LuckyOceanのブログ

新米技術士の成長ブログ

デジタルフォレンジックは正義のツールか

セキュリティ サイバー攻撃 ブロックチェーン ベーシックインカム 技術問題

デジタルフォレンジックとは
デジタルフォレンジックという用語を聞いたことがありますか?恥ずかしながら私はまったく知りませんでした。大好きなWikiで調べると、コンピュータ・フォレンジクスが出てきて、コンピュータやデジタル記録媒体に残された法的な証拠に関するデジタル的な法科学の分野だという。

法科学とは
法科学を調べると、英語ではForensic Scienceといい、「自然科学と社会科学の原理と技術を用い、現在残されている状況を調べ、何が起こったのかを証拠に基づいて確定させる手法のことである。」という。また、法科学には、このような犯罪の究明だけでなあく、天文学や考古学、生物学、地質学においても、大昔の遺物から真実を調査することも含まれているらしい。

フォーラムの語源と共通
法科学(Forensic sciences)の“Forensic”は、ラテン語の“forēnsis”に由来する。つまり、フォーラムという言葉の語源でもある。ローマ帝国時代には、ローマ市街のフォロ・ロマーノで被告と原告が主張しあい、より広く受け入れられた方を判決として下したからだ。なぜ急にデジタルフォレンジックスを調べたのかといえば、平成27年度の情報工学の試験に出題されていたからだ。しかし、なぜか設問ではデジタルフォレンジック手法とある。辞書で調べるとforensicsは「法医学の」と形容詞であり、forensicが「法医学」と名詞だった。まあ、どちらでも大差はないが、解答では設問の用語を使おう。

デジタルフォレンジック手法の手順
警察は犯罪を立証するためにこのデジタルフォレンジック手法を活用している。特に、裁判員制度においては法律や技術の専門家ではない裁判員が判定するために、より具体的で客観的な証拠の収集が必要という背景もある。しかし、電磁的な証拠も破壊されていたり、消去されていたり、改竄されていたりするので、正しい情報の抽出・解析には高度な技術が求められる。下の図はその手順だ。
f:id:hiroshi-kizaki:20180708103235p:plain
出典:警察庁(参考1)

Chain of Custody(CoC)
日本語でいえば保管庫となる。物理的もしくは電子的な証拠を保管し、管理し、移転し、分析し、処分する順番を記録した文書や証拠のことだ。裁判所が犯罪者を告発する際に使われる証拠が改ざんされることを防ぐためのルールと言える。冤罪を防ぐためには特に重要だ。

証拠保全
犯罪者は証拠隠滅のためデータを削除しようとする。しかし、削除を指示しても、OS上で処理されるだけで、HDDにはデータが残る。犯罪者のためではないが、情報漏洩を防ぐ意味でも注意が必要だ。しかし、HDDの記憶エリアに別のデータが上書きされると、これはもう解読できない。従って、証拠隠滅したければ、大量のデータでHDDになんども上書きした方がいいかもしれない。まあ、その前に悪いことをしないことだ(笑)。証拠を保全する立場からいうと、下の図のように、押収したHDDから物理的なコピーを二重に実施する。そして、ハッシュ値が同一であることを確認する。コピー①からはイメージファイルを作成してさらに解析するが、コピー②は大切な証拠として保管しておく。慎重にも慎重な対応が求められる。
f:id:hiroshi-kizaki:20180708093154p:plain
出典:マイナビ(参考2)

バイスの相関分析
例えば悪意を持つ攻撃者からサイバー攻撃を受けたときには、攻撃元と攻撃先を特定し、攻撃手法を分析し、被害を最小限に抑えるとともに、解決に向けてCSIRTやセキュリティ担当に情報提供すべきだ。このような場合には、改竄されたHDDだけを調べるのではなく、その機器が通信した複数のサーバーや機器のログを分析し、相関分析を行うことが一般的だ。
f:id:hiroshi-kizaki:20180708094657p:plain
出典:サイバーアタック(参考3)

CSIRTとは
前項でCSIRT(シーサートと呼ぶ)が出た。ご存知の方も多いと思うけど、少し補足すると、これは「Computer Security Incident Response Team」の略で、セキュリティー専門家から構成されるインシデント対応を行うための組織だ。その先駆者は1988年に米国カーネギーメロン大学に設置されたCERT/CCだ。世界各地にCERTが設置されたが、CERTはカーネギーメロン大学登録商標のために別の呼称として、CSIRTが使われるようになったという経緯がある。セキュリティの世界ではカーネギーメロン大学トップランナーだ。

デジタルフォレンジックの課題
情報工学の試験では、証拠保全において考慮すべき技術的事項と配慮すべき非技術的事項を一つずつ挙げて具体例を示しながら説明せよとある。技術士試験で非技術的事項について質問するのは珍しい。色々と調べてみると、京都大学の上原哲太郎(京都大学NPO情報セキュリティ研究所)さんが作成した資料が整理されていた。下の図のように、技術的な課題と法曹分野の課題を示している。この中から一つ選ぶとすれば、どれが良いのだろう。法曹分野の課題もなかなか書きにくいが、トライするしかない。
f:id:hiroshi-kizaki:20180708095533p:plain
出典:京都大学(参考4)

証拠保全の技術
技術的な課題の一つとして証拠保全の技術が指摘されている。また、これには事前対策と事後対策があるので、何と無く体型的に書きやすい。事前対策には、ログの確実な保全、改竄防止、ネットワークへの侵入検知システムの導入などか。事後対策にはメモリーや磁気媒体の確実な複製だが、最近の磁気媒体は容量が大きいので大変だ。また、複製するときには「真正性」をいかに維持するかが重要だ。そのためには、作業記録を取ること、複数の立会人のもとで行うこと、外部による証明を得ることなどが重要だ。

日本の大学でのデジタルフォレンジック教育の遅れ
米国の大学生では、80を超える大学でデジタルフォレンジックに関する講座を実施している。米国の研究会には、FBIや米軍や米国の警察も参加する。日本でも情報セキュリティ大学院大学がデジタルフォレンジック 入門講座等を開始しているが、まだまだ遅れている。

第16回情報科学技術フォーラム(FIT2017)
昨年9月には東京大学本郷キャンパスで二日間に渡って情報科学の専門家によるフォーラムが開催された。このFIT2017では、22件のイベントセッション、469件の講演が行われた。その中でデジタルフォレンジックで検索すると新潟大学須川賢洋先生と茨城大学の岡田忠先生が専門家だった。可能であれば、IT21の定例会の講師をお願いしてみようかなあ。

まとめ
デジタルフォレンジックを調べてみた。結構マニアックな題材だ。こんな題材を問題として選ぶということは情報セキュリティの専門家が試験委員にいるということであり、今後もマニアックな問題が出る可能性がある。7月16日には一体どんな問題が出題されるのだろう。

参考1:https://www.npa.go.jp/hakusyo/h21/honbun/html/le300000.html
参考2:https://news.mynavi.jp/article/20160930-forensic/3
参考3:https://www.cyber-attack.net/cyber-security-dictionary/CyberAttack674.html
参考4:https://www.slideshare.net/tetsutalow/ss-2481944