【コラム&動画】デジタル・フォレンジック、データ保全のやり方

記事一覧

デジタルフォレンジックに関する記事の一覧はこちらから

皆さん、こんにちは。TMIP&Sフォレンジックの篠原です。

今日は首席フォレンジック・エンジニアの安島健太さんに、フォレンジックのデータ保全や、フォレンジックで使用される機器についてインタビューしていきたいと思います。


TMIP&Sフォレンジックの安島です。本日はよろしくお願いします。


フォレンジック作業を具体的にどのように行うのか伺いたいと思います。

例えばパソコンや携帯などのデータ保全はどのように行うんですか?




デジタル・フォレンジックでは、どのようにデータを抜き出すのか?


まず、パソコンの場合、お客様のパソコンを預かり、そこに当社のハードディスクを接続します。


このハードディスクにはフォレンジックのソフトウェアが入っていて、そのソフトウェアを起動させて、お客様のデータをハードディスクに吸い上げていく、保全していくという手順を行います。


ハードディスクには、FTK imagerやEnCaseという海外製のソフトなどフォレンジックに必要なソフトウェアが大体2、3種類入っています。


それぞれのソフトウェアには、強みや弱みがありますので、お客様の端末環境に応じて使い分けをして、データをコピーします。



関連記事

【コラム】デジタル・フォレンジック作業の解説③「データ保全」
前回のコラムで「ヒアリング」について説明をしましたが、今回はその次に行う「データ保全」について解説したいと思います。ヒアリングによって特定したフォレンジック調査対象の機器に対して、適切なフォレンジックソフトウェアを使用してデータをコピー(保全)します。……続きを読む



フォレンジックコピーと普通のコピーの違い


皆さんも普段のお仕事で、例えばwordやexcelファイル、または画像ファイルなどをHDDにコピーした経験があるかと思いますが、フォレンジックのデータ保全における「コピー」は、これとは別物になります。


フォレンジックのデータ保全は、パソコンの中で見えているデータだけでなく、パソコンのHDD全領域を細切りにし、イメージファイルにしてハードディスクにコピーしていきます。






上の画像のようなかたちで、分割されたZIPファイルのように複数のイメージファイルが作成されます。

例えば1ファイルでも欠損すると元のデータを読み込むことはできなくなります。



スマートフォンのフォレンジック


ここまでパソコンのフォレンジックを中心にお話ししてきましたが、もちろんスマートフォンについてもデジタル・フォレンジックを行うことが可能です。


ただ、LINEのトーク履歴などは端末にデータが残っているわけではなく、LINE側のサーバに保存されているので、削除してしまうとデータの保全や復元は難しいです。


トーク履歴のバックアップデータを取得して、スマートフォン内に保存されているものがあれば、デジタル・フォレンジックで保全をすることが可能です。



クラウドサービスのデジタル・フォレンジック


最近は、BOXやGoogle Driveなどのクラウドストレージを使用している場合も多いかと思います。


このようなクラウドストレージについては、データがGoogleなど運営者側のサーバに保存されているため、使用者本人の同意を得て、アカウントを取得しないとデジタル・フォレンジックをしてもデータを保全することは難しいです。


ただ、PC上にはクラウドストレージにアクセスしたログは残っているため、例えば会社のデータを自身のクラウドにアップしたと推測される情報は取得できます。


その他、周辺の情報をもとに使用者本人と交渉をして、クラウドストレージのアカウント取得するケースもあります。


このあたりの交渉については、不正調査や営業秘密持ち出し事案の経験豊富な弁護士メンバーが多数在籍しているTMIP&Sフォレンジックの強みであると言えます。



関連記事

【コラム】退職者による営業秘密持ち出し
今回のコラムでは、退職者による営業秘密情報の持ち出しをユースケースとして、ヒアリング時に確認する事項、調査・解析を行い報告するまでのフォレンジック調査がどのように進められるかを説明します。複数のフォレンジック調査結果を組み合わせることで核となる証拠を見つけることができるケースもあります。……続きを読む



保全したデータから削除データの復元


保全したデータを使用して、削除データの復元作業に取り掛かります。

上記でご説明した通り、調査対象端末から当社のHDDにデータを保全してありますので、削除データの復元作業にはフォレンジック調査対象となっている端末そのものは必要ありません。

端末の使用者が削除したデータであっても復元できる場合もあり、復元されたデータが重要な証拠となるケースも多くあります。


デジタル・フォレンジックについて、何ができるのか?またどれくらいの規模でフォレンジック調査をするべきかなど、ご不明点・ご相談がありましたら、お気軽にお問い合わせいただければと思います。

関連記事

デジタルフォレンジックとは?手順や事例、費用についても解説

皆さんは「デジタル・フォレンジック」という言葉を聞いたことがありますでしょうか….続きを読む