「デジタル・フォレンジック」の限界：“迷探偵”ハギーのテクノロジー裏話（2/2 ページ）

[萩原栄幸，ITmedia]

フォレンジックの限界

　現在のフォレンジック調査は、次のような部分に問題点を抱えながら運用されている。

1.保全作業の時間

　いわゆる「保全作業」は、フォレンジック調査にとって非常に重要かつ基本的な事象であるが、この時間がだんだん無視できなくなっているのだ。今の保全作業は専用機器で作業するため、米Intelligent Computer Solutionsの比較的高速なフォレンジック用のHDD複製ツール「Solo4」でも分速7Gバイト/秒で処理する。スペック通りに作動しても、HDD容量が3テラバイトなら保全処理だけで約7時間以上かかる。実際問題としては（環境により大きく異なるが）、10時間以上かかると思って差し支えないだろう。もし、HDDが複数あったなら……。

　ちなみに筆者の書斎で動いているHDDの全容量は、軽く40テラバイトを超える。もしこれら全てを保全する騒ぎになれば、1週間かかっても終わらないだろう。これでは意味が無いのだ。画期的なコピー方法によって、秒速何十テラバイトという、とてつもない処理能力を持ったツールが登場すれば――と願ってはいるが、この先5年10年という時間では無理なのかもしれない。

2.アンチフォレンジック製品の存在

　フォレンジック調査を妨害するソフト、ハード、ファームウェアなどの全てを指す。いずれもフォレンジック調査を妨げるものであり、悩ましい存在である。だが、これは一方的な見方であり、こういう製品もあるべきという事実も「また真なり」だからだ。使う側が悪意を持つのか、正義の味方として行動するのか、製品は全く理解しないので無理もない。

3.HDD以外のフォレンジックの存在

　スマートフォンブームをみるに、PC至上主義はもはや前世期の遺物になり果ててしまう可能性が高くなっている。ここ10年の間に主従が逆転するかもしれない。

　今、スマホのフォレンジック調査はどうなっているか。幾つか世界的に有名なソフトが出そろいつつあるものの、正直に言えばまだまだ未完の域を出ていない。いずれの製品も一長一短があり、「帯に短し、たすきに長し」ただし、フォレンジック調査を行っている一部の会社は、例え犯罪人がスマホや携帯電話を真っ二つに折っても、内部のフラッシュメモリさえ無事ならデータを復旧できるサービスを提供している。彼らの弁を借りるなら、日本の携帯電話やスマホは文字通り「ガラパゴス化」しており、海外のツールで分析するには端末の環境がよほど良くないと難しいそうだ。

　それでもフラッシュメモリのインタフェースさえ解読できれば、何とか内部のデータは読めるという。おおよそ現状では6割の成功率というから、たいしたものだと感じている本来であればキャリアやメーカーが協力的に仕様公開することで成功率はかなり上昇するだろう。

---

　駆け足で5回にわたりデジタル・フォレンジックの概要を述べてきた。だが「概要」レベルであり、その奥は相当に深い。興味があれば、ぜひこの道の専門家を目指して世界にも通用するフォレンジック専門家になっていただけたら、筆者としてこんなにうれしいことはない。次回からは今年の総括を行っていきたいと思う。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。