サイバー犯罪捜査と デジタルフォレンジック

サイバー犯罪捜査と
デジタルフォレンジック
平成18年12月18日
デジタルフォレンジックコミュニティ2006
警察庁 情報技術犯罪対策課 理事官
1.
河原 淳平
サイバー空間の治安情勢
1
■ 犯罪者から見たサイバー空間
サイバー空間では、
サイバー空間では、
○
○
○
○
身分を明かさず、
犯罪の証拠を残すことなく、
国際的な規模で、
一瞬のうちに、
犯罪を行うことが可能。
その被害も広範囲に及ぶことが多い。
■ サイバー空間における脅威
1 サイバー空間の特性に根ざす脅威
z
z
z
z
z
2 高度化・多様化する犯罪の手口
詐欺(オークション、ワンクリック)
誹謗中傷
知的財産侵害
ねずみ講、チェーンメール
Winny等による情報流出
等
z
z
z
z
z
z
z
スピア攻撃
フィッシング
クロスサイトスクリプティング
ファーミング
スパイウェア
ボット
SQLインジェクション
等
3 違法・有害情報の氾濫
z
z
z
z
z
禁制品の密売
携帯電話飛ばし、銀行口座売買
わいせつ画像、児童ポルノ
犯罪行為等の助長サイト
自殺サイト
等
4 潜在的なサイバーテロの脅威
多様な問題の発生
社会・経済
活動上
重要な
インフラへ
利便性の向上
ネット利用の
浸透・普及
脆弱性の増大
財貨情報の流通
脅威の増大
広範な悪影響
2
■ サイバー犯罪の検挙状況
平成18年上半期のサイバー犯罪の検挙件数は1,802件、
前年同期比11.8%増加。半期の件数としては過去最大。
3500
8,529万人
我が国のインターネット利用人口
3,161
3000
2500
4,708万人
1,849
2000
2,081
1,606
1,612
1,802
1,339
1500
913
1000
不正アクセス禁止法違反
コンピュータ・電磁的記録対象犯罪
ネットワーク利用犯罪
500
0
H12
H13
H14
H15
H16
H17
H17上 H18上
■サイバー犯罪の検挙状況(罪名別)
サイバー犯罪の検挙状況(罪名別割合)
265件(前年同期比67件、33.8%
265件(前年同期比67件、33.8%
増)
増)
商標法違反 5.9%
その他
10.8%
著作権法違反 2.5%
不正アクセス
禁止法違反
14.7%
わいせつ物頒布等 4.8%
青少年保護育成
条例違反
3.9%
児童買春・児童ポルノ法
違反(児童ポルノ) 5.4%
コンピュータ・
電磁的記録
対象犯罪
1.9%
ネットワーク
利用犯罪 83.4%
詐欺
40.7%
児童買春・児童ポルノ法
違反(児童買春)
9.4%
平成18年度上半期のサイバー犯罪検挙件数: 1,802件
733件(前年同期
733件(前年同期
比61件、9.1%増)
比61件、9.1%増)
うち、86.6%が
うち、86.6%が
インターネット・
インターネット・
オークション関連
オークション関連
3
■ 不正アクセス行為の動機
「不正に金を得るため」が265件中230件(約87%)で最大
※ 平成18年上半期の不正アクセス
禁止法違反による検挙の内訳
不正に金を得るため 230件
230件
※ 不正アクセス助長行為 1件
料金の請求を免れるため 1件
顧客データの収集等情報を
不正に入手するため
1件
オンラインゲームで不正
操作を行うため
3件
嫌がらせや仕返しのため 10件
好奇心を満たすため
19件
■ 不正アクセス行為に係る犯行の手口
・スパイウェア等のプログラムを使用して識別符号を入手したもの ・・・・
・ファイル交換ソフトや暴露ウィルスで流出した識別符号等を利用したもの
・言葉巧みに利用権者から識別符号を聞き出した又はのぞき見たもの ・・・
・他人から識別符号を購入したもの ・・・・・・・・・・・・・・・・・・
・その他 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
識別符号を知り得る立場にあっ
