削除されたファイルが復元できるといったが、当然、削除してから時間がたてばたつほど難しくなる。ファイルが入っていたブロックが、別のファイルで上書きされるからだ。すると、“虫食い状態”でしか復元できない。

図2●一部しか残っていないファイルを復元(Forensic Toolkitの画面例)[画像のクリックで拡大表示]
図2●一部しか残っていないファイルを復元(Forensic Toolkitの画面例)

 ファイル・システムの管理情報そのものが上書きされるケースもある。その場合には、ディスクを先頭から読んでいき、ファイルのヘッダー情報を探して、復元する。このケースでは、ファイル領域の終端がどこかは分からなかったり、どのようにファイルが断片化しているかが分からなかったりするため、図2のような状態になることが多い。

 この方法でハードディスクをしらみつぶしに調べると、仮想メモリーのページングに使われた部分のクラスタや、ファイル・スラックと呼ばれる領域に残るデータも復元できる。ファイル・スラックとは、ディスクに書き込むデータがクラスタよりも小さいときに、ファイルの終端とクラスタの終端の間にできる空白領域のこと。この場合、クラスタに新しいファイルが上書きされても、ファイル・スラックには古いデータが残っている。

 ファイルのヘッダー情報が入っているクラスタが上書きされると形式が分からなくなるため、より復元が難しくなる。この場合は1ビットずつ解読し、どの形式かを類推して、復元する。

 こうした一連の復元作業を支援するのが、コンピュータ・フォレンジック専用の解析ソフトである。解析ソフトには、米アクセス・データの「Forensic Toolkit(FTK)」や米ガイダンス・ソフトウエアの「Encase」などがある。これらのソフトは、犯罪捜査で使われているツールであり、「市販の復元ツールとは、精度や復旧率が大きく違う」(デジタル・フォレンジック研究会の萩原栄幸理事)という。また、「実績から、調査結果が法的証拠として採用されやすい」(ラック 研究開発本部 コンピュータセキュリティ研究所の岩井博樹所長)。

 前述したように、今やコンピュータ・フォレンジックに取り組むのは、警察だけではない。米国では多くの企業が、内部不正に対する抑止を目的に専用ソフトを購入し、専任組織による調査で利用しているし、日本でも一部で利用が始まっている。自社でツールを使わずとも、ネットエージェントやUBIC、ラックなどが提供しているサービスを使うという手もある。

初動手順を知っているだけでも有効

 以上の説明で分かるように、コンピュータ・フォレンジックでハードディスクの中身をできるだけ復元するためには、残っている“痕跡”を消さないことが大切だ。

図3●ハードディスクの情報を変えずに、内容を残すための初動手順(クライアントPCの電源がオンになっている場合)[画像のクリックで拡大表示]
図3●ハードディスクの情報を変えずに、内容を残すための初動手順(クライアントPCの電源がオンになっている場合)

 実は、管理者のちょっとした行動が痕跡を消してしまう。「社内外からの不正アクセスを受けたときに管理者があわててサーバーやクライアントPCを調べ、パッチを適用したり、あらゆるファイルにアクセスしたりしたために、タイムスタンプが変わり、解析の精度が下がるケースが多い」(ネットエージェントの伊原秀明取締役)。

 「コンピュータ・フォレンジックの手法でどこまで解析できるかは、初動次第で変わってくる」(ラックの岩井所長)。そこでラックでは、図3のような手順を推奨している。初動を誤ると、痕跡が消えてしまい、調査に支障を来す。こうしたことを防ぎ、操作ログ以上の抑止力を発揮するためにも、コンピュータ・フォレンジックのための初動手順を知っていることが重要だ。

捜査や裁判で重要度増すデジタル・データ

 日本の捜査機関がデジタル・データを本格的に利用するようになったのは、1995年のこと。地下鉄サリン事件などオウム真理教の信者が犯した一連の犯罪の捜査で、フロッピーディスクやハードディスクを解析したのが始まりだ。当時、警察庁の情報管理課に在籍した未来工学研究所の舟橋信参与は、「専用のツールもなく、すべてが手探りの状態だった」と振り返る。

 同氏によると、サイバー犯罪に限らず、今では犯罪捜査でコンピュータ・フォレンジックは欠かせないという。日常生活にパソコンや携帯電話が広く普及し、何らかの形でデジタル・データが証拠として残っているケースが多いからだ。すでに各都道府県警レベルでデジタル・データを鑑識できる体制を整えている。鑑識の結果は、指紋などと同様に「鑑定書」の形でまとめ、その後の捜査や裁判で利用している。

 警察庁がコンピュータ・フォレンジックの重要性を啓蒙し始めた理由の一つは、証拠を散逸させたくないという思いからである。「警察は、証拠がないと捜査に乗り出せない。限られた人員、時間の中で犯行を明らかにするために、企業自身が証拠を押さえてほしいと考えている」(舟橋氏)。

手順を決めて民事でも証拠に

 さらに、「民事訴訟でもコンピュータ・フォレンジックが使われるケースが増えてきた」(コンピュータ・フォレンジックに詳しい高橋郁夫弁護士)。専用のソフトの操作手順まで含めて、決められたプロセスで証拠を提出することで、その正当性が認められやすい。

 コンピュータ・フォレンジックの知識がないと、米国の知的財産権がらみの民事訴訟では不利に働くケースもあるという。米国の民事訴訟では“e-Discovery”という開示請求の手続きが一般化している。相手側のコンピュータに保存されているデータを開示するように求めるものだ。対象とするコンピュータはどれか、どんな環境で、どのソフトを使って、どのような手順で解析するのか、開示の形式や項目などを当事者間で取り決める。「日本企業は何も知らないだろうと考え、とりあえずすべてを提出しろ、と要求する米国企業が少なくない。また、コンピュータ・フォレンジックの専用ソフトを利用しないというだけで、改ざんしたと主張してくる場合もある」(UBICの守本社長)。コンピュータ・フォレンジックの知識があれば、訴訟案件に関係しない機密情報まで開示してしまうリスクを取り除くことが可能だ。