コンピュータ・フォレンジック (英語 : computer forensics 、コンピュータ・フォレンジック・サイエンス)は、コンピュータやデジタル記録媒体の中に残された法的証拠に関わるデジタル的な法科学(フォレンジック・サイエンス) の一分野である[ 1] デジタル・フォレンジック digital forensics )の中の小分野として分類されている。
コンピュータ・フォレンジックの目的は、コンピュータ・システム 自身やハードディスクドライブ またはCD-ROM のような記録媒体、電子文書中のメッセージやJPEG 画像のような、デジタル製品の最新の状態を明らかにすることである[ 2]
デジタルな証拠に通常求められる要求に加えて、コンピュータ・フォレンジックにはとりわけ多くの指針と法的手続きが存在している。
デジタル証拠の完全性を維持するという要求に応じるために、イギリスの調査官はAssociation of Chief Police Officers (ACPO)の指針に従う[ 3] [ 4]
法執行機関またはそれらの代理人は、後に法廷で要求され得るコンピュータまたは記録媒体に保持されているデータに対して、いかなる変更も施すべきでない。
コンピュータまたはストレージ・メディアに保持されている原データにアクセスする必要があると判断する例外的事情のある場合、アクセスする者はその資格がなければならず、それらの行為の妥当性と意味合いを説明し、証拠を示すことができなければならない。
電子的証拠に基づいてコンピュータに適用される全ての過程の監査記録または他の記録は、作成され保存されるべきである。独立した第三者がそれらの過程を調査し、同様の結果を得ることができるべきである。
捜査の担当者(the case officer)は法とこれらの原則が遵守されることを確実にする全ての責務がある。
コンピュータ・フォレンジックは多くの事例で重要な役割を果たしている。
BTKキラー
デニス・レイダー は16年間にわたる一連の連続殺人で有罪判決を受けた。逮捕される前に、レイダーは何通かの手紙をフロッピーディスク に入れて警察に送っていた。その文書中のメタデータ から、"Dennis"という名の筆者と"Christ Lutheran Church"の関連が浮かび上がった。この証拠はレイダーの逮捕につながった。ジョセフ・ E・ダンカン3世
ダンカン(Joseph E. Duncan III )のコンピュータから、彼が犯罪を計画したことを示す証拠を含んだ表計算ソフト の表が復元された。検察はこれを証拠として予謀 を証明し、死刑 判決を確定させた[ 5] シャロン・ロパートカ
捜査員は、シャロン・ロパートカ(Sharon Lopatka )のコンピュータに残されていた数百通ものEメールから、彼女を殺害したロバート・グラスを割り出した[ 6]
日本では大阪地検特捜部主任検事証拠改ざん事件 を機に、2010年に東京・大阪・名古屋各地検の特捜部 に導入された。オリンパス事件 、徳洲会事件 、小渕優子 関連団体の政治資金規正法 違反事件などで応用された。2017年4月には東京地検 内に全国の検察事務官 などを集めて、人材育成や解析支援を担当する「DFセンター」が開設された[ 7]
検察や警察などの政府機関だけでなく、依頼を受けた民間企業が手掛ける場合もある。2011年に発覚した大相撲八百長問題 では、AOSテクノロジーのリーガルテック部門(現・AOSリーガルテック)が、破壊された携帯電話 から電子メール の内容を復元した[ 8]
コンピュータ・フォレンジック捜査の標準的な手順は、データ取得、調査、解析、そして報告から成る。黎明期には専門ツールが不足していたため、稼動中のコンピュータを捜査せざるを得ない場合が一般的であったが、現代では稼動中のシステムではなく静的データ、つまりイメージファイル に対して捜査を行うのが一般的である。
証拠物を押収するとき、もし機器がまだ稼働中ならば、RAM 上のデータは電源を切ると失われる可能性が高い[ 5]
メモリ セルに蓄積された電荷の放散に時間がかかるので、電力停止後にもRAMにある重要な内容が解析されうる。データ回復が可能な時間は、低温であって高いセル電圧であるほど長くなる。RAMを−60℃ 下で電源が入っていない状態に保持できれば、電荷の放散が抑えられてデータ回復が成功する見込みは高くなる。しかし、現場調査でそういった対応は非現実的である[ 9]
Cross-drive analysis
複数のハードディスクドライブ から発見された情報を関連づける技法。この技法は、まだ研究段階であるが、人間関係の解明や異常検知 への活用が提案されている[ 10] [ 11] 対象物のOSが稼動している状態で、独自のフォレンジック・ツールや既存の管理ツールを使用して証拠データを取得し、コンピュータを調査する技法。この技法は、暗号化ファイルシステム (Encrypting File System )を扱う場合に有用であり、例えばデータが復号されている内に暗号化キーを収集できる可能性がある。また、コンピュータがシャットダウンして論理ハードドライブ ・ボリュームが暗号化される前にそのイメージを取得できる可能性がある[ 12] 削除ファイルの復旧
コンピュータ・フォレンジックで使用される一般的な技法の1つが、削除されたファイルの復旧(Recovery of deleted files )である。現代のフォレンジック・ツールは、削除されたファイルをファイルシステムに基づいて復旧する機能、もしくはファイル内容の特徴(ヘッダ等)に基づいて復旧する機能を有する[ 13] セクタ に物理アクセスを行ってデータ復旧を試みることが可能である。 ステガノグラフィ (Steganography )
データを隠蔽する手法として、ステガノグラフィがある。これは、画像などのバイナリファイルの中にデータを埋め込んで隠す手法である。使用例としては、児童ポルノなどの違法なデータの隠蔽が挙げられる。この手法への対策としては、ハッシュ値の比較がある。証拠物の中の一見無害なファイルのハッシュ値と、そのオリジナルのファイル(入手できれば)のハッシュ値を比較し、相違があればファイル内容にも相違があり、違法データが埋め込まれている可能性があると看破できる[ 14]
多くのオープンソース ツール及び商用ツールがコンピュータ・フォレンジック捜査のために存在する。
フォレンジック解析の典型例としては、メディア上の資料の手動調査、Windowsレジストリ上の疑わしい情報に関する調査、パスワードの発見とクラッキング、犯罪に関連した主題のキーワード検索、Eメールや画像の抽出及び調査が挙げられる[ 6]
