デジタルフォレンジックの 「従来」と「現在」の 手法の変化について

デジタルフォレンジックの
「従来」と「現在」の手法の変化について

CISO事業部　豊田 英稔

要旨

本記事は、デジタルフォレンジックの「従来」と「現在」の手法と課題の変化について焦点を当てました。テクノロジーの進化に伴い、デジタルフォレンジックの手法と課題も変わっています。

従来はハードドライブなどからのデータ取得が中心でした。年々、多くの機器がインターネットにつながるようになり、扱うデータ量の増加によって、手作業でのデジタルフォレンジックは困難になりました。

現在ではクラウド、IoTデバイスなどからのデータも分析の対象となり、データ抽出や分析も自動化が進んでいます。しかし、以下のような新たな課題も発生しています。

・プライバシー・セキュリティ課題

・ベストプラクティスの欠如

デジタルフォレンジックの未来は、これらの課題を解決するための戦略として、AIや機械学習を活用した自動化と分析技術の更なる発展、データ管理技術の発展によって解決する可能性がありま 

デジタルフォレンジックとは？

　デジタルフォレンジックとは、電磁的記録（ログデータをはじめとする様々なデータ）の分析・解析をする技術のことです。それにより、法的事件の解決やセキュリティインシデントの解決を行います。大まかな手順は以下の通りです。

1. データの完全性を維持するようデータを保存します
2. モバイルデバイスやネットワーク機器などからデータを抽出します
3. 抽出したデータを詳細に分析し、問題解決を行います

また、定期的にデジタルフォレンジックを行うことで、インシデント発生を予防することも可能です。

 テクノロジーの急速な進歩は、デジタルフォレンジックを劇的に変化させています。個々のハードドライブやデスクトップコンピュータからデータを取得するだけだった作業は、今やクラウドデータ、モバイルデバイス、IoTデバイスと複雑になっており、私たちは最新の知識、ツール、高度な専門知識を維持することを求められる、動的な環境に直面しています。後述するデータ量の増加や複雑性の問題によって、インシデントやデータ損害の発生源、発生した損害の範囲を特定することを難しくしました。(*1)

しかし、現在ではデータ抽出の大部分が自動化されています。デジタルフォレンジックツールは大量のデータを迅速に処理し、指定したキーワードやパターンを検索します。また、これらのツールは、メタデータの抽出、削除されたファイルの回復、暗号化されたデータの復号など、より複雑なタスクを自動的に実行することが可能です。さらに、大量のデータを自動的に分析し、異常なパターン、関連性、傾向を特定することが出来ます。(*2)

 デジタルフォレンジックの手法の進歩

【従来のデジタルフォレンジック手法】
図 1　従来のデジタルフォレンジック手法

従来のデジタルフォレンジックについての手法(図1)をまとめました。(*3)

1. 証拠の識別と保全：デジタルフォレンジックの最初のステップは、関連するデータの位置を特定し、そのデータを保護することです。これは、ハードドライブ、スマートフォン、USBドライブ、クラウドストレージなど、あらゆる種類のデジタルストレージから行われます。データが物理的なデバイスから取得される場合、デバイスは取り扱いを最小限に抑え、データが変更されないようにすることが重要でした。

2. イメージとハッシュ化：元のデータに影響を与えずにデータを調査するために、デバイスからデータのイメージ（完全なデジタルコピー）を作成します。イメージの作成は特殊なツールを使用して行われ、取得されたデータが完全であり、改ざんされていないことを確認するためにハッシュ値が生成されます。

3. データ抽出：データイメージが作成され、ハッシュが生成されたら、次にデータを抽出します。これは特殊なソフトウェアを使用して行われ、削除されたファイル、システムログ、メタデータ、ユーザ作成のファイルなどの情報を抽出します。従来、データ抽出の大部分が手動で行われ、ファイルシステムやデータベースから具体的な情報を見つけ出すために、技術者が具体的なパターンやキーワードを探す必要がありました。削除されたファイルの回復も行われましたが、これは往々にして難しく時間がかかる作業でした。

4. データ分析：抽出されたデータは次に分析され、それがインシデントにどのように関連しているかを見つけます。このステップでは、データのパターンを見つける、関連するイベントを特定するなどの活動が含まれます。従来、データ分析は大部分が手動で行われ、技術者がログファイルを確認し、異常な行動や攻撃の兆候を見つけるために時間と労力を費やす必要がありました。また、関連性や傾向を見つけるために大量のデータを手作業で比較することもありました。

 

【現在のデジタルフォレンジック手法】
図 2 現在のデジタルフォレンジック手法

現在のデジタルフォレンジックの手法は、従来の手法を基本とし、そこからカテゴリを細分化することで、多種多様なデジタル環境に対処します(図2)。たとえば、従来の手法であるデータのイメージ作成やデータ分析は、コンピュータフォレンジックだけでなく、モバイルフォレンジックやIoTフォレンジックでも使用されます。(*4)主に、データ抽出やデータ分析手法に違いがあります。

 以下は、カテゴリごとの手法紹介です。従来の手法とは異なる特徴を中心に紹介します。

・モバイルフォレンジック：スマートフォンやタブレットは、アプリケーションデータ、GPS情報、通話履歴、メッセージ、写真、動画など多岐にわたるデータを保持しています。特定のフォレンジックツールを使用して、デバイスからこれらのデータを抽出します。

 ・クラウドフォレンジック：クラウドサービスからのデータ抽出はインターフェースに依存しますが、APIの利用やWebスクレイピングを行います。

 ・IoTフォレンジック：IoTデバイスはログデータ、ネットワークデータなどを保持しています。これらのデバイスからデータを抽出するためには、ハードウェアの理解、ファームウェアの解析、ネットワーク通信の解析など、広範なスキルが必要です。