た元従業員や知人等によるもの
35件(13.3%)
前年同期は12件
前年同期は12件
(約2.9倍に増加)
(約2.9倍に増加)
前年同期は1件
前年同期は1件
フィッシングサイトに
より入手したもの
102件(38.6%)
H18上半期
検挙件数
計264件
4件
3件
2件
2件
1件
利用権者のパスワード
の設定・管理の甘さにつ
け込んだもの
115件(43.6%)
前年同期は64件
前年同期は64件
(約1.8倍に増
(約1.8倍に増
加)
加)
※ 手口はすべて識別符号
窃用型であり、セキュリ
ティ・ホール攻撃型はな
かった
4
■ 企業・組織に関係する事件例①
元職員による不正アクセス・電子計算機使用詐欺
元会社員の男(44)は、退職前に知り得た識別符号を利用してインター
元会社員の男(44)は、退職前に知り得た識別符号を利用してインター
ネットバンキングに不正アクセスし、元の勤務先会社名義の口座から510万
ネットバンキングに不正アクセスし、元の勤務先会社名義の口座から510万
円を配偶者名義の口座へ送金操作を行って、財産上不法の利益を得た。
円を配偶者名義の口座へ送金操作を行って、財産上不法の利益を得た。
平成16年2月、この男を電子計算機使用詐欺罪で逮捕した(警視庁)。
平成16年2月、この男を電子計算機使用詐欺罪で逮捕した(警視庁)。
従業員による電子計算機使用詐欺
清掃管理員の男(53)は、農業協同組合において貸付業務に従事していた際、
清掃管理員の男(53)は、農業協同組合において貸付業務に従事していた際、
架空の貸付事実を作出し、その貸付金相当額をオンラインシステムの端末機
架空の貸付事実を作出し、その貸付金相当額をオンラインシステムの端末機
を操作して自己が不正に開設した普通預金口座に入金し、合計3,160万円相
を操作して自己が不正に開設した普通預金口座に入金し、合計3,160万円相
当の財産上不法の利益を得た。
当の財産上不法の利益を得た。
平成17年3月、この男を電子計算機使用詐欺罪で逮捕した(秋田)。
平成17年3月、この男を電子計算機使用詐欺罪で逮捕した(秋田)。
■ 企業・組織に関係する事件例②
元職員による電子計算機使用詐欺
元団体職員の男(28)は、在職中に、自分が勤務していた農業協同組合のオ
元団体職員の男(28)は、在職中に、自分が勤務していた農業協同組合のオ
ンラインシステムを不正に操作し、組合員の共催掛金総額約
ンラインシステムを不正に操作し、組合員の共催掛金総額約 513万円を自分
513万円を自分
や母親名義の貯金口座に振り込んで、財産上不法の利益を得た。
や母親名義の貯金口座に振り込んで、財産上不法の利益を得た。
平成18年5月、この男を電子計算機使用詐欺罪で逮捕した(新潟)。
平成18年5月、この男を電子計算機使用詐欺罪で逮捕した(新潟)。
従業員によるキーロガー使用の不正アクセス
会社員の男(26)は、オンラインゲーム上のアイテムを収集する目的で、勤
会社員の男(26)は、オンラインゲーム上のアイテムを収集する目的で、勤
務先のインターネットカフェのコンピュータにキーロガー
キーロガーを仕掛け、同店を
務先のインターネットカフェのコンピュータにキーロガーを仕掛け、同店を
利用した客の識別符号を入手し、同店のコンピュータから客になりすまして
利用した客の識別符号を入手し、同店のコンピュータから客になりすまして
オンラインゲーム会社のコンピュータに不正アクセスを行った。
オンラインゲーム会社のコンピュータに不正アクセスを行った。
平成18年5月、この男を不正アクセス禁止法違反で逮捕した(岡山)。
平成18年5月、この男を不正アクセス禁止法違反で逮捕した(岡山)。
5
2.サイバー犯罪の捜査
■ インターネットにおける発信者の追跡
掲示板サイト
△△掲示板○○スレ
・・・・
9 ネオウーロン茶 200X/11/XX 12:03
明日、XXXを殺しに行きます。
接続
記録
①証拠保全、
ログ差押え
管理者A
