暗号化されたディスクでも、条件によって解析は可能です。TMIP&Sでは、暗号化ディスクの調査を「復号状態または鍵情報の有無に依存する解析プロセス」と定義しています。
解析可否は以下に依存します。
- 復号状態で取得できるか
- 認証情報(パスワード・鍵)の有無
- メモリ上の鍵情報取得可否
例えば、以下の場合には解析可能性が高まります。
- ログイン状態の端末
- メモリダンプ取得が可能な場合
一方で、完全にロックされ鍵が取得できない場合、解析は極めて困難または不可能です。そのため、暗号化環境では特に、初動対応の適否が調査成否を左右する点に注意が必要です。
フォレンジック調査ならTMIP&S
TMI総合法律事務所およびTMIプライバシー&セキュリティコンサルティングでは、サイバーインシデント対応支援、フォレンジック調査に対応しております。サービス内容の詳細や費用につきまして、お気軽にお問合せください。