デジタル・フォレンジックの研究動向

立命館大学情報理工学部情報システム学科サイバーセキュリティ研究室上原哲太郎http://www.cysec.cs.ritsumei.ac.jp/

デジタル・フォレンジック用語上の定義 フォレンジック（ス） Forensics

Webster によると “the application of scientific knowledgeto legal problems; especially : scientific analysis of physical evidence (as from a crime scene)”

Forensic Science は「法科学」と訳されるForensic Medicine: 法医学Forensic Chemistry: 法化学・・・

日本では日本法医学会　日本法科学技術学会などが活動 デジタルフォレンジックスはこれのデジタル版

Computer Forensics の拡大版あらゆる電子証跡を扱う学問

形容詞が Forensic発音はfə-ˈren-sik(s) の方が一般的

0101110110101101111101 ・・・

NPO デジタル・フォレンジック研究会（ IDF ）による定義 インシデント・レスポンス※や法的紛争・訴訟

に対し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言う。 ※コンピュータやネットワーク等の資源及び環境

の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為（事象）等への対応等を言う。

政府文書でもこの定義を引用

デジタル・フォレンジックは「電磁的証跡」の取扱いに関する技術

電磁的記録（電磁的証跡，電子証拠）(digital evidence / e-evidence) は： 削除がとても簡単 捏造が比較的簡単 データが大量→部分的に切り取れば恣意的解釈が可能 技術的に高度なので法曹関係者には評価しにくい

民事だと原告被告間のコンセンサスも必要 必要なのは「信頼できる収集・分析技術」と

「標準的運用プロセス＋客観的確認手段」の確立 単なる技術だけでなく「法曹から受け入れ可能」でな

いと（ Forensically-sound)

システム管理者にとってのデジタルフォレンジック

平時の対応 緊急時の対応

情報システム管理者

システム管理者又は外部の専門家

分析・整理

された証拠

管理者や専門家へ：原因究明と再発防止被害拡大抑止

弁護士等へ：法的交渉や民事訴訟

捜査機関へ：刑事訴訟

信頼できる認証基盤の確立通信や操作記録の収集・保管記録やログの消去改竄抑止ログや記録の定常的検査によるインシデント発見　など…

電磁的証拠の保全と収集・解析収集過程と解析結果の文書化証拠改竄・毀損の有無の確認・立証証拠保全後のシステムの速やかな回復など…

法的対応

従来のインシデントレスポンス

事件・事故の発生

インシデントや訴訟係争の発生／情報漏えい・内部不正の発覚など

用語の広がり 「システム管理手法」という文脈での用法

証跡になる可能性のあるログ保全技術 インシデント発生時の証拠保全と収集技術

「電磁的証跡の解析技法」という文脈での用法 消去ファイルの復活・パスワードリカバリ 改ざん画像、映像、音声や文書の検出…

「従来の証拠分析技法のデジタル化」での用法 大量の文書からの事件関連文書の高速検出 大量画像からの事件関連画像の高速検出

海外のデジタルフォレンジック研究の歴史 1995～ 7 年あたりにかけて“ Computer

Forensics” “ Network Forensics” という言葉が使われ始める “Computer Forensics: An Approach to Evidence

in Cyberspace,” Mark Pollitt, 1995 “Network forensics and traffic monitoring,”

Ranum, M J, 1997 今でも Wikipedia は Computer Forensics

こちらはシステム屋に好まれる用語 2000年前後には Digital Forensics という概念が生まれる Information Forensics とも言う メディア処理研究者が多く参入

研究コミュニティの形成 2001年 Digital Forensics Research Workshop

(DFRWS) 開始　 http://www.dfrws.org/ 最古で今も一番活発 「実学的」　“ Forensic Challenge” などのコンテストも主催 HDD イメージの規格 CDESF の提案WG なども 論文誌Digital Investigation とタイアップ 来年から米欧で各年1回に

2004年 IFIP （情報処理連合）の TC11 （技術委員会）に WG11.9 として Digital Forensics が発足 毎年1月頃学会を主催（米国、米国外交互）　 60～ 100名規模

DFRWS に比べると学術的 Springer から Advances in Digital Forensics を毎年発行

その他の学会 2006年　 Association on Digital Forensics,

Security and Law (ADFSL) 米国で Conference on ～（ CDFSL ）を開催

50人規模 論文誌を年4 回発行 Journal on ～（ JDFSL ）

2006年　 IEEE Int’l Workshop on Information Forensics and Security （ WIFS） IEEE Trans. on ～と連携

2002年　 International Workshop on Digital-forensics and Watermarking 　（ IWDW) LNCS に毎回収録

2006年　 IEEE Systematic Approaches to Digital Forensic Engineering (IEEE/SADFE)

現在の状況 ForensicsWiki (www.forensicswiki.org) に

よると 2014年に開かれるイベントは 22！ アジア地区でも毎年開かれる学会が

Int’l Symposium on Digital Forensics and Information Security (DFIS)

International Conference on Digital Forensics and Investigation 　（ ICDFI)

Asian International Conference on Availability, Reliability and Security (AsiaARES)