コンピュータ・フォレンジックについて、さまざまな認証がある。アメリカ合衆国の多くの州法はコンピュータ・フォレンジック鑑定人に専門的認証または私的捜査員のライセンスを取得することを求めている。[要出典
他にも、EnCase Certified Examiner(EnCE)認証やAccessData ACE認証のように製品固有の認証を提供するコンピュータ・フォレンジック・ソフトウェア 企業がある。
^ Michael G. Noblett; Mark M. Pollitt, Lawrence A. Presley (2000年10月). “Recovering and examining computer forensic evidence ”. 2010年7月26日 閲覧。 ^ A Yasinsac; RF Erbacher, DG Marks, MM Pollitt (2003年). “Computer forensics education ”. IEEE Security & Privacy. 2010年7月26日 閲覧。 ^ Pollitt, MM. “Report on digital evidence ”. 2010年7月24日 閲覧。 ^ “ACPO Good Practice Guide for Computer-Based Evidence ”. ACPO. 2010年7月24日 閲覧。 ^ a b Various (2009年). Eoghan Casey. ed. Handbook of Digital Forensics and Investigation ISBN 0123742676 . https://books.google.co.uk/books?id=xNjsDprqtUYC&hl=en 2010年8月27日 閲覧。
^ a b Casey, Eoghan (2004年). Digital Evidence and Computer Crime, Second Edition ISBN 0-12-163104-4 . https://books.google.co.jp/books?id=Xo8GMt_AbQsC&dq=Digital+Evidence+and+Computer+Crime,+Second+Edition&redir_esc=y&hl=ja
^ 「森友」交渉記録、電子鑑識へPCデータ復元、国有地売却交渉を究明 大阪地検 『産経新聞 』朝刊2017年8月23日^ 壊したスマホ 証拠逃さぬ 『日経産業新聞』2017年11月9日(16面)^ J. Alex Halderman, Seth D. Schoen , Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum , and Edward W. Felten (2008年2月21日). Lest We Remember: Cold Boot Attacks on Encryption Keys プリンストン大学 . http://citp.princeton.edu/memory/ 2009年11月20日 閲覧。 ^ Garfinkel, S. (2006年8月). “Forensic Feature Extraction and Cross-Drive Analysis ”. 2010年9月27日 閲覧。 ^ “EXP-SA: Prediction and Detection of Network Membership through Automated Hard Drive Analysis ”. 2010年9月27日 閲覧。 ^ Maarten Van Horenbeeck (2006年5月24日). “Technology Crime Investigation ”. 2010年8月18日 閲覧。 ^ Aaron Phillip; David Cowen, Chris Davis (2009年). Hacking Exposed: Computer Forensics ISBN 0071626778 . https://books.google.co.uk/books?id=yMdNrgSBUq0C&hl=en 2010年8月27日 閲覧。 ^ Dunbar, B (January 2001). “A detailed look at Steganographic Techniques and their use in an Open-Systems Environment ”. 2016年12月8日 閲覧。 ^ “GIAC Certified Forensic Analyst (GCFA) ”. 2010年7月31日 閲覧。 ^ “2,146 GCFA Credentials Granted - 199 GCFA Gold ”. 2010年7月31日 閲覧。 ^ “International Society of Forensic Computer Examiners ”. 2010年8月23日 閲覧。 ^ Information Assurance Certification Review Board
^ International Association of Computer Investigative Specialists, 公式ウェブサイト
^ IFS Education Department, 公式ウェブサイト
^ EC-Council, 公式ウェブサイト
本節は「コンピュータ・フォレンジック」をさらに詳しく知るための読書案内である。
A Practice Guide to Computer Forensics, First Edition (Paperback) by David Benton (Author), Frank Grindstaff (Author) Casey, Eoghan; Stellatos, Gerasimos J. (2008). “The impact of full disk encryption on digital forensics”. Operating Systems Review 42 (3): 93–98. doi :10.1145/1368506.1368519 . Incident Response and Computer Forensics, Second Edition (Paperback) by Chris Prosise (Author), Kevin Mandia (Author), Matt Pepe (Author) "Truth is stranger than fiction..." (more)
英文記事
英文リンク 
.png){kind=small}
