デジタルフォレンジック調査を行うと、膨大な量のデータが証拠として、検出される。到底、人手で処理できるものではない。前回の記事から引き続き紹介するのが、解析ツールの「Nuix」である。

前回は、データの読み込みから、キーワード、アドレスなどを使った絞り込みを紹介した。今回は、よりビジュアルな分析結果を表示する機能を紹介したい。デモデータは、前回同様、7651件のアイテムを対象として行った。紹介をしてくださったのは、こちらも前回同様、AOSデータの一居政宏氏である。

スキントーンでのフィルタ

以下では、フィルタ機能を使い、データを絞り込んでいく。画面、左下の[フィルタアイテム]にさまざまなフィルタが並ぶ。

  • デジタルフォレンジック調査

    図19 フィルタアイテム

まずは、サムネイルなどから人の写真を絞り込む事例を紹介しよう。[マルチメディア]→[スキントーン]を選び、その下の[高]などすべてにチェックを入れる。

  • 図20 [マルチメディア]→[スキントーン]

さらに表示を、前回の図11からサムネイルに切り替える。この条件に該当するデータがサムネイル付きで一覧表示される。

  • 図21 サムネイル表示

スキントーン、つまり人肌を含む画像データが検出される。しかし、ロゴや人とは無関係なデータも含まれる。ここで、レベルを[最高レベル]のみにする。図22のように確実に人の肌の画像が検出される。

  • 図22 最高レベル

逆に[低]にすると、人以外の画像が含まれるようになる。つまり、最初は[低]から始めていき、目的のデータが検出されるように、レベルを調整していく。こういった調査も可能である。

ほかにも、カラー、モノクロ、顔が写り込んでいるデータといったフィルタも用意されている。

  • 図23 顔が写り込んでいるデータ

ここでも信頼度のレベルによって、顔以外のデータが検出されることがある。

  • 図24 顔が写り込んでいるデータ(低信頼度)

テキストデータなど、関係のないデータも検出されているのがわかる。最初から高いレベルにしてしまうと、必要となるデータを見逃しかねない。上述のように、最初は低いレベルから始め、徐々にレベルを上げていくのである。

ネットワークでカストディアンの関係調査

前回の図6の7651件の状態に戻し、表示をネットワークにすると、図25のようになる。

  • 図25 ネットワーク

カストディアンのメールのやりとりを表したものである。当然、カストディアンが多ければ、大きな群となっていく。

一居氏によれば、捜査段階の初期において役立つと思われるとのことだ。経済犯罪などの捜査を行う場合、中心人物は特定できているが、関連する人物がわからないといったことがある。この人物相関図からどういったメールが誰とやりとりをしているかがわかる。 たとえば、中心の人物を選択する(その一群がオレンジ色になる)。

  • 図26 人物を選択

こうして、この一群でどのようなメールがやりとりしているかを確認することができる。

  • 図27 やりとりされたメール

逆に、メルマガのような一方通行のメールなどを除外することもできる。ネットワーク(人物相関図)を調査に使うことで、より多くの証拠や事実を得られる可能性がある。一居氏は、かなり使える機能ではないかと語っていた。

写真とマップの関連付け

最近のデジタル写真には、撮影場所などの情報が記録される。そういったデータをNuixに読み込ませると、地図上に関連付けされる。前回の図11で、表示方法を[マップ]にする。マップ内で表示方法には、クラスター、ポイント、ヒートマップの3つがある。図28は、ポイントで表示したものだ。

  • 図28 ポイント表示

赤い丸が、位置情報を持つ写真の撮影撮影された場所を示し、そこをクリックすると、その写真が表示される。

一居氏によれば、実際の捜査機関でどのように利用されているかは不明であるとのことだ。しかし、画像の位置情報を知ることによって、その事件が起こった時刻の前後にどのようなデータを対象者が取得したかといったことがわかるのではないかと思われるとのことだ。

フォレンジックの現場から

最後に一居氏に、最近、フォレンジックの業務のなかで、気が付かれたことをうかがった。

まずは、パソコンの調査をする際に、HDDとSSDを比較すると、SSDのほうがデータを復元できる可能性がかなり低いという現実がある。一居氏の担当した調査では、データが出てこなくて、残念な結果に終わってしまったこともある。したがって、企業においては、メールやオフィス系のデータの保管についてはクラウドを利用する、万が一の事態に備えて、フォレンジックコピー(HDDやUSBメモリなどのすべてのデータ領域をコピー)をするといった対策が必要になると思われるとのことだ。

AOSデータでのセミナーでも、企業内フォレンジックなどをテーマとして、紹介をしているが、企業にとって効果的なことが多い指摘する。具体的なメリットとして、インシデントが発生したときに、企業内フォレンジックを実施することで、企業内の社員などによりデータの保全を行える点がある。データがなくなってしまうといったリスクを軽減できる点が大きい。AOSデータのような外部に委託するよりも、大きくコストを下げられる点もメリットとなる。

また、公正取引委員会の調査が入るような大規模な事案では、社内である程度、調査を事前に進めておくことによって、リニエンシー(課徴金減免)制度が利用できるメリットも期待できる。

まだまだ、フォレンジックが世の中に浸透していない部分はある。企業の情報システム部門や本部門などでは、もう少しフォレンジックについて、知ってもらいたいという思いはあると語っていた。

改めて、フォレンジックの一連の作業をまとめると、以下のようになる。

  1. 保全
  2. データの復元
  3. 解析
  4. レビュー

そして、最終的に報告となる。今回、紹介したNuixは「3. 解析」の部分を担当することになる。カストディアン(調査対象者)といった、普段、あまり聞くことのない言葉が登場してきた。当然だが、これまでは捜査機関などの専用ツールであったからだ。しかし、一居氏も指摘するが、今後、企業内フォレンジックは普及する、というよりも、使うことが避けられない事態となる可能性のほうが高いのではないか。情報は漏洩するもの、ネットワークは侵入されるもの、といったスタンスも重要ではないだろうか。

そして、備えあれば憂いなしである。企業内に(できれば専任が望ましいが、そこまでの余裕もない場合は併任でも)フォレンジック担当者を配置し、日頃からFast ForensicsやNuixなどの扱いに慣れておくことも必要なことであろう。

今後も、フォレンジックでどういったことが行われているか、その際に使われるツールなども紹介していきたい。