「デジタル・フォレンジック」の限界：“迷探偵”ハギーのテクノロジー裏話（1/2 ページ）

サイバー事件捜査での「デジタル・フォレンジック」について解説してきたが、今回はHDD以外の環境における調査やデジタル・フォレンジックの限界を取り上げる。

[萩原栄幸，ITmedia]

　1カ月近くにわたって「デジタル・フォレンジック」の解説を行ってきたが、今回はその最後である。やや専門的でもあり、まだまだ伝え切れないことも多々あるが、取りあえずはフォレンジック編の最終回とさせていただく。もし差支えなければ第1回目からご覧いただけると幸いである。

デジタル・フォレンジックの解説記事

その1：サイバー事件の捜査手法をひも解く　「フォレンジック」とは何か？

その2：サイバー事件の捜査手法をひも解く　「デジタル・フォレンジック」の使い方

その3：デジタル・フォレンジックにおけるデータの完全消去と復元の「微妙な関係」

その4：「デジタル・フォレンジック」ツールのアラカルト、被疑者が使う手口とは？

フォレンジックを妨げる最近のHDD

　メーカー側が意識をしている訳ではないだろうが、最近のHDDには結果としてデジタル・フォレンジックを難しくさせる事象がある。まずこれについて概要を述べたい。

1.RAID

　ストライピング、ミラーリングなどの実装技術としてHDDのRAID構成がある。実際問題としてデジタル・フォレンジックは大部分が経営者や管理者からの依頼であるので、調査員はRAID構成を意識した状況で保全措置を行っている。筆者の場合もここ数年は、全てが経営者からの依頼なのでこの構成を念頭に保全措置を行う。万が一そうでない場合（例えばRAID5）なら、全てのHDDを保全措置してしまうということもできるし、ミラーリングであれば、最悪の場合でも片方のHDDだけを保全措置しても問題になることはほとんどない。

2.セキュリティチップ（TPM）搭載のHDD

　これはちょっとやっかいだ。なぜなら、依頼者に「HDDはTPM採用ですか」「セキュリティチップ搭載というPCではありませんか」と尋ねると、大抵が「良く分かりませんが、普通のPCなのでそういう変なものはないと思います」と回答されるケースが多いのである。なぜやっかいかというと、最近のPCは何も選択しなくてもこうしたものを実装しているケースが多い。この場合、HDDを取り外して保全措置をしようとしても内容をコピーすることも見ることもできなくなくなる。HDDを読み取るための鍵がHDD内部ではなくマザーボードやチップセットなどに組み込まれており、外してしまうと読めなくなってしまうのである。そこで通常は、その本体の電源供給を受けて必要な保全措置を行うが、ネットワーク越しでフォレンジック作業を行うなどの方法が無くはない。

3.SSD

　HDDの代わりとして急速に普及しているのがSSDである。ただし、SSDの挙動はHDDとは全く違っていて、論文誌ではSSDのファイルの完全削除は、「論理的には確率論でしか実現できないと」記載されていたようだ。現場で多くの実例を見てはいないが、調査員は今までと同じような動きをしていて、特にSSD固有の作業を行うことはない（ただし、それが正解かと言われれば答えに窮するかもしれない）。

　SSD、つまり、フラッシュメモリのフォレンジック調査は、本来ならもっと論理的に検討してから実践すべきだからだ。筆者が見る範囲では今のところ、たいていのフォレンジック調査員は、HDDとSSDの明確な挙動の違いやデータ消去の違いを認識した上で作業を実施しているとはいえない。どうやってフォレンジックを行うべきか。目的によっては、HDDと全く同じであっても差し支えないケースがあり、あまり理屈をこねてしまうのも現実的ではないともいえるが、もう少しSSDが普及した時点で調査員同士が論理的にどうあるべきかを検討する時期に来ているだろう。SSDをHDDと同じと思うこと自体は大きな誤りだ。

将来のHDD

　現在では普通に3テラバイト、4テラバイトのHDDが売られている。だが、形状に変化はない。磁性体を塗布して回転することによってデータを保存する位置を決めているという意味では昔も今も同じだ。しかし、この記録密度に到達するまで極めて大きな技術変化があったことを業界以外の人で知る人はほとんどいない。

　今後の技術展開をみるに、大容量化では5テラバイトでも10テラバイトも実現できそうな雰囲気である。小型化という点ではコストパフォーマンスという意味で、現状でも良いかもしれないが、2.5インチに一本化されていっても不思議ではないだろう。

　その他にフォレンジック的な要素として注目したい技術がある。それは、現在でもHDDに保存するデータを暗号化して保存する規格があるのだが、これをより強固にして、HDDとシステムのペアが外れたと認識された時にデータを自動的に無効化するものである。

　詳細は「東芝レビュー 2011 Vol.66 No.8」の論文の「HDDのセキュリティ規格及び想定外の使用によって瞬時にデータを無効化する2.5型HDD」に記載されている。「忘れ去るHDD（Wipe Technology HDD）」と呼ばれているものだ。

　当初のものとしては、電源供給が断たれた時にデータを無効化する機能を2010年8月に発表している。今回はその改良版の位置付けであり、「Wipe2」と呼ぶ。仕組みはHDDとシステムがペアを作り、ペアが外れた時に暗号鍵を消去することにより、データを無効化する技術を世界で初めて開発したというのだ。これだと、停電時でも間違ってデータを無効化する危険がなくなる。仮に別のPCにそのHDDをつなげても機器認証が成立せず、その時に初めてHDDが自動的に暗号鍵を消去してHDD内部のデータを無効化してしまうという。

　もし、このようなHDDが普及していけば怖いと思う。フォレンジック調査の主流はネットワーク越しでの調査になってくる可能性が極めて高くなってくるだろう。このWipe Technologyでは機器認証をデータ無効化の判定に使うのでチャレンジレスポンス方式を採用しており、認証を行うごとにシステムとHDDの間を流れる認証コードが変化するので盗聴しても解析できないという特徴を持つ。