フォレンジック技術立命館大学情報理工学部 上原哲太郎（デジタル・フォレンジック研究会副会長）

Agenda• フォレンジックとは何か？• フォレンジックが使われる目的• 企業にとってのフォレンジック• 実際のフォレンジック技術例• フォレンジック製品例• 参考となる文献

フォレンジックとは？• Forensicsの訳語

• 「フォレンシックス」との表記もあるが公的文書ではフォレンジックで統一

• 辞書的には「科学的な知見を法的解決のために役立てること：特に証拠の分析に使うこと」の意• Forensic Medicine 法医学• Forensic Chemistry 法化学• Forensic Science 鑑識学

• デジタルなデータを法的に生かすためにComputer ForensicsDigital Forensicsという語が産まれた

• ここではデジタル・フォレンジックで総称

学術的にはこれが最初FBIの学術誌ForensicScienceCommunications2000年10月号にRecovering and Examining Computer Forensic Evidenceという論文が載る

https://www.ucf.edu/pegasus/training-cybersleuths/

デジタル・フォレンジック研究会の定義

• インシデントレスポンス• コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、 データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為（事象）等への対応等を言う。

• デジタル・フォレンジック• インシデントレスポンスや法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言う。

• 但し最近はかなり広い意味で使われているように思う

何のために使われているか• 刑事事件のため•犯人を捜し犯罪を立証するため

• 刑事事件以外のため•民事訴訟対応のため（特に欧米で）•企業コンプライアンスのため• IT内部統制の健全性を確保する道具として• 内部不正調査の道具として

•システム管理のため• インシデンスレスポンスの武器として

企業の関心

0101110110101101111101・・・

被害現場

鑑識 警察検察

裁判官

被疑者？？

Forensicallysounds?

犯罪・不正

情報解析 警察検察

フォレンジックの標準プロセス

対象特定Identify

証拠保全PreserveCollect

調査分析Analyze

報告Report

企業情報システム部門にとっての「フォレンジック対応」

平時の対応 緊急時の対応

情報システム管理者

システム管理者又は外部の専門家

分析・整理された証拠

管理者や専門家へ：原因究明と再発防止被害拡大抑止

弁護士等へ：法的交渉や民事訴訟

捜査機関へ：刑事訴訟

信頼できる認証基盤の確立通信や操作記録の収集・保管記録やログの消去改竄抑止ログや記録の定常的検査によるインシデント発見 など…

電磁的証拠の保全と収集・解析収集過程と解析結果の文書化証拠改竄・毀損の有無の確認・立証証拠保全後のシステムの速やかな回復など… 法的対応

インシデントレスポンス

事件・事故の発生

インシデントや訴訟係争の発生／情報漏えい・内部不正の発覚など

フォレンジックは証拠の技術• 証拠対象の特定• どれだけ効率的に行えるか ハズレはないか

• 証拠の保全• 十分高速か 後で検証可能か 見落としはないか

• 証拠の評価• 何がいつどこでなされたのか• それは偽造や改ざんの可能性はないか

• 行為者の特定• だれがそれを行ったのか• それはどれくらい確かなことなのか

ほんとに企業に関係があるの？• 大企業にとっては…•IT内部統制の確立のため• 意思決定過程が残り、改ざん消去が行われていないことを示す必要• ERPパッケージなどの操作記録を保管しシステム監査を受ける

• 中小を含む全ての企業にとっては…•内部不正の調査のため• 特に従業員によるデータ改ざんや持ち出し調査体制• 内部での調査体制があること自体が大きな抑止力になる！

•サイバー攻撃の早期発見と事後対策のため

『高度標的型攻撃』対策に向けたシステム設計ガイド（IPA)

