コンピューター・フォレンジックはデジタル・フォレンジック、コンピューター・フォレンジック・サイエンス、サイバー・フォレンジックとも呼ばれ、コンピューター・サイエンスと法的フォレンジックを組み合わせて、法廷で認められる方法でデジタル証拠を収集します。
法執行機関の捜査官が犯罪現場をくまなく捜査して手がかりを探すのと同じように、コンピューター・フォレンジック捜査官は、弁護士が犯罪捜査、民事訴訟、サイバー犯罪調査、その他の企業や国家安全保障問題で使用できる証拠を求めてデジタル・デバイスを捜索します。そして、法執行機関の捜査官と同様に、コンピューター・フォレンジック捜査官も、デジタル証拠を探すだけでなく、その忠実性と法廷での証拠能力を確保するためにデジタル証拠を収集、処理、処理する専門家である必要があります。
コンピューター・フォレンジックはサイバーセキュリティーと密接に関係しています。コンピューター・フォレンジックの調査結果は、サイバーセキュリティー・チームがサイバー脅威の検知と解決を迅速化し、将来のサイバー攻撃を防ぐのに役立ちます。サイバーセキュリティーの新たな分野であるデジタル・フォレンジックとインシデント対応(DFIR)は、コンピューター・フォレンジックとインシデント対応活動を統合し、サイバー脅威の修復を加速すると同時に、関連するデジタル証拠が漏洩しないようにします。
コンピューター・フォレンジックは、1980年代初頭にパーソナル・コンピューターが発明されて初めて注目を集めました。テクノロジーが日常生活に欠かせないものになると、犯罪者は隙をつき、電子機器を使って犯罪を犯し始めました。
ほどなくして、インターネットは一夜にしてほとんどすべての人をつなぎ、企業や組織のコンピューター・ネットワークへのEメールやリモートアクセスを可能にし、より複雑なマルウェアやサイバー攻撃への扉を開きました。この新たなサイバー犯罪の領域に対応するため、法執行機関は電子データを調査および分析するシステムを必要としていたため、コンピューター・フォレンジックが誕生しました。
当初、ほとんどのデジタル証拠は、パーソナル・コンピューター、サーバー、携帯電話、タブレット、電子ストレージ・デバイスなどのコンピューター・システムやITデバイス上で発見されました。しかし現在では、モノのインターネット(IoT)やオペレーショナル・テクノロジー(OT)の装置から、自動車や家電製品、ドアベルや犬の首輪に至るまで、ますます多くの産業用・商業用のデバイスや製品が、デジタル証拠のために収集・利用可能なデータやメタデータを生成・保管しています。
たとえば自動車事故を考えてみましょう。過去には、法執行機関の捜査官が犯罪現場を捜査して、進路変更の痕跡やガラスの破片などの物的証拠を求めていたでしょう。また、運転中にテキスト・メッセージを送信した証拠がないか、運転手の携帯電話をチェックしたかもしれません。
現在、新しい自動車は、あらゆる種類のタイムスタンプ付きのデジタル・データとメタデータを生成して保管し、各車両の位置、速度、動作状態を常に詳細に記録します。このデータによって、現代の自動車は強力なフォレンジック・ツールとなり、捜査官が事故に至るまで、あるいは事故中、事故後の出来事を再現できるようになりました。これは、従来の物理的な証拠や目撃情報がない場合でも、事故に責任を負う当事者を見つける上で役に立つ可能性もあります。
物理的な犯罪現場の証拠と同様に、デジタル証拠も収集して正しく処理する必要があります。そうしないと、データとメタデータが失われるか、法廷で認められないとみなされる可能性があります。
たとえば、捜査官と検察官は、デジタル証拠の適切な保管過程を証明する必要があり、デジタル証拠がどのように扱われ、処理され、保管されたかを文書化する必要があります。また、データを変更せずに収集して保管する方法を知る必要があります。これは、ファイルを開く、印刷する、保存するなどの一見無害な操作によってメタデータが永久に変更される可能性があることを考慮した上での課題です。
このため、ほとんどの組織では、犯罪捜査やサイバー犯罪捜査に関連するデジタル証拠を収集・処理するために、コンピューター・フォレンジック捜査官(コンピューター・フォレンジック・エキスパート、コンピューター・フォレンジック・アナリスト、フォレンジック・コンピューター検査官という職種名でも知られています)を雇用または契約しています。