込
板書
示
掲
管理者B
踏み台サーバ
ISPが誰にどのIPアドレス
ISPが誰にどのIPアドレス
を割り当てたのかは、
を割り当てたのかは、
通信記録(ログ)に記録さ
通信記録(ログ)に記録さ
れる(保存期間は概ね3箇
れる(保存期間は概ね3箇
月程度)
月程度)
②ログ差押え
接続
記録
捜査機関
④特定
IPアドレス
AAA.BB.56.78
IPアドレス等を順にたどって
IPアドレス等を順にたどって
発信者の特定を図る(迅速な
発信者の特定を図る(迅速な
捜査の必要性)
捜査の必要性)
③発信者情報の差押え
管理者C
契約
記録
接続
記録
発信者Z
プロバイダ
(ISP)
ISP)
XX.YYY.123.4を割当
インタ
ーネッ
ト接
続
IPアドレス
XX.YYY.123.4
6
■事例:フィッシング利用広域詐欺事件①
無職の男は、レンタルサーバ上にフィッシングサイトを構築した
上でインターネットオークション会員約5,500人に対し、フィッシ
ングメールを送り付け、運営会社からのメールと誤信した会員が
同サイトに入力したID、パスワード約500個を不正に入手。
入手したID等を使用して利用権者になりすまし、本人確認のな
いネットカフェを使用してネットオークション上で詐欺を敢行。
利用権者
①
① フィッシングによる識
フィッシングによる識
別符号の不正入手
別符号の不正入手
インターネット
オークション
被疑者
③ 落札・詐欺
詐欺被害者
②出品
金券、商品券等
⑤ 落札商品抜き取り
送付指定場所(他人の住居)
④ 商品送付
■事例:フィッシング利用広域詐欺事件②
詐欺の手口は、実在する利用権者になりすまし、ネットオーク
ションで商品券、旅行券などを落札し、あらかじめ下見をしておい
た長期不在の他人の住居や集合住宅の郵便受に送達させて、
同所から抜き取るというもの。
出品者に対してはオークション会社を装って決済完了のメール
を送るなどして欺罔。
捜査班は金券等の出品に注目し、低額の商品券等の落札を
発見するごとにオークション会社に対し落札者の情報を照会。
警 察
ネットオークション運営会社
7
■事例:フィッシング利用広域詐欺事件③
落札したとされる正規の利用権者へ問い合わせた結果、落札
の事実がない場合は、出品者に対し商品の送付場所を照会。
犯人捕捉のため、指定された送付場所に捜査員を急派。
数回にわたる空振りの後、某集合住宅の集合郵便受けにおい
て、ネットカフェの防犯ビデオに映っていた人物と酷似する人着
の男を発見。住居侵入の現行犯で逮捕。
郵便受けから抜き出した商品を手にしていたことから追及したと
ころ犯行の自供に至った。
○アパート
「被疑者が他人の住居
の郵便受けから落札し
た商品を抜き取るときに
捕捉する。」という、捜査
方針の下、張り込みによ
る現場検挙
■ サイバー犯罪の捜査
1 サイバー空間上の捜査と現実空間での捜査とで構成
① サイバー空間上の捜査
・ データの収集及びその解析
・ 必要なデータが残されていることが前提
② 現実空間での捜査(アナログ捜査)
・ 張り込み、聞き込み等通常の捜査
・ 残されている証拠を頼りに被疑者を特定
2 徹底した匿名性を保持した計画的な犯行では、被疑
者の特定が困難
8
■ サイバー犯罪捜査の3要素
基礎捜査
被疑者特定のための捜査
被疑者特定後の捜査
○関係者からの事情聴取
~被害者、IDの利用権者、
プロバイダ、関係者等
○契約者情報の入手
※インターネットカフェの場合は犯罪
に使用された端末の利用者の特定
○取調べ
~被疑者、共犯者、
参考人の取調べ
○電磁的記録の差押え等
~IPアドレスに関する照会
ログ等の保全・差押え
○被疑者関連情報の収集
~銀行口座、
防犯カメラの画像等の分析
○裏付け捜査
~電磁的記録の解析、
再現実況見分等
○電磁的記録の解析
~可視化・可読化を含む
○被疑者の割り出し
~被疑者の行動確認等
犯罪の認知
証拠の収集
ログ等記録の解析
追跡可能性の確保