 ・ネットワークフォレンジック：ネットワークトラフィックを分析するために、パケットキャプチャツールや、ネットワークトラフィックの記録と解析を行うモニタリングツールが利用されます。

 デジタルフォレンジックの課題の変化

テクノロジーの進歩と共に、デジタルフォレンジックの課題も変化していきました。従来と現在の課題の変化に着目してご紹介いたします。

【従来の課題】
図 3 従来の手法と課題

　従来の手法は先述の通りですが、課題が存在しました。(図3)

・データ量と複雑性：かつては手作業で比較的管理可能でしたが、多くの機器がインターネットにつながるようになり、業務の中でも豊富なサービスを利用するようになりました。構造化データや非構造データ、システムログ、隠しファイルや削除されたファイルなど、さまざまな種類のデータが含まれるため分析が困難になりました。

 ・証拠の保全：揮発性のあるデータは、適切に処理されないとすぐに消失する可能性があります。また、デジタルデータの改ざんは容易なため、完全性を確保するための証拠の保全は重要な課題でした。

 【従来の課題の解決】
図 4 課題の解決と問題

従来の手法の課題は、部分的に更なる向上の余地はありますが、テクノロジーの進歩と共に多くが解決されました。(図4)

・データ量と複雑性：AIや機械学習を用いたデータスケーリングでの管理やパターン認識による異常行動の特定、自動化によって、これまでにない高度な分析が可能になりました。部分的に更なる向上の余地(分類精度や処理速度など)はありますが、大きな進歩です。しかし、デバイスの種類は年々増え続けています。従来のものでは対応しきれませんが、今後そうならないとは限りません。

 ・証拠の保全：揮発性のあるデータは、リアルタイムで稼働中のシステムを監視、分析するツールやセキュリティソフトで対応することが可能で、デジタルデータの改ざんは、デジタル著名やハッシュ関数(SHA-256など)によって防ぐことができます。

 

【デジタルフォレンジックの新たな課題】
図 5 現在の新たな課題

　従来のデジタルフォレンジックの課題は、テクノロジーの進歩によって多くが解決しました。しかし、テクノロジーが進歩したが故に、新たに課題が発生しました。(図5)

 ・データのプライバシーとセキュリティ：多種多様なデジタルデータがやり取りされるようになったことで、位置情報や、健康データ、財務データなど、機密性の高いデータが含まれることが多くなりました。このようなデータは法的な問題を含むため、プライバシーとセキュリティを保護することが重要です。デジタルフォレンジックを行う場合、慎重に判断する必要があります。

 ・ベストプラクティスが存在しない：複雑化したITシステム、デジタルデータにおいてベストプラクティス、最善の方法はありません。その場で調査し、状況に合わせた最適解を探していくことが求められています。

 デジタルフォレンジックの未来と考察
図 6 新たな課題と将来性

デジタルフォレンジックは、テクノロジーの進化とともに様々な変化を遂げてきました。従来の手法をベースに、モバイルデバイス、クラウド、IoTデバイスなど新たなデータ源の調査にも対応できるようになりました。しかし、プライバシーとセキュリティの課題、ベストプラクティスの欠如など、新たな課題も出てきました。

デジタルフォレンジックの未来は、これらの課題を解決するための戦略として、AIや機械学習を活用した自動化と分析技術の更なる発展(個人情報のマスキングや分類など)、データ管理技術の発展(効率化とトレーサビリティの向上など)によって解決する可能性があります。(図6)

プライバシーの高い情報を除いて情報収集を迅速に出来るようにし、異なるデバイス間の調査もまとめて集中的に調査できるようになるのが理想です。GDPRやCCPAなどデータプライバシーに関する法律が世界中で注目されている中、これらに対応しつつ、必要な情報のみを取得するための新しい手法が必要です。

 

　アイディルートコンサルティングでは、デジタルフォレンジックの課題に対応するためのソリューションを提供しています。PCのフォレンジックやマルウェア解析など、詳細についてはお気軽にお問い合わせください。

 

【プロフィール】

豊田 英稔（とよだ ひでとし）

2023年にアイディルートコンサルティング株式会社（IDR）の前身であるデジタルアーツコンサルティング株式会社に新卒で入社。
大学ではコンピュータサイエンスと情報セキュリティを中心に学び、エンジニアとしてCISOサービス事業部に参画。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

【参考文献】

*1：Ahmed MohanRaj Alenezi. "Digital and Cloud Forensic Challenges" arXiv:2305.03059v1[cs.CR], May 3, 2023.Accessed July 2, https://arxiv.org/abs/2305.03059.

 *2："情報提供サービス「Dコンテンツ」の提供を開始、 「I-Filter®」シリーズで授業や学習に役立つサイトの 人気ランキングなどを配信 ～効率的な教育向けの情報収集が実現、教員・生徒の業務・学習成果アップに貢献～." 情報漏えい対策ならデジタルアーツ株式会社（Digital Arts）. Accessed July 5, 2023. https://www.daj.jp/company/release/2018/1207_01/.

 *3：Ahmed MohanRaj Alenezi.  "Digital Forensics in the Age of Smart Environments: A Survey of Recent Advancements and Challenges" arXiv:2305.09682v1, May 12, 2023. Accessed July 2,  https://arxiv.org/abs/2305.09682.

 *4："デジタルフォレンジックとは？種類と手順を知ってセキュリティに役立てよう！【事例付き】｜udemy メディア." Udemy メディア, August13, 2019. https://udemy.benesse.co.jp/development/security/digitalforensics.html.