システム管理者必読

ネットワーク分離と監視が主眼

E-Discovery• 米国等での民事裁判に見られる証拠開示制度

• 被告原告が相互に相手が持つ証拠の開示を請求できる• 例「XXに関する全ての文書を開示せよ」• それに誠実に答えないと心象で敗訴しかねない

• そこで例えば特定のキーワードを指定しファイルサーバの文書検索などをする

• その結果をかつては弁護士が見て開示すべきかどうかを決定していたが…

プレディクティブ・コーディング機械学習技術を用いた文書トリアージ

１００万文書サンプリング

1000文書

関連あり

関連なし専門家による分類

自動分類器

学習した分類器の適用

分類結果を学習へ

つい昨日の発表• これは何故わかるか？

• ログがあるから攻撃者による消去を免れたから

すぐできるForensicsはまずは証拠保全

• メモリダンプの作成•Live Forensics

• Tag & Bag• HDDなどストレージの完全複製• 証拠のハッシュ値計算電子署名・タイムスタンプ

• これらの過程の記録

分析以前の段階で求められること• 「証跡収集」はプロセスを厳格に•ここの前提が成り立たないと全てが崩れる

• 手順を可能な限り「標準化」• 「標準」の手順を経たことを後で検証可能に•ドキュメンテーション・写真・ビデオ・録音・・・

• この厳格さがあとで証拠能力を左右する

特に悩ましい「ターゲット」• 現場の状況から『取るべき証拠』の範囲を決める

• 次に対象の証拠収集の手順を決める• 電源が落ちていた場合は簡単• 電源が上がっていた場合が大変！•動作中のメモリ，プロセス，通信の様子をどこまで取るべきか？

ここで必要な知識とプロセス• 電磁的証拠は極めて消えやすい大切なのは「モノ」ではなく「データ」！• 消えやすいモノから順に取る• まずプロセス，メモリ，通信の状態を可能な限り記録• 次に動作中のアプリケーションに特化した記録• 最後にハードディスク内の記録

• 電磁的証拠の透明性客観性は大変重要よって収集のプロセスは全て記録が理想• 可能ならカメラよりビデオを！• 最低でも「何時何分何をやったか」を「その場で」文書化しておく

デジタルフォレンジック研究会「証拠保全ガイドライン」

• 第７版が公表• だいぶ読みやすくなった

• ファーストレスポンダ＝第一発見者が「初動」で利用する前提• あくまで民間ガイドラインだが…

何が書いてあるか？２. 用語の定義３. インシデント発生前の準備3-1. 活動プロセス及び体制の確立3-2. 情報収集、情報共有及び分析3-3. 資器材等の選定及び準備3-4. 資器材等の使いこなし４. インシデント発生直後の対応4-1. 初動対応及び証拠保全が未実施の場合4-2. 初動対応及び証拠保全が着手済みである場合4-3. 初動対応及び証拠保全を円滑に進めるための活動５. 対象物の収集・取得・保全5-1. 対象物の状態の把握5-2. 収集・取得・保全するための対象物の処置5-3. その他、収集・取得・保全する必要性がある対象物

６. 証拠保全の機器6-1. 複製先に用いる媒体（記憶装置）6-2. 証拠保全機器に求められる機能6-3. 証拠保全ツールに関する要件6-4. その他、証拠保全に必要な機器・機材・施策の準備７. 証拠保全の実施7-1. 代替機・代替ツール・代替手段の準備7-2. 立会人等7-3. 同一性の検証7-4. 証拠保全の正確性を担保する作業内容の記録7-5. 複製先の取扱い7-6. ネットワークログからの証拠データ抽出7-7. ファスト・フォレンジックによる証拠データ抽出８. アウトソーシングサービスの証拠保全8-1. 事前に行う準備8-2. インシデント発生直後の対応8-3. 保全方法及び作業手順の検討8-4. 証拠作業にあたっての留意点8-5. アカウント所有者の同意8-6. 収集・取得・保全

証拠保全に求められるもの

• 証拠の改ざんや滅失の防止• そこで対象特定から報告までの手続きが追跡・検証可能な形で記録されることが求められる•Chain of Custody (CoC)と言われる•ハッシュや電子署名が活用される

• 保全の段階で完全な複製が理想•Imagingなどとも

証拠保全段階のツール

• メモリダンプはOSの機能を使う場合が多い• いわゆるクラッシュダンプ

• ライブフォレンジック用のツールも登場• CDIR

• ストレージの証拠保全は商用ツールのものが無料公開• FTK Imager• EnCase Forensic Imager• OSSでは dd が広く使われる• dd形式がデファクト標準