犯行に使用された
端末の特定
端末使用者の特定
匿名性の打破
被疑者
の検挙
電磁的記録の解析
手 法 ・ 手 続 き の 適 正 性 の 証 明
■ 追跡可能性
追跡可能性の確保
犯罪認知時には、通信ログ等の電磁的
記録を収集・分析し、残された犯人の足跡を辿り、犯行に使用された
端末を特定することが必要。
問題点
① 機器の仕様や運用者の設定により保存される記録の内容や保存期間に差異
があり、犯罪の立証に不可欠な情報が記録・保存されていない場合も少なくない。
② 大量の記録の中から真に必要な情報を抽出することが困難。
③ 記録の保全や収集の作業のため関係者の業務に支障を来す場合がある。
方向性
① 記録が一定期間保存される仕組みの導入
② 大量の記録の中から必要な情報を取り出す仕組み・技術の導入
③ 記録の保全・収集に当たって関係者の業務への影響を最小限に抑える仕組
み・技術の導入
9
■ 捜査の障壁となるもの
① インターネットカフェ
③ データ通信カード
② 無線LAN
④中継サーバ等
⑤フリーメール
■ 匿名性
匿名性の打破
犯罪者が犯行に利用した端末を特定した後に、
その端末をだれが使用していたのかを特定することが必要。
コンピュータ使用者の特定に当たっては、次のような障壁が存在。
問題点
①
②
③
④
⑤
プリペイド式データ通信カード~購入時の身分確認が不要なもの
インターネットカフェ~利用者の本人確認を行っていない店舗
無線LAN~使用者制限をかけていないもの
中継サーバ
フリーメール
方向性
① プリペイド式データ通信カード購入時の身分確認の確実な実施
② インターネットカフェにおける利用者の本人確認の実現
③ 無線LANのセキュリティ設定が自動的になされる仕組みの導入
10
■ 証拠の収集手続きや解析手法の適正性
適正性の証明
犯罪捜査のそれぞれの過程において、犯罪
行為や犯罪者の足跡といった犯罪者の行動を特定するために用いた証拠
の収集手続きや解析手法の適正性を示すことが必要。
問題点
① 国内外を問わず法執行機関で共通の標準がない。
② 先端技術に対応できる人材や装備資機材が万全とはいえない。
① 法執行機関共通の解析マニュアルの作成
方向性
② 外国機関との連携・情報共有
③ 民間企業等との技術協力
④ 人材育成、装備資機材の拡充
3.サイバー犯罪捜査と
デジタルフォレンジック
11
■ サイバー犯罪捜査における課題
1 データの保存・収集に係るもの
・ 記録が一定期間保存される仕組みの導入
・ 大量の記録中から必要な情報を取り出す仕組み・技術の導入
・ 記録の保全・収集に当たって関係者の業務への影響を最小限に
抑える仕組み・技術の導入
2 利用者の本人確認に係るもの
・ インターネットカフェやインターネット接続環境のある公共施設等
における利用者確認の実現
3 証拠の収集・解析手法の適正性の証明に係るもの
・ 法執行機関共通の解析マニュアルの作成
・ 外国機関・民間企業等との協力連携
・ 人材育成、装備資機材の拡充
■ サイバー犯罪条約
サイバー犯罪から社会を保護し、サイバー犯罪の深化・まん延に効果的かつ迅速に対処する国際協
力を行い、共通の刑事政策を採択することを目的としたもの。
1997年 4月
条約交渉開始
2001年11月
ハンガリー・ブダペストにて署名式開催(我が国は他のG7諸国とともに署名)
2006年4月現在 署名国42カ国(うち締約国13カ国:アルバニア、クロアチア、エストニア、
ハンガリー、リトアニア、ルーマニア、スロヴェニア、マケドニア旧ユーゴスラビア、
キプロス、ブルガリア、デンマーク、フランス、ウクライナ)
国境を越えたサイバー犯罪の防止・抑圧のための国際的枠組み
刑事実体法(犯罪化)
違法なアクセス・傍受、コンピュータ・システムの妨害、ウィルスの製造等の犯罪化
刑事手続法(捜査手段の整備等)
コンピュータ・・データの保全、提出命令、捜索、押収等の手続き
国際協力
捜査共助、犯罪人引渡し等
12
