フォレンジック調査とは?実施すべきケースや調査の種類、
実施時の注意点などを解説

 2024.07.23  三和コムテック

フォレンジック調査とは、犯罪捜査や内部不正などインシデントが発生した際に行う調査を指します。

しかし、実施すべきケースや調査の内容もさまざまで、費用が発生することはもちろん、日数もかかります。フォレンジック調査の課題は以下の通りです。

  • 実際にフォレンジック調査をするべきなのか?
  • 費用や所要日数の相場はどのくらいなのか?
  • 自社でできるのか、外部に委託するのがよいのか?

この記事では、上記の内容を実例をもとに分かりやすく解説していきます。フォレンジック調査を理解することで、セキュリティ診断のサービス理解やソリューションの知識も深めることができるのでご参考ください。

フォレンジック調査とは

フォレンジック調査とは?実施すべきケースや調査の種類、実施時の注意点などを解説 1

フォレンジック(forensics)は、そもそも「科学捜査」や「裁判証拠収集」の意味で、犯罪捜査や内部不正などインシデントが発生した際に行う調査を指します。

フォレンジック調査は法的証拠として使用できるものを調査します。

PCやスマートフォンなどのデジタル機器に保存されているデータを調査することを、デジタルフォレンジックといいます。

調査は、以下のプロセスを経て行われます。

  • 取得:調査対象となるデバイスからデータを安全に取得します。この段階では、データの変更や損失を防ぐために、慎重な操作が必要となります。
  • 検査:データの完全性を保ちながら、収集したデータに関連する情報を評価し抽出を行います。
  • 分析:データのパターンや異常を検出するために、さまざまな解析ツールや技術が使用されます。
  • 報告:分析結果を報告書としてまとめ、発見された証拠や調査の過程、結論が含まれます。また、取得したデータは証拠としての信頼性を保つために、適切に保存する必要があります。

SCT Security Solution Book

なぜフォレンジック調査を行うのか

フォレンジック調査とは?実施すべきケースや調査の種類、実施時の注意点などを解説 2

フォレンジック調査は不正アクセスがあった場合などに人物を割り出すことで、法的証拠を見つけられます。

フォレンジック調査を具体的に行う目的や必要性を調査前にしっかり認識しておくことが必要です。本章では、調査の目的や必要性、実施すべきタイミングについて解説します。

フォレンジック調査の目的・必要性

フォレンジック調査は、不正アクセスがあった場合など人物を割り出すことができる調査で、法的に有効な形で提供することです。法的に有効な形とは、証拠の信頼性・証拠保存記録・記録の再現性などが担保された状態の事を指します。

特に、ネットワーク関連のフォレンジック調査は、アクセス履歴やインターネットなどの履歴調査が可能で、犯罪捜査や内部不正の証拠を見つけるための手段として有益です。

もちろん、フォレンジック調査は法的証拠を見つける目的もありますが、下記の調査をすることによってセキュリティ対策も講じられます。

  • 不正行為の原因調査
  • サイバー・ランサムウェアなど攻撃の原因調査
  • 社内の不正行為や情報漏えいの防止

インシデント発生に気付いてない場合やインシデント発生時には、早期発見して改善することが重要です。インシデントは時間の経過によって被害が甚大になる可能性が大きいため、フォレンジック調査によって講じられるセキュリティ対策は重要な役割を果たします。

どんなときにフォレンジック調査を実施すべきか

どのようなときにフォレンジック調査を実施すべきか迷うことがあるかもしれません。その場合は、下記の適用例に1つでも当てはまれば実施を検討しましょう。

  • 社内のセキュリティインシデント
    ハッキングやデータ侵害、マルウェア感染などが発生した場合、被害の範囲や原因を特定するために行います。
  • 社内で横領や不正が発生した場合
    従業員による金銭の横領、情報の不正利用、知的財産の盗難などの不正行為が疑われる場合に、関連するデジタル証拠を収集し、調査します。
  • 独占禁止法・競争法違反の調査
    競争法や独占禁止法に違反する行為が疑われる場合に、関係する通信記録やビジネス文章を解析し、証拠を収集します。