• 専用ハードウェアがあれば便利

CDIR-Collector• オープンソースのソフトウェアがベース

• 日本語のガイドがあり使いやすい

「完全なコピー」

YEC社DemiYG1040

Logicube社Forensic Falcon NEO

イメージはdd形式で良いのか？という議論はある

• HDD等の型番、シリアル番号、ファームウェアの状態も欲しい

• HDDの代替セクタ部分は？？• PARADISE問題（by 大阪データ復旧 下垣内太氏）

• DFRWSで議論https://www.dfrws.org/• Common Digital Evidence Storage Format (CDESF)を提唱

• The Sleuth Kitなどが対応

CoC記録シートの例

調査分析

• ログ分析•そのPC内ではいつ誰によって何が行われていたのか？

• タイムライン分析

• データの分析•ファイル変更・削除の痕跡調査•削除されたファイルの復活

商用Forensic toolsあれこれ

Guidance SoftwareEnCase Forensic

AccessDataForensic Toolkit (FTK)

X-Ways Forensics Oxygen Forensics

その他ツール検索はForensicsWikiが便利

http://forensicswiki.org/

Autopsy & The Sleuth Kit

高まるLive Forensicsへの要求

• Volatility Framework

証拠が固められたらどうする？• 次は中で「何が起きていたのか」を探る• そのために証拠に関わるファイルについて・・・•いつどのように作られたか•どう参照されたか どう変更されたか•いつどう消されたか → ファイル復活が必要を整理し，時系列にまとめる必要があるこれを「タイムライン解析」というそのためファイルシステムの理解が必要タイムラインを綺麗に整理しておくことが後に役立つ

ファイルシステムとデジタルフォレンジック

• デジタル証拠を集める立場•今見えている「ファイル」は本当に全てか？隠蔽された/消去されたファイルはないか？

• 消去ファイル内の内容は復元可能か？復元したものはどれだけ信頼できるか？

•ファイルのメタ情報からなにがわかるか• PCリサイクルやメディア破棄の立場•消去は完全かそこから情報漏えいの危険はないのか

そもそも二次記憶（補助記憶）とは？

入出力装置（I/O）

中央処理装置（CPU）

入力装置 出力装置

通信装置周辺装置

主記憶装置（メモリ）

１～十数GB

補助記憶装置（二次記憶装置）数百GB～数TB

レジスタ～数百B キ

ャッシュ

数kB~

数MB制御

装置 記憶装置

主記憶と違い・・・•電源断でも不揮発•低速だが大容量•プログラム直接実行不可

代表的二次記憶媒体

• 磁気記録• ハードディスク （媒体：ガラス＋磁性体など）• 他にフロッピーディスク、テープなど• 磁気に弱い 熱にも弱い

• 光による記録• CD-R/RW/RAM, DVD-R/RW/RAM，BD• 最近の低価格化に伴い比較的消えやすい

• 亜種として光磁気記録（MO）• 保存性はかなり高い

• 半導体記録• フラッシュメモリ（USB、ケータイ・デジカメ用カード、SSD等）• 電気的に壊れることがある• 最近保存性能劣化が激しい•書き換え可能回数が数千回から数百回に•年単位の保存は難しい（自然とデータが消える）

評価項目• 読み書き速度• 書き換え可能回数• 磁気/熱/電気/光などに対する耐性

• 経年劣化への耐性

光学ディスク（CD,DVD,BD）

• 多くの場合直径12cmの円盤• CD（７４０MB）

DVD（4.7GB）BD（15GB～）がある

• 書き込み可能なものをR書き換え可能なものをRWやREという

• DVDにはさらに書き込みを2層にしたDVD-R DLあり（8.5GB）

• ファイルシステムとしてはISO標準で決められたものかBDについてはUDFといわれるものが使われる

CD-R, DVD-R,BD-R

CD-RW, DVD-RW,BD-RE

フラッシュメモリ• 「電気的に書き換えが可能なROM」の一種• 一応メモリではあるがRAMよりはるかに

読み書きが遅い（特に書き込みは大変遅い）• そのためTrimという機能が使われ始め、それによりファイル復活が困難になった

• それでもハードディスクよりははるかに速いので二次記憶として使う例が増えている• SSD(ハードディスクの代わり）USBフラッシュメモリ，SDカード（microSDなども含む）

