「デジタル・フォレンジック」ツールのアラカルト、被疑者が使う手口とは？：“迷探偵”ハギーのテクノロジー裏話（2/2 ページ）

[萩原栄幸，ITmedia]

ツールは民間と法執行機関向けに分かれる？

　回答は簡単で、製品によっては分かれている。特に総合フォレンジックツールの分野にあるものは、海外製ならばほとんど、国内製でも分かれているものが多いようだ。理由は簡単で、要するに犯罪者が使うツールと同じものでは後述するフォレンジックに対抗する「術」が簡単に行われてしまうからである。

　具体的にどういう機能が違うのかなどについては、筆者の立場では紹介できないが、法執行機関向けではより深く解析ができるというイメージになる。調査員なら、「こことあそこが一緒に検索できたら……」「ここのデータとあそこのデータの索引が個別でも共通でも行えたら……」「断片化したファイルをどこまで分析できるか」というものから、個別具体的で技術的にも詳細な部分で差が生じる場合が多いようだ。

　ネットの公開情報でこの違いを調べていたら、某フォレンジックツール販売会社の公開資料に「検察庁特別版」ツールの選択画面が掲載されていた。選択画面上はほとんど民間向けと変わらないが、画面上では「検察庁特別版」となっている。しかし、分析可能なレベル（層）や相関をデータの相関を調べられる範囲や種類といったものには「違いがあるらしい」とこの会社の社員は話されていた。要するに、民間版とは別に法執行機関など犯罪捜査のプロフェッショナル向けの製品が存在し、その解析能力には差があるということをご理解いただきたい。

　さらに、法執行機関向けの製品でも段階が分けられているものもある。最近のサイバー攻撃ではないが、現代は既にある意味で「サイバー戦」が活発になっている。NSA（米国国家安全保障局）の職員やイスラエルの機関の情報などを見聞きしても、「日本はこのままでは本当に乗っ取られるかも？」と真剣に悩んでしまうほどだ。つまり、法執行機関向けといってもその中には国防機関向けというものも存在している。「スパイ」や「暗殺」と日本人が聞くと空想のように捉えられるが、現実は冷戦時代より酷くなっているといえよう。「サイバー戦」の実態は、昔の情報セキュリティ分野では考えられないほどに怖い状況である。

フォレンジックから逃れるためには？

　これも筆者の立場では詳しく紹介することはできないが、調査を行う立場では被疑者がどのような手口を使うのかを知っておかねばならない。ここでは検索で簡単に見つかるような「既知の情報」だけを紹介しよう。

　世の中には「楯と矛」があり、需要があれば必ずその品物は存在する。いわゆる「マフィア」や「シンジケート」と称される人のPCは、それだけで「立派な情報基地」となっており、城壁も堅牢だ。例えば、ある手順（1タッチ）を踏むだけでPCの内部を論理的、物理的に破壊するというツールをアンダーグランドで見つけた。FBIやCIAが乗り込んだ場合、瞬時にして組織の全容が分かるデータを消滅させてくれるというものである。

　また、そこまでいかなくても通常の企業人が不正を働く場合において使うのが、いわゆる「アンチフォレンジックツール」である。フォレンジック調査の作業において、証拠となるデータの存在を認識されないようにするツールだ。簡単なものでは、Windowsの一時ファイルやレジストリに関係する内容が置かれたHDDの物理的な場所に対して上書き処理し、フォレンジックで復元できないようにする。

　一見すると市販の「完全削除ソフト」と同じだが、その深さや機能には大きな違いがある。以前にも解説したが、この種のほとんどのソフトは指定されたファイル（例えば、「裏帳簿ファイル」）の削除時に上書き処理し、そこに存在していた物理的な磁性特性を任意の値にして復元不可能にする。

　しかしアンダーグランドのツールの一部は、そのファイルの内容を一時的に格納する別の場所も発見して、そこも上書きし、レジストリ領域やその関連領域も調べて、「裏帳簿ファイル」の残骸や断片化領域を可能な限り上書きする。少なくとも、「このPCの中には本体ファイルやその断片すら存在しない」というようにしてしまう。メールの消去でも単純に該当メールを完全消去ではなく、全てのメールにおいて文章に「××物産」という文字があれば、該当するメール自体を完全削除するようなツールも出回っている。

　一般の方は、決して興味本位でこうした「アンチフォレンジックツール」をダウンロードしないでいただきたい。一部の無料ツールには凶悪なマルウェアが忍び込んでおり、しかも、ソースをどんどん改変しているので最新型のウイルス対策ソフトでも見つけられない場合がある。ただ、同じ機能のツールでも有料ならアフターサービスまでついているものもある。やはり、どこの組織でも「お金」が一番効くようだ。

　ツール以外に、フォレンジック調査から逃れるための「工作」を紹介しているサイトもある。例えば、マザーボードの中を改造してある操作をすればデータを完全消去できるようにするというものや、HDDを工作して「表向きの顔」と裏帳簿用の「裏の顔」に領域を分けておき（ラベルなども変えておく）、「裏の顔」が見えないようにするという手口もある。つまり、Windowsの「コンピュータの管理」やHDDの容量を見ても「表の顔」として設定した容量のみが表示され、「裏の顔」の容量は全く見えないというわけだ。

　日本において筆者は、実際に被疑者のPCでここまで凝った手口が使われていたケースに遭遇したことはない。それでも、ファイルの完全削除、メールの完全削除などが市販ツールで実行され、被疑者の特定に難儀したことはある（今年も1件あった)。

---

　次回はHDD自体の堅牢性――TPMの問題や製品化予定の技術、そして、PC以外のフォレンジック（USBメモリやスマートフォンなど）についてお伝えしたい。

編集部からのお知らせ

本連載を執筆する萩原栄幸氏も登壇！

「情報大活用時代に向けた“積極的”セキュリティ対策のススメ」セミナーを開催

企業でクラウドやモバイルによる情報活用が注目を集める一方、「PC持ち出し禁止」のような消極的な対策を取り続ける企業が少なくありません。本セミナーでは情報活用の実現に向けて“積極的な”セキュリティ対策を講じていくための方法を探ります。参加費は無料です。

日時：2012年12月6日・東京／12月13日・大阪、いずれも10:00〜17:35

会場：東京・富士ソフト アキバプラザ／大阪・第二吉本ビルディング

詳しくはこちら

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。