フォレンジック調査は、削除データも復元して調査できますが、時間の経過とともに難しくなることがあります。適用例に当てはまる場合は、なるべく早く専門の業者に相談することをおすすめします。

フォレンジック調査を行う際の注意点

フォレンジック調査とは?実施すべきケースや調査の種類、実施時の注意点などを解説 3

フォレンジック調査を行うには、費用と時間に目が行きがちですが、二次被害も起こらないように注意する必要もあります。

ここでは、費用と時間がかかる理由、二次被害が起こらないようにするためには、どうしたらよいのか、調査を行う際の注意点を解説していきます。

使うツールやサービスによっては高額な費用がかかる

調査には高額な費用がかかるケースが一般的です。社内メンバーで実施しようとしても、調査を実施する人員と知識も一定以上必要なため費用が発生します。

社内メンバーで実施する方が費用は抑えられますが、対応できる従業員がいない場合が多いでしょう。フォレンジック調査を行えるツールや提供サービスもありますが、調査するデジタル機器1台で数十万円かかるのが一般的です

データ量によっては調査費用や時間が膨大になる

デジタル技術の加速により、企業が保有するデジタルデータは増えています。それにともない、フォレンジック調査を行う調査範囲も広くなり、処理するデータが増えているため時間がかかります

調査に時間がかかるということは、それだけ人的コストが発生するので、調査費用も膨大になります。

二次被害が起こらないようにする

社内調査の場合は、二次被害が起こらないように細心の注意を払う必要があります。二次被害の例としては、重要な証拠を誤って削除したりデータの上書きをしてしまったりといったケースなどが考えられます。また、外部からの攻撃を調査する際に、悪意あるプログラムを意図せず起動させ感染してしまい二次被害を起こしてしまうという事態も起こりかねません

個人情報の流出など信頼を損なうインシデントが発生した場合は、自社の調査では信頼を取り戻しづらいため、外部の専門業者に依頼することが大切です。

フォレンジック調査の種類

フォレンジック調査とは?実施すべきケースや調査の種類、実施時の注意点などを解説 4

フォレンジック調査は、大きく分けて以下の4つの種類があります。これらの種類を理解することは、調査を実施する上で重要です。

  • コンピュータフォレンジック
  • モバイルデバイスフォレンジック
  • メモリフォレンジック
  • ファストフォレンジック

ここでは、フォレンジック調査の4つの方法について詳しく解説していきます。

コンピュータフォレンジック

コンピュータフォレンジックは、以前よく使われていた名称で最近では使われる頻度は減っています。コンピュータが主流でデジタルサービスやインターネットが活発ではない時代に利用されていた名称です。現在は、さまざまなデジタルサービスやインターネットサービスがあるため、デジタルフォレンジックという名称を使うケースが多いです。

コンピュータフォレンジックは、パソコンやサーバーなどのコンピュータシステムに保存されているデジタルデータを調査・解析する分野です。主に、ファイルシステムの解析、ログの解析、電子メールの解析、隠しファイルの発見に利用されます。

モバイルデバイスフォレンジック

モバイルデバイスフォレンジックはデジタルフォレンジックの1つで、スマートフォンやタブレットのデバイスを調査します。

主に、通話履歴・メッセージ・位置情報・アプリの使用履歴などの解析に利用されます。

スマートフォンやタブレットのデバイス調査はデバイスに保存されている画像やデータだけではなく、通話履歴やアプリの使用履歴も調査対象とできます。

削除された通話履歴やアプリ使用履歴のデータも復元して調査することが可能です。

メモリフォレンジック

メモリフォレンジックでは、揮発性情報であるメモリ上のデータを解析でき、どのようなプログラムが動作し、どのような相手と通信していたかなどの情報を得られます。

主に、プロセスの解析や、暗号化キーの発見、ネットワークセッションの解析、マルウェアの検出などに利用されます。

揮発性情報とは、時間の経過とともに失われる一時的な情報や、電源遮断により消えてしまう情報を指します。インシデント発生時には時間の経過や電源遮断のリスクがあるため、メモリーデータを優先して取得することが重要です。