発明者は？

ハードディスク• 高速大容量なので

最も重要な二次記憶装置• 金属かガラスの円盤(プラッタ）に磁性体を塗り

磁気ヘッドで読み書き• 埃に弱いので通常密閉されている• 円盤の直径によって3.5inch,2.5inch,1.8inchなどと呼ばれる

• ドライブ厚みは3.5inchは1cm2.5inchは12.5mm, 9.5mm7mmなどがある

• 現在3.5inchで最大10TB2.5inchで最大2TB

回転軸

磁性体を塗布した金属板等のメディア

浮上した磁気ヘッド

ハードディスクの論理的構造• 同心円状に分けられた

シリンダが、さらにセクタという固定長の単位（多くは512バイトか4096バイト）に分割された構造

• 中の構造はともかく、外部から見ると単に『セクタ』を単位に自由に読み書き可能な磁気記録媒体である• 最近は4096バイト＝4kバイトの媒体が多い• セクタには通し番号がついており、番号を用いて読んだり書いたりする

• 連続した番号のセクタのほうが読み書きが速いなどの特徴はあるが、基本的に読み書き制限はない

シリンダ0シリンダ1シリンダ2・・・

ファイルシステムとは

• ファイルという任意長のデータを、固定長のセクタの集合体であるメディアに分割して配置する仕組みを提供

• OSによっては複数提供されている• Windows→FAT, NTFSなど MacOS X→HFS, UFSなど

ファイル

ハードディスク＝セクタの集合

１

４

２

３

いくつかの部分に分割される場合

連続したセクタに配置できた場合

ファイル

ファイルシステムが扱うもの• ファイルを「メタデータ」と「データ本体」に分けて扱う

• データ本体＝バイト列（テープのようなもの）• メタデータ＝ファイルについて以下の情報を扱う• ファイル名• ファイルの配置情報（メディア内のどのセクタか？）• ファイルの長さ（バイト数）• タイムスタンプ（作成日時・更新日時・最終アクセス日時など）• アクセス権に関する情報（所有者、読み取り権、書き込み権など）• その他アイコンやファイルの種類等

• メタデータはOSにより必要要件が異なる同一OSでもファイルシステムによって多少異なる（FATよりNTFSのほうが詳細 etc）

• メディアの領域管理も行う必要（空き領域、メタデータ、ディレクトリetc・・・）

FATファイルシステムでのファイルの格納イメージ

• FATは以下のメタデータを保持• クラスタと呼ぶ単位で管理• 空きクラスタの情報• ファイルにおいて「どのクラスタ

とどのクラスタが繋がっているか」＝配置情報の一部（クラスタチェイン）

• ディレクトリは以下の情報を保持• ファイル名• タイムスタンプ• ファイルサイズ• 先頭のクラスタ番号• 先頭以降はFATを見ないと

わからない

FAT(File Allocation Table)

ルートディレクトリ

データ用の領域

１

４

２

３

メタデータ

つながりはFATが表現

削除ファイルは復活できる？• メタ情報が失われるだけなのでファイルの実体が残っている場合がある

• 復活できるかはファイルシステム次第•FATだと時々間違って復元する•NTFSはかなり正しく復元できる（上書きされていなければ）

• ところがそれはHDDの話今のSSDは復元が困難•よってバックアップ大切！！

他の「削除」は？• 「ゴミ箱に入れる」→削除といえない

• 単にファイルシステム内で名前/場所が変わるだけなのですぐに復元可能

• 「ゴミ箱を空にする」でやっと普通の削除• 一部のソフトウェアで、自動バックアップ機能として「削除」操作をしてもゴミ箱内に残すものもある

• 「フォーマットする」→場合による• 多くの場合メタデータは初期化されるのでファイル復元は難しくなりそうだが、データ本体を上書きしない場合があるので「高度な復元」が可能

