、あまりにも現代の企業がコンピュータに依存し、どんな会社でも原本が押収されたとたんに業務停止へ追い込まれ、倒産してしまうケースもあると危惧されたのである。押収物を分析して、「犯人」なのかを特定する法執行機関にとっても、極めて重要な問題になった。

　このことを受けて、「完全なる複製」なら押収物としても、裁判所に提出する証拠物件としても効力があるという理論的な解決方法が開発された。これが「フォレンジックツール」である。

　法執行機関でも一般企業でも、この考え方は非常に重要だ。押収物を封印し、フォレンジックセンターで開封する。その全てが完全なデジタルデータの複製だ。こういう作業が制度化され、企業においてもこのツールを積極的に使用することで、個人情報の漏えい防止や漏れた場合の速やか、かつ論理的な犯人特定に至るまでの業務フローが確立された。今日ではこういう仕組みが既にでき上がっている。ツールは警察などの法執行機関から普及し、フォレンジックセンターの設立に伴って裁判所や官庁、そして金融機関や製造業、サービス業など民間へと広がっていった。米国では最低でも州に1つはフォレンジックセンターが置かれ、そこではさまざまな証拠の復活作業が行われている。弁護士同士の戦いもあるという。

フォレンジックの流れ

　フォレンジックの手順を簡単に紹介すると、（1）保全作業、（2）解析作業、（3）報告作業――の3段階がある。

1.保全作業

　鑑識作業では基本中の基本だ。つまり、PCにあるHDDをそのままにコピーする。通常は原本と同じものを2つ複製し、1つは調査用、1つは原本用にする。これだけ聞くと極めて簡単と思われるかもしれないが、ここ言うコピーとは、「被疑者が使った後のまま」、まさしく1ビットも漏れることなく完全に複製することが求められる。その通りに保全しないと、証拠物件としては論理的に証明できなくなる恐れがあるからだ。

　だが実際問題としては、例えば、被疑者のPCからコピーをしようと電源を入れるだけでも、証拠物件としては「×」である。電源を入れただけ、PCを立ち上げただけでもHDDの内容が変化してしまう。最も顕著なのは、少なくとも何百、時には何千ものOSのシステム系ファイルのタイムスタンプ、また、一部のデータの内容が変わってしまう。

　そうなってしまうと、裁判で被告が「このPCは確かに私のものだが、私が使用後にさらに動かした形跡がある。タイムスタンプをみれば一目瞭然だ。これは私を犯人にするために会社側が故意に内容を改ざんしたに違いない」と主張するかもしれない。これを否定するのは簡単ではない。なので、フォレンジック調査員は専用機器を用い、文字通りそのままコピーをしていくのである。そして原本と複製の内容が一致しているかどうかの証拠として「ハッシュ値」をみる。原本のハッシュ値と複製のハッシュ値が同じかどうかで確認する。

2.解析作業

　ここがまさしく、調査員の経験と勘が試される作業だ。原則としてどこをどう調査するかは、だいたいの目安がついている。ただHDDの環境はそれぞれ違うので、どのくらい復元できたのか、被疑者がどのくらい隠ぺい工作をしたのか、犯行から現在までどのくらい日数が経過したのかを調べていく。そして最も重要なのは、「ターゲットは何か」である。

　例えば、「USBメモリでいつ、どういうデータをコピーしたのか」「インターネットでワイセツなWebサイトにどのくらいの頻度でアクセスして画像をダウンロードしたのか」「経理処理で総勘定元帳の改ざんをどう行ったのか」「特定の談合業者とどういうメールを送受信したのか」などの観点でも調査する範囲は異なる。また担当者の鑑識経験から、「こういう犯罪調査なら会社も気が付かない、別の『こういうこと』も行われているはずだ」と調べていき、結果としてターゲット以外に明らかになった不正が遥かに大きな問題に発展することもよくある。

3.報告作業

　ここで一番重要なのは、いかにして素人（役員、顧問弁護士、人事部長など）が理解できる資料を作成するかである。技術者としては軽視しがちであるが、仕事としてはこれが唯一のアウトプットなるなので、この作業もまた重要だ。同じ結果でも、表現一つで素人好感度、理解度は違ってくる。どんな苦労して、どんな優秀な技術を駆使しても、ここの詰めが甘いと全てが無駄になってしまう。しかし、ここが一部の会社では疑問と感じるところがあるので、注意すべきかもしれない。

　次回は「報告作業」以降の流れを解説しよう。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。