ファストフォレンジック

ファストフォレンジックは、「早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出及びコピーし、解析すること」と定義されています。
引用:「証拠保全ガイドライン」(デジタル・フォレンジック研究会 )

USBメモリを挿入して、プログラムを実行するだけで必要最低限のデータを収集できるものもあるため、短時間での概要把握と原因究明が行えます。

適切で迅速な初動対応を行えるため、早急な原因の調査や対応が必要な場合は有効的な調査方法です。

フォレンジック調査の内容・流れ

フォレンジック調査とは?実施すべきケースや調査の種類、実施時の注意点などを解説 5

フォレンジック調査はどのような流れで行われるのでしょうか。ここでは、調査概要の決定から調査結果の報告完了まで具体的な進め方を解説していきます。

調査概要の決定

調査をする前に、調査する担当者や端末、対象データの確認と決定をする必要があります。

もし、調査範囲が広い場合はチームを形成して調査を行います。調査範囲が広い場合はどこまで調査するのか定義してチームの共通認識をもち、二次被害などのリスクも共有しておきましょう。

証拠データの保存

フォレンジック調査で取得した情報は法的証拠となり、裁判でも有効な情報として扱われます。そのため、取得した情報に改ざんなどが起こらないように、取得したデータを完全にコピーして解析します。その際、調査対象はハードウェアも含みます。

収集・解析したデータが正確であること、信頼できることが重要です。

被害にあったデータを復元

フォレンジック調査は、重要かつ法的証拠となるデータが削除されていた場合は、履歴やログを確認して復元を行います。復元は時間経過とともに難しくなる場合があるため、必要なデータがあれば早めに取り組みましょう。

  • 削除データの復元:
    削除されたファイルやフォルダを復元するために、専用のリカバリーツールを使用します。
  • 破損データの修復:
    破損したファイルやデータベースを修復するために、適切な復元技術やソフトウェアを使用します。
  • 暗号化データの復元:
    暗号化されたデータを復元するために、暗号化キーやパスワードを解析します。

原因を解析/分析

調査で取得した情報はそのままのデータとして羅列されているだけでは分かりづらいため、可視化しやすいようにグラフや時系列に整理する必要があります。

グラフや時系列に整理して可視化できれば、インシデント発生原因やきっかけを特定できます。

調査結果の報告

最後に、調査で解析・分析した調査データの報告を行います。個人情報の流出などインシデント発生の内容によっては、既存顧客に対しても大きな影響があり信頼を失墜している場合は、報告を丁寧に対応することで信頼を取り戻すことが重要です。

  • 報告書の作成:
    調査の過程と結果を詳細に記載した報告書を作成します。これには、発見された証拠、解析結果、結論、推奨される対応策が含まれます。
  • 証拠の提示:
    調査結果を社内の関係者に提出し、必要に応じ修正や加筆を行います。
  • フォローアップ:
    調査後のフォローアップとして、再発防止策の提案やシステムのセキュリティ強化の支援を行います。

フォレンジック調査が活用された過去事例

フォレンジック調査とは?実施すべきケースや調査の種類、実施時の注意点などを解説 6

ここではフォレンジック調査が活用された過去事例を解説していきます。
自社の状況と照らし合わせてご参考ください。

IT企業Aの事例

IT企業Aの社員から押収したデジタル機器から不正アクセスや机上の機密情報の漏えいが立証された事件です。

IT企業Aの社員は、法的証拠となるデジタルデータを念入りに削除していましたが、警察側のフォレンジック調査で、削除されたファイルの断片が見つかり、削除前の元データの復元に成功しました