• 「パーティション削除」→削除といえない• ファイル復元と同様に簡単に復元可能

ファイルシステム「以外」のデータ• メールの削除・データベースの削除など

• データベースファイルの内部はファイルシステムと同様に構造がある

• データベースファイルの構造によって削除の難度が異なる

• しかし有名ソフトウェアに対してはツールがある• ファイルの「上書き」

• 一般にはこれが一番復活しづらい• データ本体が損傷を受ける場合が多いため

• ただ、アプリケーションによる上書きは古いデータ本体が残っている可能な場合もある

• ファイルの「上書き」のやり方によっては復元可能• 別のファイルを同一ファイル名に変更して上書きなど

復元できない確実な削除のためには

• データ本体を上書きする必要がある• ハードディスクドライブ全体で行う場合

• ファイルシステムを完全に上書きするツールを使用• またはハードディスクドライブ内の「空き領域」を全て上書きするツールを使用

• ファイル単体で行う場合• 削除するファイルを、削除前に無意味なデータで上書きする• 例：「安全な削除」MacOS、 Linuxのsrmなど

• ただしこれで本当に確実に上書きされるかは議論あり• ファイルシステムが上書きを避けている可能性あり

物理的破壊からの復元

• ハードディスクはプラッタが無事なら復元の可能性は高い（部品交換など）•クリーンルーム作業が必要•多くの場合は物理的衝撃でもプラッタは無事 壊れるのはヘッド

• 逆に確実な消去のためにはプラッタの物理的/電磁気的破壊が早い

データの分析技術いっぱい• ファイル自体の分析• ファイルの検索• ファイルの改竄検出

• ファイルにもいろいろ•文書／画像／データベース／映像／音声…•それぞれにさまざまなフォレンジック技術が提案されている

Exifデータ

Exifがもっと詳しく判るツール

ニセ写真問題その１：光源で判定

Scientific American電子版 “Digital Forensics: 5 Ways to Spot a Fake Photo”by Hany Farid 2008年6月2日

ニセ写真問題その２：目の中に

Scientific American電子版 “Digital Forensics: 5 Ways to Spot a Fake Photo”by Hany Farid 2008年6月2日

ニセ写真問題その３：コピー

2004年 米国大統領選挙ブッシュ候補のCMより

最近はウソばっかり…

Fig. 1. Recent image forgeries reported (a) Composite of Cher and Brad Pitt (Johnson and Farid, 2005) (b) Photomontage of John Kerry and Jane Fonda (Johnson and Farid, 2005) (c) Jeffrey Wong Su En receiving the award from Queen Elizabeth II (Redi et al., 2011) (d) Pakistan prime minister Yousaf Gilani (www.fourandsix.com, 2012) (e) Iranian montage of missiles (Irene et al., 2011) (f) Time covers reporting on the O.J. Simpson case (Redi et al., 2011).

名誉のためにここまでやるか？

最近の例はhttp://www.fourandsix.com/photo-tampering-history/

とても簡単になりつつある

• Photoshopの「コンテンツに応じた塗り」など

写真の中の物体の「消去」が簡単に

パソコンの電磁的証拠の基本• まず基本は大量の「電子文書」

• Word, Excel, Access, Outlook,…• データベース類• デジカメの写真• その他のファイル

• 多くの場合必要となるのは「ネット関連」の証拠• 誰とどんな内容のメールをいつやり取りしたか？• どのホームページ(URL)をいつ見ていたか？どんな内容を、いつ、どのURLに書き込んだか？どんなファイルをいつダウンロード/アップロードしたか？

• その他のどのようなネット関係アプリケーションをいつ起動し、何をしたか？

「パソコン内」「プロバイダ」「（相手方）サーバ」に分散されて証拠が残ることを理解する必要

整合性が勝負

どのような電子文書でも・・・「メタデータ」と呼ばれる情報が残っている•フォルダとファイル名←アタリマエのようで重要• 普通、人はファイルやフォルダにわかりやすい名をつける

例：温泉旅行フォルダ内の「旅程表.doc」は・・・•タイムスタンプ• ファイルの作成、最終更新、最終参照時がわかる！•ただしVista以降は「最終参照時」が信用出来ない・・・

•自分で作った or ネットからダウンロードした• 今のWindowsは「ゾーン」の概念があり

ネットからダウンロードしたファイルはマークされている(NTFSのADS)