コンピュータ・フォレンジックの専門家は、通常、コンピューター・サイエンスまたは刑事司法の学士号を取得しており、オペレーティングシステム、情報セキュリティー、ネットワーク・セキュリティー、プログラミング言語などの情報技術 (IT) の基礎に関する確かな機能的知識と、デジタル証拠やサイバー犯罪の法的意味に関する知識を兼ね備えています。モバイル・フォレンジックやオペレーティング・システム・フォレンジックなどの分野を専門とする場合もあります。
コンピューター・フォレンジック捜査官は、法的に許容されるデータを探し出して保存する専門家です。コンピューター・フォレンジック捜査官は、オフサイトのサーバーや自宅のコンピューターなど、社内のITスタッフが無視する可能性のあるソースからもデータを収集すべきことを知っています。また、組織が健全なコンピューター・フォレンジック・ポリシーを策定するのに役立ち、デジタル証拠を収集する際の時間と費用を節約し、サイバー犯罪の余波を軽減し、将来の攻撃からネットワークと情報システムを保護するのに役立ちます。
コンピューター・フォレンジックには4つの主な手順があります。
最初のステップは、調査に関連するデータ、メタデータ、またはその他のデジタル・アーティファクトが含まれている可能性があるデバイスまたはストレージ・メディアを特定することです。これらのデバイスは収集され、フォレンジック研究所またはその他の安全な施設に置かれ、プロトコルに従い、適切なデータ復旧が保証されます。
フォレンジック・エキスパートは、保存するデータのイメージ、つまりビット単位のコピーを作成します。次に、イメージとオリジナルの両方を安全に保管し、変更や破壊から保護します。
エキスパートは2種類のデータを収集します。デバイスのローカル・ハードディスク・ドライブに保存される永続データと、メモリーまたは転送中(レジストリー、キャッシュ、ランダム・アクセス・メモリ(RAM)など)にある揮発性データです。揮発性データは一時的なものであり、デバイスがシャットダウンしたり停電が発生したりすると失われる可能性があるため、特に慎重に扱う必要があります。
次に、フォレンジック捜査官が画像を分析して、関連するデジタル証拠を特定します。これには、意図的にまたは意図せずに削除されたファイル、インターネット閲覧履歴、Eメールなどが含まれます。
他の人が見逃してしまうような「隠れた」データやメタデータを発見するために、捜査官は、揮発性データについてまだ稼働しているシステムを評価するライブ分析、一見普通のメッセージの中に機密情報を隠す技術であるステガノグラフィーを使って隠されたデータを暴き出すリバース・ステガノグラフィーなどの専門技術を利用します。
最終ステップとして、フォレンジック・エキスパートは分析の概要をまとめた正式なレポートを作成し、調査結果と結論や推奨事項を共有します。レポートは事件によって異なりますが、法廷でデジタル証拠を提示するためによく使用されます。
組織や法執行機関の捜査官がデジタル・フォレンジック調査を開始する可能性のある領域がいくつかあります。
犯罪捜査:法執行機関やコンピューター・フォレンジックの専門家は、強盗、誘拐、殺人など物理的な世界での犯罪はもちろん、ネットいじめ、ハッキング、ID窃盗などコンピューター関連の犯罪を解決するために、コンピューター・フォレンジックを利用できます。たとえば法執行機関の捜査官は、殺人容疑者のパソコンでコンピューター・フォレンジックを使用して、検索履歴や削除されたファイルに隠された、潜在的な手がかりや証拠を見つける場合があります。
民事訴訟:捜査官は、詐欺、雇用紛争、離婚などの民事訴訟事件でもコンピューター・フォレンジックを使用できます。たとえば離婚訴訟では、配偶者の法務チームがモバイル・デバイスにコンピューター・フォレンジックを使用してパートナーの不貞を明らかにし、より有利な判決を得る場合があります。