IT技術の進歩により取り扱うデータが増えているため、フォレンジック調査は一般事件の捜査や立証に利用されるケースが増加しています。

スポーツとばくの事例

相撲の力士などが野球とばくに関わりがあるという疑惑からフォレンジック調査が行われ、スポーツとばくと八百長が明るみに出た事件です。

事件の影響で、次大会は中止の危機に直面しましたが、最終的には開催されました。多くの力士や先週が謹慎処分を受けスポーツ業界に大きな衝撃が走りました。

フォンレンジック調査では、関係者のデジタル機器を押収し、メールなどの履歴を復元解析しました。力士たちは、メールなどの履歴を削除していましたがフォレンジック調査で復元に成功した事例です。調査の過程で、現役力士の八百長問題も発覚して大きな社会問題となりました。

パソコン遠隔操作による誤認逮捕の事例

襲撃・爆破予告などを、インターネット掲示板への書き込みやメール送信をしたとして誤認逮捕された事件です。

インターネット掲示板への書き込み履歴やメールのIPアドレスなどを主な証拠として逮捕されていましたが、押収したパソコンを再度フォレンジック調査した結果、遠隔操作ウィルスの痕跡が確認され、無実が証明されました。

国家技術を集めてフォレンジック調査をしても、犯罪捜査においては一面的な調査ではなく多角的な調査をしないと誤認逮捕につながると認知された事件です。

決裁文書改ざんの事例

当時世間を騒がせていた某学校法人に対する国有地の売却に関する事件でも、フォレンジック調査が行われていました。分析の結果、提出された文書から、いくつかの文言が削除または改ざんされていたことが判明しています。

改ざんは、フォレンジック調査にて、パソコン内のデータを復元することで、14の文章における改ざんが判明し、当時の内閣総理大臣の関与も疑われた事件のため、連日報道された事件です。

公職選挙法違反の事例

国政選挙において、大規模な買収を行ったとして公職選挙法違反で元大臣とその妻が逮捕された事件です。検察当局はこの事件でフォレンジック調査を行ったと見られています。

元大臣夫妻のパソコンやスマートフォンは、データの完全消去が行われていましたが、フォレンジック調査にて復元に成功し逮捕に至りました。

復元したデータは、LINEのチャット履歴やGPSによる行動データ、現金提供先リストなどと見られています。また、カーナビの情報からも行動履歴を分析しています。

まとめ

本記事では、実例をもとに、フォレンジック調査について分かりやすく解説してきました。フォレンジック調査はデジタル機器などのデータを復元して法的証拠を見つけることができる調査方法です。

セキュリティに関する調査にはさまざまな方法があり、どの調査方法がよいか個人での判断が難しいことがあるでしょう。セキュリティ全般のサポートサービスは世の中で多数提供されており、セキュリティ事故を未然に防ぐためには、セキュリティソリューションを利用し強化することがおすすめです。

三和コムテックが提供する、セキュリティ対策では豊富な対策メニューと診断実績3,000社以上の長年の実績から高品質なセキュリティソリューションを提供しています。

無料のセキュリティ診断や相談会も実施しているので、この機会にぜひ検討してみてはいかがでしょうか?

 セキュリティ無料相談会

無料のセキュリティ診断や相談会も実施しているので、この機会にぜひ検討してみてはいかがでしょうか?
https://product.sct.co.jp/product/security/trial

SCT Security Solution Book

RECENT POST「セキュリティ」の最新記事


SBOMとは?導入手順や管理ツールの選び方を分かりやすく解説
セキュリティ

SBOMとは?導入手順や管理ツールの選び方を分かりやすく解説

ランサムウェア攻撃被害からわかる、共通の攻撃起点とは?
セキュリティ

ランサムウェア攻撃被害からわかる、共通の攻撃起点とは?

タリーズもやられていた!そのサイバー攻撃手法と影響を考察します!
セキュリティ

タリーズもやられていた!そのサイバー攻撃手法と影響を考察します!

米国でもランサムウェア攻撃に警告!リリースから学ぶ傾向と対策とは?
セキュリティ

米国でもランサムウェア攻撃に警告!リリースから学ぶ傾向と対策とは?

フォレンジック調査とは?実施すべきケースや調査の種類、実施時の注意点などを解説
ブログ無料購読のご案内

おすすめ資料

PAGETOP