例として・・・

パソコンのファイルからわかるもの（Windowsの場合）

• 各ファイルを最後に「書いた」「読んだ」のはいつか？• その他各ファイルそのものの中身

• あらゆるデータは証拠の宝庫• ファイルを「消した」痕跡

• 運がよければ中身も復活できる• WordなどOffice系では、さらに多くの情報が！• 一部のアプリケーションは「バックアップ」機能が

ある• ファイルの改変履歴が全部残っている場合がある

Wordの履歴機能を使っていると・・・・

プロパティも豊富

某自治体で見つけた例

ある町の情報公開請求書

一見黒塗りで何も見えないがコピペすると？

パソコン自身からわかるもの（Windowsの場合）

• メール本文や送受信記録• メール本文はサーバには残っていないことが多いので、パソコン内の捜査は重要

• Webの閲覧記録• どのWebページを（だいたい）いつ見たか、はWebブラウザの「履歴」にかなり残っている

• 基本はURL 運がよければキャッシュ内に「見ていたページそのもの」

• 特にプロバイダにPPPoEで接続されている場合プロバイダへの接続記録がはっきり残るので類推しやすい

• パソコンの電源on/ログイン履歴• イベントと呼ばれる仕組みでだいたいわかる

イベントログでログオン・オフ時間を見る

パスワードがかかっていたら？• Webページのパスワード等で「ブラウザ」や「メーラ」が保存していたものは実はツールによって簡単に読み出せる

• Protected Storage Passview

• Windows自身のパスワードも条件が揃えば取り出すことが出来る

• Officeやアーカイバ等のパスワードも古い・短いものを中心に簡単に取り出す手法が知られている(Rainbow Table Attackなど)

意外とわからないもの• どのアプリケーションをいつ起動したか？

• 例えばWordを何度起動したか、などは特別な仕組みがないと残らない

• 最後に起動したのがいつかは推定できる• ごく最近のいくつかは判る• プリフェッチキャッシュ• ただしSSDだと無効

• パソコンのログインパスワードが解析できない時• 被疑者に聞きだすしかない（聞き出せれば）• ただしパスワードがわからなくてもファイルの中身を読み出す方法はある（暗号化されてなければ大丈夫）

メール配送の仕組み概略

送信サーバ 受信サーバ

送信パソコン

受信パソコン

中継サーバ

メールについてわかること• 送受信に関する記録

• どのメールアドレスへ、いつ（送信サーバ、受信サーバ、中継サーバ、メール本体、パソコン）

• どのIPアドレスのパソコンから？（送信サーバ、プロバイダ、メール本体）

• どんな差出人アドレスで？（送信サーバ、受信サーバ、中継サーバ、メール本体、パソコン）

• メール本体（パソコン、運がよければ受信サーバ）• ヘッダ情報（どのサーバを通って、どんな差出人アドレスと宛先アドレスで、どんな題名で）

• メール本体（大変リッチな情報）• メール本体は受信側はもちろんだが多くの場合

送信側のパソコンにも残っているので注意

メールのヘッダ情報Received: from origin.center.wakayama-u.ac.jp ([133.42.135.253])

by kumano.sys.wakayama-u.ac.jp (8.9.3+3.2W/3.7W) with ESMTP id EAA09173for <tetsu@sys.wakayama-u.ac.jp>; Wed, 31 Jan 2001 00:26:09 +0900 (JST)

Received: from origin.center.wakayama-u.ac.jp (origin [133.42.50.3])by origin.center.wakayama-u.ac.jp (8.9.3/3.7W00040713) with ESMTP id EAA12795for tetsu@sys.wakayama-u.ac.jp; Wed, 31 Jan 2001 00:26:04 +0900 (JST)

Date: Wed, 31 Jan 2001 00:26:04 +0900Message-Id: <200101301526.EAA12795@origin.center.wakayama-u.ac.jp>To: tetsu@sys.wakayama-u.ac.jpSubject: =?ISO-2022-JP?B?GyRCJEYkOSRIGyhC?=Mime-Version: 1.0 (generated by tm-edit 7.105)Content-Type: text/plain; charset=ISO-2022-JPFrom: UEHARA Tetsu=TaLow <tetsu@center.wakayama-u.ac.jp>