日本の論文を探してみる Web of Science で

“ Digital forensics”or “Computer ～”を検索すると…

総数 36.8万件2000年以降は毎年 1.5～ 1.8万件

CiNii で“フォレンジック”を検索

文献は 138件！

J-Global で“デジタル・フォレンジック”“コンピュータフォレンジック”および類語を全て検索

日本語の文献は 7 ！

他の Forensics 的な分野は？ CiNii で検索

「法医学」 6423 「法科学」 2620 「鑑識」

1077 「科学捜査」801 「法化学」 299

「インシデントレスポンス」 6

J-Global で検索 「法医学」 20882 「法科学」 5238 「鑑識」

1426 「科学捜査」2940 「法化学」 57

「インシデントレスポンス」 3

情報科学の研究者にとってのデジタルフォレンジック 「犯罪や不正抑止のための

　電磁的記録の取り扱い」という視点で既存の技術を見直したもの 要素技術の新規開発テーマは少ないが

応用技術の方向性で勝負できる なので論文になりにくいというジレンマ

しかし社会的要求は確実に上がった

研究分野を分類してみる 技術分野

証拠保全技術 事前処理（ログ記録・保管技術・・・） 事後処理（正しい「証拠保全」のあり方）

証拠収集技術 データ収集技術そのもの（含むファイル復活） データ分析技術、検索技術 （場合によっては）暗号化解除技術

証拠分析技術 文書マイニング・画像映像解析・フォーマット解析

法曹分野 技術の評価と法的位置づけの確立 電子証拠収集プロセスの確立と評価

システム研究とメディア研究の2つの軸今メディア優勢

システム寄りの主な研究（１） データ収集・保全技術関連

伝統的外部記憶デバイスからのデータ取りだし

主記憶からのデータ取り出し 高度化・大容量化する RAID への対応 SSD などフラッシュメモリへの対応 スマートフォン・タブレットのデータ取り出し クラウドの取り扱い

データ中の証跡の取り出し・検索関連 ファイルシステム・システムファイルの解析 消去データ復元・破損データ修復・ Carving パスワード解析・暗号の解読・データハイディング対抗

証跡の検索・マイニング関連（特に機械学習の応用）

米国で大流行のPredictive Coding

E-Discovery のコストを劇的に削減 機械学習技術を使って、事件に関連する文

書を効率よく高精度で絞り込む 企業内の大量の文書から、当該事案に関係す

る文書をいくつかピックアップして学習 その学習結果を基に、残りの文書中から類似

度の高い文書を検索

システム寄りの主な研究（２） ネットワークフォレンジック関連

Web ・メール・ VoIP ・ P2P の検出・監視・分析・・・

IDS／ IPS 関連技術 インターネットトレースバック Bot の検出・ C&C サーバ等の検出 匿名性強化技術への対抗（ P2P 、 Tor など） SNS 、クラウドストレージなど

サービスに特化した分析 マルウェアの解析関連技術

解析の効率化

メディア処理関係技術 画像の分析，音声の分析

大量データからの人の顔・音声の同定と抽出 さらに個人の同定

デジカメ画像からのカメラ機種推定・個体同定（ Toolmarking)

改竄の検知 電子メールや文書の分析

筆者の推定（ Authorship Attribution ） 文書作成に使ったソフトウェア・ツールの同定

今の流行は？ 主な学会の最近の論文を調べてみると…

DFRWS 「モバイル対応」「メモリフォレンジック」「多言語対

応」 IFIP WG11.9

「モバイル対応」「プロファイリング・著者推定」「データマイニング」

CDFSL 「法的フレームワークとの関係」「事例紹介」「クラウド対応・ネットワーク分析」

WIFS 「マルチメディアデータの解析」「バイオメトリクス」

「プライバシー保護」 意外と現場で聞かれる「クラウド対応」「新デバ

イス対応」「匿名性技術対抗」が少ない

今後求められそうな研究 より高度なアノマリ解析

フォレンジック対応のための証跡の活用インシデントに関わる機器を早期検出

電子文書関連の研究 機械学習を利用した関連文書絞り込み 筆者推定、改ざん検出など

マルチメディアデータの改ざん検出 画像・音声等の改ざん

新しいメディア・システムへの対応 SSD などのリカバリ　 RAID 対応 クラウドへの対応

ネットワーク上での追跡の新技法 P2P, Tor 対抗、 LSN/CGN 対応 IPv6 対応

画像の改ざんハードルが下がる Photoshop などの

「コンテンツに応じた塗り」により被写体の「自然な」改ざんが楽に

どうやって見つけるか？ 周波数成分の解析で不連続性を検出など

音声に関しても同様

社会的ニーズはインシデントレスポンス 2011年あたりが転機

ゲーム会社への侵入事件 防衛産業へのサイバー攻撃 衆参両院・各省庁…

インシデントレスポンス人材の不足 運用負荷軽減技術 人材育成

終わりに デジタルフォレンジック研究のありかた

なぜか情報科学の研究者は実学が苦手この壁をいかに乗り越えるか

学際的研究に対する障壁をどうするか 司法機関との関係をどうするか

大学関係者は人材育成のありかたも問われそう