フォレンジック調査の実際

フォレンジック調査の実際
∼事件発生から報告会まで∼
2010年11月16日
第7期IDF第3回「技術」分科会
株式会社ピーシーキッド
小西善二郎
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
1
はじめに
本日の話について
ピーシーキッドが経験した実際の調査案件を
基に、事件の発生から、問合せ、打ち合わせ、
保全作業、フォレンジック調査、報告書作成、
調査報告会開催までを御紹介致します。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
2
目次
1.
2.
3.
4.
5.
6.
7.
事件発生
調査依頼
調査方法の打ち合わせ
保全作業
ツール解析
報告書作成
調査報告会
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
3
1. 事件発生
被疑者はシステム管理責任者
・休日出勤中に個人所有のノートPCを社内で
使用。
・酒の席で犯行予告、「辞めるときに爆弾を仕
掛けてやる。」
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
4
1. 事件発生
元社員が競合の営業部長に
・お客様から連絡、「お宅の社員が別の会社の
名刺で営業に来ましたよ。」
・退職前の1カ月間、異常に残業時間が増えた。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
5
1. 事件発生
もしかしたら刑事事件？
・自殺と認定されてしまったが、納得できない。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
6
目次
1.
2.
3.
4.
5.
6.
7.
事件発生
調査依頼
調査方法の打ち合わせ
保全作業
ツール解析
報告書作成
調査報告会
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
7
2. 調査依頼
まずは社内で調査
・事件の発生後ほとんどの企業が必ずと言っ
ていいほど社内調査を行う。
・安易にデータ復旧ソフト等を利用して調査を
行ってしまい、ファイルのタイムスタンプ等が
滅茶苦茶に・・・。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
8
2. 調査依頼
データ復活サービスから来る調査
・自分たちで調査(レビュー)をする目的で、削
除ファイルの復活サービスを申し込まれる
ケースが多い。
・基本的に外部に調査を出したがらない。
・復活サービス依頼時に特徴的な話し方をさ
れるケースが多く、発覚。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
9
2. 調査依頼
価格が合わないケースも・・・
・フォレンジック自体がまだ一般的に普及して
いるとは言い難く、証拠の保全性について真
剣に考えている企業は正直少ない。
・真っ当にフォレンジック調査を行うと高額にな
りがち？
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
10
目次
1.
2.
3.
4.
5.
6.
7.
事件発生
調査依頼
調査方法の打ち合わせ
保全作業
ツール解析
報告書作成
調査報告会
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
11
3. 調査方法の打ち合わせ
場所の選定
・ほとんどのケースでは調査を秘密裏に行うの
で、お客様先での調査打ち合わせはNG.
・特殊なケースだが、お客様の会議室に盗聴
器が仕掛けられている可能性がある。
・弊社会議室に夜来ていただくことも多い。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
12
3. 調査方法の打ち合わせ
緊急時の打ち合わせ・・・
・特殊なケースでは緊急時にやむを得ず、お
客様の会社近くの喫茶店での打ち合わせや、
書類の受け渡し等を路上で行ったケースも。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
13
目次
1.
2.
3.
4.
5.
6.
7.
事件発生
調査依頼
調査方法の打ち合わせ
保全作業
ツール解析
報告書作成
調査報告会
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
14
4. 保全作業
ノートPCの分解
・意外と多いのが、ノートPCを社用PCとして利
用している会社。
・現場で保全作業を行える場合は現場で分解
を行う。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
15
4. 保全作業
暗号化ディスク
・大企業の多くはディスク全体を暗号化してい
る。
・暗号化の内容によるが、EnCaseやX‐Ways等、
フォレンジック・ツール等で対応。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
16
4. 保全作業
自宅PCの調査について・・・
・弁護士先生に聞いたところ、自宅に立ち入る
のは基本的にNG.
・たとえ入社時に契約していても、自宅PCの調
査は困難。
・犯人が分かっている場合、任意で提出させた
ケースが多い。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
17
目次
1.
2.
3.
4.
5.
6.
7.
事件発生
調査依頼
調査方法の打ち合わせ
保全作業
ツール解析
報告書作成
調査報告会
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
18
5. ツール解析
監視ソフトと一緒に
・フォレンジック・ツールはいろいろあるが、それ
らにこだわらず、使える情報は全て使う。
・クライアントPCに監視ソフトが導入されていた。
・ファイルが削除された日時は、ファイルシステ
ムに残らない場合が多いが、監視ソフトのロ
グと組み合わせると特定できることもある。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
19
5. ツール解析
サーバログも一緒に
・使える情報は全て使う。
・ Windowsサーバにログが残っていた。
・ファイルの最終アクセス日時は、開いた日時
かコピーした日時か分かりにくいが、サーバ
のログと組み合わせると確定できることもあ
る。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
20
5. ツール解析
Windowsの回復ポイントも狙い目
・被疑者(調査対象者)は不都合なメール等の
データを削除するが、回復ポイントに自動的
にデータがバックアップされるのは見落としが
ち。
・ファイル・スラックにデータが残っている場合
も。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
21
5. ツール解析
調査のヒントは論文にも
・ USBメモリの接続調査など、典型的なフォレン
ジック調査については、参考になるWebサイト
も多い。
例: Computer Forensic Guide To Profiling USB Device Thumbdrives on Win7, Vista, and XP
http://blogs.sans.org/computer‐forensics/2009/09/09/computer‐forensic‐guide‐to‐profiling‐
usb‐thumbdrives‐on‐win7‐vista‐and‐xp/
・海外の論文なども役に立つ。
例: Limewire examinations
http://www.dfrws.org/2008/proceedings/p96‐lewthwaite.pdf
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
22
目次
1.
2.
3.
4.
5.
6.
7.
事件発生
調査依頼
調査方法の打ち合わせ
保全作業
ツール解析
報告書作成
調査報告会
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
23
6. 報告書作成
余計な情報は控えめに
・米国の調査員の話、「弁護士には必要最低
限の情報しか与えない。」
・調査報告書に余計なことを書くと、反論の手
掛かりにされてしまう場合も。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
24
6. 報告書作成
相手は技術者ではない
・根拠は技術だが、報告は分かりやすく。
・難しいことをやったと書きたくなるが・・・。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
25
6. 報告書作成
タイムラインが有効
・日時に関わる内容をまとめるには、タイムライ
ンが有効。
・ HDDのフォーマットやOSのインストールから、
事件に関する証拠(記録)までを、1本のタイム
ラインで表す。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
26
目次
1.
2.
3.
4.
5.
6.
7.
事件発生
調査依頼
調査方法の打ち合わせ
保全作業
ツール解析
報告書作成
調査報告会
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
27
7. 調査報告会
報告は限られた人物に
・被疑者(調査対象者)と同じ部署の人物は調
査報告会に参加させない。
・報告会場は良く選定してから。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
28
7. 調査報告会
調査報告は分かりやすく
・当たり前だが難しい。
・専門的な話は出来るだけ控えめに。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
29
おわりに
結論
・フォレンジック調査には、ファイルシステム、
OS(Windows), フォレンジック・ツール等の知
識が必要。
・調査案件には色々なパターンがあり、使える
証拠も案件によりけり。
・フォレンジック調査の基本は守りながら、臨機
応変に対応すべき。
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
30
ご清聴ありがとうございました。
株式会社ピーシーキッド
〒135‐0064
東京都江東区青海二丁目4番32号
タイム24ビル10階
TEL:03‐3599‐3591 FAX:03‐3599‐3592
URL : http://www.pckids.co.jp
E‐mail : [email protected]
Copyright © 2010 PC KIDS CO., LTD. All rights reserved.
31

Download Report