This is a test mail.ESC$B%F%9%H$N%a!<%k$@$hESC(B--tetsu

てすと(MIMEエンコード)

テストのメールだよ(ISO-2022-JPエンコード＝いわゆるJIS)

ヘッダ

SMTPのログ

本文

本文のエンコード方式空行で区切る

それぞれの証拠性• メールアドレス

• 宛先は（特にサーバに残っていれば）信用可能• 送り主は簡単に詐称できるので要検証• SPF/DKIMなどのドメイン認証技術が使われていればそれなりにわかる

• 時刻• サーバは通常信用できるメール本体は詐称が簡単だがヘッダ情報（SMTPログ）は整合性とるのが困難なので前後関係から類推可能

• 本文• 改竄の余地があるときは信用してはいけない• S/MIMEやDKIMが有効

Webについてわかること• パソコン側には

• URLの参照履歴• 閲覧したWebページの「キャッシュ」（複製）（運がよければ）• Cookie（Webサーバ側から送られる小さな情報で内容によっては

「いつ」訪れたか等わかる）• 一部のパスワード（ブラウザが記憶しているもの）

• Webサーバ側には←令状使わなきゃ出てこないが• どのIPアドレスのパソコンがいつ、どのURLを見たか、の履歴• パスワードで認証するページについてはその認証記録

（つまりログイン記録）• 運が良ければブラウザの種類，パソコンのOSの種類など• 携帯電話の場合はログから機種なども特定可能• うまくやれば携帯の固有の機体がわかる！

• いずれも、パソコン側は改竄消去が容易であることに留意複数の証拠の整合性から改竄の可能性を見る

ところで現在の敵：暗号• 暗号化されたファイルの解析はどんどん

難しくなっている• 昔のWord等の暗号は簡単だったのですぐ解けた• 今は難しい・・・

• 一般に暗号の鍵が「パスワード」である場合には、当事者から聞き出すか、総当りで探す• 総当りするソフトウェアが多数ある• 普通のパスワードでない（ICカード等）の場合は解析は大変困難になる

• 参考：BitLocker技術

電子マネーのデータ• 電子マネーの種類

• パスワード型(WebMoneyなど)←あまり普及してない• ICカード型(カード、おさいふケータイ）

• ICカード型も2種類に分けられる• プリペイド型：記名式と無記名がある• Edy, Suica/PASMO/ICOCA, Nanaco, WAONなど

• ポストペイ（クレジット）型：記名式• iD, PiTaPa, QuicPay,VisaTouchなど

• いずれも、「センター」には多量の情報があるはず• 「サイフ」の番号と購買店と金額場合によっては商品も入っているかも？

• カード側にも多少は購買履歴が入っているクレジットカードよりも手軽に使われているため行動記録になっている

電子マネーの履歴

PiTaPaはクレジット型なのでかなり詳細

交通カードのデータ• プリペイド型• Suica ICOCA PASMO など• 記名式と無記名式がある

• ポストペイ型• PiTaPa• 記名式のみ

• 大変詳細な行動履歴がセンターに残っている

• ETCについても同様• ETCについてはクレジットカード明細にも残る

カーナビやGPSのデータ• 場所と時刻が組になった行動履歴がとれるので大変便利

Google Activity Loghttps://myaccount.google.com/privacy#accounthistory

85

真の敵？通信の秘密と匿名性• 結局のところ、ネットは最後に匿名性がどこかに残ってしまう•穴はふさがれつつあるが、「無線ホットスポット」などの存在は簡単には消せない

•ネット喫茶も本人確認•匿名通信技術が色々ある• 特にTorなどの存在

• これをどう扱うかは社会的コンセンサスが必要

Tor : The Onion Router

87

Tor網

Webサーバ等

88

「普通の」企業人が持つべきフォレンジック技術や知識

• どのようなログをどの程度保存すべきか

• 証拠保全はどう行うべきか

• その証拠から何がわかりそうか

• 困ったときはどこに頼ればよいか

参考となる文献• デジタル・フォレンジックの基礎と実践•東京電機大学出版局•もっと簡単な本を来年出します

• 法律系ではデジタル証拠の法律実務Q&A日本加除出版