■サイバー犯罪条約による刑事手続法の整備①
現行法上,差押えの
対象は有体物のみ
コンピュータ自体の差押え
業務に著しい支障を生じさせることがある。
無関係なデータも記録されている。
差押えの執行方法の整備
差押許可状
・・・・・・・・・・・・・
・・・・・・・・・・・・・
・・・・・・・・・・
記録命令付き
差押許可状
コンピュータの差押えに代えて,データをCD-R等
に複写・移転・印刷し,CD
CD--R等を差し押さえること
等を差し押さえる
を可能とする
記録命令付き差押えの制度
・・・・・・・・・・・・・・
・・・・・・・・・・・・・・
・・・・・
CD-R等への記録を命令 必要なデータを記録 捜査機関によるCD-R等の差押え
■サイバー犯罪条約による刑事手続法の整備②
コンピュータの複雑性
コンピュータの差押え・検証
捜査機関による自力執行は困難なことがある
システムの保護にも配慮する必要
協力要請の明確化
被処分者に必要な協力を要請
必要な協力を要請できるものとする。
通信ログ
Mon Apr 15 12:15:30 12.34.56.78 /abc/def/ftp1/ghi/index.htm i xy0123
犯人の特定などのためには通信ログの確保が重要
一般的に短期間で消去される
保全要請の制度
ネットワーク犯罪
プロバイダ等に対し,業務上記録している通信履歴
業務上記録している通信履歴の電磁的記録(通
信ログ)を消去しないように要請
消去しないように要請できるものとする
13
■ 証拠の収集手続きや解析手法の標準化
・ 電子機器の社会生活へのさらなる普及
・ 司法制度改革
~被疑者国選弁護人制度、裁判員制度の導入
・ サイバー犯罪条約の締結
~捜査共助要請の増加
電磁的記録を解析した結果
はこのようになりました。
ENCASE
解析結果
その電磁的記録が改ざん
されていないことを証明
して下さい。
裁判官
■ サイバー犯罪等への対応
1985
1990
1995
2000
2005
(H9改正)
(H11改訂)
情報システム安全対策指針(S61)
刑法改正(コンピュータ犯罪関係)
(S62)
コンピュータ・ウィルス等不正プログラム対策指針(H1)
G8 リヨンG
High-Tech Crime SG (1997~)
欧州評議会
サイバー犯罪条約署名(2001)
不正アクセス行為の禁止等に関する法律(H11)
警察庁情報セキュリティ政策大系(H12)
(H16改訂)
警察庁情報セキュリティ重点施策プログラム2005(H17)
治安回復に向けた7つの重点(H1
8)
14
■ 治安再生に向けた7つの重点
1 安全・安心なまちづくり
2 重要犯罪等に対する捜査の強化
3 組織犯罪対策・来日外国人犯罪対策
4 テロ対策と諜報事案対策
5 サイバー空間の安全確保
6 政府目標達成に向けた重点的な交通安全対策
7 治安基盤の強化
■ デジタルフォレンジックの確立に向けて
治安再生に向けた7つの重点(平成18年8
月)
5 サイバー空間の安全確保
○ 効率的かつ効果的な捜査等の推進
電磁的記録の解析に係る知見の集約・体系化、外国
関係機関、民間企業等との技術協力の実施等により、デ
ジタルフォレンジック(犯罪の立証のための電磁的記録
の解析技術及びその手続き)の確立に向けた取組みを
推進する。
知見の集約・体系化
外国関係機関・民間
企業等との技術協力
体制・装備資機材
の拡充・強化
15
■ まとめ
„ デジタルデータだけでは確実なことはわからないた
め、現実空間での捜査が不可欠。
„ それでも、サイバー空間上の捜査は極めて重要。
„ サイバー空間上の捜査の根幹をなすデータの収
集・解析について次のような取組みが必要。
・ データの保存・収集に当たって業務への影響等の
障壁を解消できる仕組み・技術の開発
・ データの収集・解析方法に係る標準作り
デジタルフォレンジックに係る産・学・官の連携をさらに推進
http://www.npa.go.jp/cyber/
16