知的財産の保護―コンピューター・フォレンジックは、法執行機関の捜査官が企業秘密や著作権で保護された資料の盗難などの知的財産の盗難を捜査するのに役立ちます。最も注目を集めているコンピューター・フォレンジック事件の中には、知的財産保護に関連するものもあります。特に、退職する従業員が機密情報を盗んで別の組織に売却したり、競合会社を設立したりする場合が、それに該当します。デジタル証拠を分析することで、捜査官は誰が知的財産を盗んだのかを特定し、その責任を追及することができます。
企業のセキュリティー: 企業は、データ侵害やランサムウェア攻撃などのサイバー攻撃後、何が起こったかを特定し、セキュリティーの脆弱性を修正するために、コンピューター・フォレンジックを使用することがよくあります。典型的な例としては、ハッカーが企業のファイアウォールの脆弱性を突破して機密データや重要データを盗むことが挙げられます。サイバー犯罪は依然として増加傾向にあるため、サイバー攻撃と戦うためのコンピューター・フォレンジックの活用は今後も続くでしょう。2022年にFBIは、コンピューター犯罪によるアメリカ人の年間損失額は、前年の69億米ドルから増加し、103億米ドルに上ると推定しました(ibm.com外部へのリンク)。
国家安全保障:サイバー犯罪が国家間で拡大し続ける中、コンピューター・フォレンジックは重要な国家安全保障ツールとなっています。政府やFBIなどの法執行機関は現在、サイバー攻撃後にコンピューター・フォレンジック技術を使用して証拠を発見し、セキュリティーの脆弱性を補強しています。
繰り返しになりますが、コンピューター・フォレンジックとサイバーセキュリティーは密接に関連する分野であり、サイバー攻撃からデジタル・ネットワークを保護するために協力することがよくあります。サイバーセキュリティーは事前対応と事後対応の両方があり、サイバー攻撃の予防と検知、サイバー攻撃への対応と修復に重点を置いています。
コンピューター・フォレンジックはほぼ完全に事後対応であり、サイバー攻撃や犯罪が発生した場合に即座に行動を開始します。しかし、コンピューター・フォレンジック調査は、サイバーセキュリティー・チームが将来のサイバー攻撃を防ぐために使用できる貴重な情報を提供することがよくあります。
コンピューター・フォレンジックとインシデント対応(進行中のサイバー攻撃の検知と軽減)が独立して実施されると、互いに干渉し合い、組織にとってマイナスの結果をもたらす可能性があります。
インシデント対応チームは、ネットワークから脅威を除去しながら、デジタル証拠を変更または破壊できます。フォレンジック捜査官は、証拠を探し出して確保している間に、脅威の解決が遅れる可能性があります。
デジタル・フォレンジックとインシデント対応(DFIR)は、コンピューター・フォレンジックとインシデント対応を統合したワークフローで、セキュリティー・チームがサイバー脅威を迅速に阻止するのを助けると同時に、脅威軽減の緊急性によって失われる可能性のあるデジタル証拠を保全することができます。DFIRでは、
フォレンジック・データの収集は、脅威の軽減と並行して行われます。インシデント対応担当者は、脅威を封じ込め、根絶する間、コンピューター・フォレンジック技術を使用してデータを収集・保存し、適切な管理の連鎖が守られ、貴重な証拠が変更されたり破壊されたりしないようにします。
インシデント後レビューには、デジタル証拠の調査が含まれます。DFIRチームは、法的手段に備えて証拠を保存するだけでなく、これを使用してサイバーセキュリティー・インシデントを最初から最後まで再構築し、何がどのように起こったのか、被害の程度、同様の攻撃をどのように回避できるのかを学びます。
DFIRは、より迅速な脅威の軽減、脅威からのより強固な回復、および刑事事件、サイバー犯罪、保険金請求などの調査のための証拠の強化につながります。
プロアクティブな脅威ハンティング、継続的な監視、脅威の詳細な調査は、すでに多忙な IT 部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃の影響が最小限に抑えられ、より迅速な復旧が可能になります。
最新のランサムウェアの攻撃を阻止し対処するために、IBMは、800TBの脅威アクティビティー・データ、1,700万件以上のスパムおよびフィッシング攻撃に関する情報、2億7千万のエンドポイントから得た約100万件の悪意あるIPアドレスのレピュテーション・データを活用して洞察を導き出しています。