特定非営利活動法人デジタル・フォレンジック研究会は2013年8月23日、都内で10周年記念シンポジウムを開催した。フォレンジックとは「鑑識、法医学、科学捜査」などという意味で、デジタルフォレンジックとは犯罪捜査や法的紛争に役立てるために、IT技術などを活用してデジタルデータを収集・分析することを指す。

 パソコンやサーバーはもちろん、ルーターなどのネットワーク機器、スマートフォンや携帯電話、一部の家電なども対象となる。シンポジウムでは複数の講師が登壇し、フォレンジックの観点から企業などへの脅威やセキュリティ対策について解説した。

「内部から外部へ出て行く通信ログも取得すべき」:佐々木教授

 東京電機大学教授で、デジタル・フォレンジック研究会会長の佐々木良一氏は、研究会の10年の歴史を振り返った上で、最近脅威を増し続けている標的型攻撃について解説した(写真1)。

写真1●研究会の10年の歴史を振り返る東京電機大学教授で、デジタル・フォレンジック研究会会長の佐々木良一氏
写真1●研究会の10年の歴史を振り返る東京電機大学教授で、デジタル・フォレンジック研究会会長の佐々木良一氏
[画像のクリックで拡大表示]

 標的型攻撃では、システムの脆弱性を突いてウイルス入りのメールを送り込み、添付ファイルをクリックさせることなどで、内部のデータを盗み出す。佐々木氏は「対策としては、ログ・証跡管理、つまりデジタル・フォレンジックを充実させて、被害実態の早期把握に努め、組織内CERT(Computer Emergency Response Team)を設置してできるだけ早く対応することなどが挙げられる」と指摘した。また、一人ひとりが標的型メールを開く確率を低くしても、全体数が大きいと効果がないことを示し、ネットワークの細かいセグメント化が有効だと訴えた。

 また、標的型攻撃に対処するには、ログの管理が必須と指摘。ログの1年以上の保存に加えて、外部から内部への許可された通信のログだけでなく、内部から外部への許可・不許可両方の通信ログを取得すべきと訴えた。「特に内部から外部へ出て行く通信のログは、ほとんどの企業が取得していない。早急に実施すべき」(佐々木氏)。

「捜査とデジタルは切っても切り離せない」:警察庁川邉氏

 警察庁情報通信局情報技術解析課の川邉俊一氏は、「警察におけるデジタル・フォレンジックの課題と展望」と題して講演した(写真2)。「警察の内部でも、今や紙は少数派で電子データの書類が主流となっている。以前は、『ワープロ文書は魂が抜ける』という意見が通ってしまう時代もあった」と述懐。続けて「消された監視ビデオの映像データを"再現"するなどは“通常業務”で、今や警察の捜査活動とデジタルフォレンジックとは密接な関係がある」と説明した。

 デジタルやITなどの技術への対処の必要性は、警察側でもますます高まっているとし、「企業はソフトウエア解析が多いようだが、警察は現在のところハードウエア解析が多い」(川邉氏)と説明。具体的な業務として、被疑者の隠蔽への対処(消去データの復元、壊れた電子機器からのデータ取り出し)、ハードウエアやメモリーチップの解析(スマートフォン、カーナビに残された痕跡の調査など)を挙げた。

写真2●警察庁情報通信局情報技術解析課の川邉俊一氏
写真2●警察庁情報通信局情報技術解析課の川邉俊一氏
[画像のクリックで拡大表示]

 また、最大の技術的な課題として、データの大容量化、すなわちビッグデータ化を挙げた。「データが大きくなればなるほど、フォレンジックにますますコストと手間がかかる。非常に大きな問題で、サイバー空間における“交番”のようなものが必要。国家が事業として行うべきではないかと考えている」と持論を述べた。

 また、ログへアクセスする権利について、電話の通話履歴を得るケース同様に、早急にルールを決める必要があると主張。ただし「ログはきわめて多い情報の中から、捜査に役立つ部分を取り出さなければいけない。通話履歴よりはるかに対処が困難になる」とし、そうした状況を考慮に入れたルール設定が必要とした。

 このほか、海外製品の普及、不正プログラムの国際的流通、国境を越えた犯罪インフラの形成などで、年々捜査に必要な知識が高度化していると解説。「デジタルやITに詳しい技術者ときちんとコミュニケーションを取って、デジタルフォレンジックに活用できる捜査員の育成が必要。個人的には、小学校レベルから関連する教育を施していくべきだと思う」と述べて、講演を終えた。