はじめに
本記事はデジタルフォレンジックの調査方法ついて記載しています。
デジタルフォレンジックは事実を立証することを目的とし、コンピュータ犯罪を調査するための科学捜査の分野です。
2000年代以降、コンピューターやスマートフォンなどのデジタルシステムの使用と普及に伴い、様々な機関でガイドラインが公開されました。
いつの時代もテクノロジーの進化に法整備が追いつかないことが課題になっています。
デジタルフォレンジック
デジタルフォレンジックは公共部門や民間調査の目的で使用されます。
- 公共部門の調査は、政府および法執行機関によって実施される調査を指します。それらは、犯罪または民事捜査の一部になります。
- 民間調査は、企業が社内調査員、外部委託調査員を派遣して行う調査のことです。それらは、企業ポリシー違反によって引き起こされます。
デジタルフォレンジックは大きく以下のようなプロセスで成り立っています。
- ヒアリング(情報収集)
- 収集(証拠保全)
- フォレンジック調査(解析及び分析)
- 報告
調査方法
デジタルフォレンジックの観点から、情報資産を解析するための方法について学びましょう。
結論(=事実)を導くためには根拠となる前提を作る必要があります。
前提を確立するためには、証拠保全のプロセスを保護することが重要です。
以下では証拠保全やフォレンジック調査に関連するツールについて記載しています。
ドキュメントのメタデータ
テキストファイルを作成すると、ファイルの作成日や最終変更日などの一部のメタデータがOSによって保存されます。Office製品などのソフトウェアを使用すると、多くの情報がファイルのメタデータ内に保持されます。
pdfinfoはPDFファイルのメタデータを読み取ることができます。
Debian系の場合は以下のコマンドを実行して、インストールします。
$ sudo apt install poppler-utils
pdfinfoはタイトル、件名、作成者、作成日など、PDFファイルに関連するさまざまなメタデータを表示します。
$ pdfinfo <pdfファイル名>
Title:
Author:
Creator: Excel 用 Acrobat PDFMaker 22
Producer: Adobe PDF Library 22.1.201
CreationDate: Thu Aug 11 00:35:23 2022 JST
ModDate: Thu Aug 11 00:35:28 2022 JST
Custom Metadata: no
Metadata Stream: yes
Tagged: yes
UserProperties: no
Suspects: no
Form: none
JavaScript: no
Pages: 1
Encrypted: no
Page size: 1951.67 x 1380.19 pts
Page rot: 0
File size: 131602 bytes
Optimized: yes
PDF version: 1.6
写真の EXIF データ
Exchangeable image file format(以下、Exif)は、メタデータを画像ファイルに保存するためのフォーマットです。スマートフォンやデジタルカメラで写真を撮ると、多くの情報が画像に記録されます。
Exifによって記録されるGPSのメタデータはプライバシーに関わるため、注意する必要があります。スマートフォンのカメラアプリでGPSの位置情報を有効にしている場合、カメラで撮影した写真は位置情報が記録されます。
位置情報が記録された写真をSNSにアップロードすると、不特定多数の第三者に対して自宅などの位置情報を知らせることになるため、悪用される場合は危険です。Webサービスによっていは位置情報を自動で削除しているサイトもありますが、位置情報を記録しない設定にした方が安全です。
ExifToolは画像、音声、動画、およびPDFメタデータの読み取り、書き込み、および操作を行うための無料のオープンソースソフトウェアプログラムです。
Exiftoolを使用することで、Google マップを使用してGPS Positionの値から位置情報が分かります。
GPS Position(位置)はGPS Latitude(緯度)、GPS Longitude(傾度)を合わせた座標です。
ディスク解析
Autopsyはオープンソースのデジタルフォレンジックツールです。
Windows、Linuxなど様々なプラットフォームで動作し、HDD、SSDのディスク解析を行なうことができます。
Download Autopsyからダウンロードできます。
メモリフォレンジック
VolatilityはVolatility labsによって開発および保守されている無料のメモリフォレンジックツールです。
volatilityのリポジトリから取得できます。
Debian系の場合は以下のコマンドを実行して、インストールします。
$ sudo apt-get install volatility
おわりに
仕事では、言った言わないなどふわっとした要件を基にシステム開発を行うのではなく、議事録など決定事項を基に物事を進めていくことで自分の身を守ることに繋がります。
根拠となる前提を作ることが物事の本質です。