ぜぜ日記

ブログです

デジタルフォレンジック

デジタルフォレンジックについて講演があったのでメモを晒す.
おもしろいよ.みんなフォレンジックやろうぜ!!

講義日時: 2009/06/23
講師氏名:上原哲太郎
講義題目:デジタル・フォレンジックとは何か?

講師氏名:Jigang Liu
講義題目:An Overview of Digital Forensics Research in the United States

■概要
フォレンジック(Forensics)とは法科学と訳され、司法における犯罪や不正の証拠として科学的知見をいかに生かすかという学問である。デジタル・フォレンジック(Digital Forensics)とは、この法科学の中でもコンピュータをはじめとするIT機器に残存する証拠(電磁的証跡と呼ぶ)から犯罪や不正の証拠をいかにして取り出し、生かしてゆくかという技術であると言える。情報通信技術が社会のインフラとして重要性を増すにつれ、その障害や不正アクセスなどのインシデントに際して、事件と事故の切り分けからインシデント原因の同定、犯罪や不正が疑われた場合の被疑者の同定といった作業が「法廷の場で証拠として耐えうるように」行われることが求められてきており、今後研究を進める必要性の高い分野であると言える。本講演では、デジタルフォレンジックの概要を解説すると共に、国内外の研究活動状況について述べる。
(HPより)


フォレンジックとは辞書には以下のようにある.
the application of scientific khowledge To legal problms; especially
: scientific analysis of physical evidence (as from a crime scene)"

法科学,法医学,法化学などと訳されることが多い.鑑識などに使用される技術の呼称でもあり,学会もある.

これをデジタルに拡大したのが,デジタルフォレンジックスという.
(アメリカではComputer Forensics.が主流.)


法医学では 殺人->凶器->指紋->犯人推定->法廷証拠
デジタルフォレンジックでは コンピュータ犯罪->コンピュータ分析->推定
という順序で進むことが多い.従来の鑑識の延長線ととられることもある.


技術が難解すぎて,裁判官に説明することが難しく,また偽造しやすい,証拠になるのか?という問題もある.


実例
不正アクセス禁止法違反を,サーバーのログなどを集め,証拠とする.

ライブドア事件
メールの一部が消された形跡があった.
復活した削除データ,サーバのコピーに証拠性はあるのか?

偽メール事件.偽造の難しさを世間に知らしめた.



司法の世界では,手続きに乗っ取ってコピーしたものは証拠として認められる.

ITの世界になって,行動記録はむしろ残りやすくなった.
メールがあたりまえになっており,データ容量も増大している.
特に企業内不正,組織不正では大きな威力をもっている.


また,科学捜査の開祖にしてシャーロック・ホームズのモデル,エドモンド・ロカールの交換原理ももとになっている.
これは「すべての接触には痕跡が残る」というものである.
人は知らず知らず痕跡を残してしまう.


最近では,写真のデータがExif形式で保存され,撮影日,更新情報,さらには
撮影したカメラの機種や所有者まで残ることもある.



デジタルフォレンジックの定義.
インシデントレスポンスや法的紛争,訴訟に対し電磁的記録の証拠保全および調査・分析を行うとともに,電磁的記録の改竄・既存などについての分析・情報収集などを行う一連の科学的調査手法・技術を言う.

インシデントレスポンス・・コンピュータやネットワークなどの資源および環境の不正使用,サービス妨害行為,データの破壊,意図しない情報の開示など,並びにそれらへ至るための行為などへの対応を言う.


電磁的記録は削除,ねつ造容易性.大量のデータからのマイニングで恣意的解釈が可能.
技術的に高度で法曹関係者に評価しにくい.(民事だと原告被告間のコンセンサスも必要)


必要なのは「信頼できる技術」と「正しい運用プロセスである」
また単なる技術だけでなく「法曹から受け入れ可能(Forensically sound)」である必要もある.

責任を追及するため,事故の原因を探ることに使われる.


システム管理者にとってのデジタルフォレンジック
認証基盤,記録の収集,補完.消去改ざん抑制.証拠の保存がある.
また,自ら無実を証明するためにも使われうる.(参考:プロバイダ責任制限法)



技術的には・・
HDDをフォーマットしてもファイル復元できうる.
デジタルカービング.特徴のあるデータを矛盾無くつなぎ合わせ,データを復元.
物理的に消すのも,解析することはできることもある.
(チャレンジャー事故のレコーダは復元された)
文書の分析/解析技術.マイニング技術.
画像音声映像.大量データの検索.
画像や音声から改ざんされた証拠を検出する.


ブッシュ大統領のCM.たくさん兵隊がでてくるが,静止してよくみる
と兵隊はコピペであることがわかる.

SOX法新会社法金融商品取引法.内部統制.
こういったものもITを使っており,管理としてだけでなく,証拠としても使われる.


米国では「Discovery」がキー.
これは,アメリカなどDiscoveryのある国では「相手がもつ証拠の開示」を請求できる.
ものである.この際に不利な証拠を隠したりすると推定されるような状況になると
たいへん不利になる.

日本では,民事裁判における証拠は被告原告とも自ら集める必要があり,
被告が自分に不利な証拠を隠しやすい



日本の学会は低調.
デジタル情報そのものに対する研究はほとんど無い,科学警察研究所がやっているのは
従来の手法であり,デジタルフォレンジックは情報通信部情報技術解析科がやってる.
アメリカでは学会に,軍や警察も出席し,発表することもある(!).
日本では技術関係のコンサル会社の人間,セキュリティ系のマネジメントの研究者が
ほとんどで大学のコンピュータサイエンス研究者は2名しかいない..(医者もいる)



主な研究
高度化,大容量化するRAIDへの対応.
フラッシュメモリ.SSD,携帯,ICカード,IT家電

File Carving
文書に対するマイニング技術.

大量データからの人の顔,音声の同定と抽出.
デジカメ画像からのカメラ機種推定,個体同定


電子メールや文書の分析.
筆者の推定,Authorship Attribution


ソフトウェア,ツールの同定
交通機関,工場内システムに残ったデジタル情報の取り扱いなど.
ブラックボックスの自動車,電車版

日米格差がある.米国では80を越える大学にコースがある.
FBIは全米に20くらいラボ持ってる.

法廷でどう扱われるか?
他の情報科学分野との連携を!

ソフトウェアのフォレンジックが今後の問題となるかもしれない.
ソフトウェアの改竄かウイルスという意図があるかどうか.

参考文献
・@police佐々木良一先生によるコラムhttp://www.cyberpolice.go.jp/column/explanation08.html

・COMPUTER & NETWORK LAN 2005年3月号「デジタルフォレンジック特集」

・日本セキュリティマネジメント学会誌「デジタル・フォレンジック特集」
第22巻3号 23巻1号 (2008年12月,09年3月)

・佐々木良一「ディジタルフォレンジックの最新動向」電子情報通信学会, vol.91,No.8(2008)

・上原哲太郎「ディジタルフォレンジック:電磁的証拠の収集と分析の技術」情報処理,vol.48, No.8(2007)

参考となる書籍
・デジタルフォレンジック事典 デジタルフォレンジック研究会編

次に招聘教授のJigang Liu先生の話.

興味深い二つの例.
アメリカの司法システム
You have to prove me wrong.
Cyber forensic
Information Forensics

File system analysis forensic
以下略.