Contents
はじめに
近年、ご依頼が増加傾向にあるのが下記のようなデジタルフォレンジック案件です。
・社内で発生した不正やインシデントの調査
・裁判に必要な証拠資料
・犯罪や事件に関する捜査の一環
パソコンなどのデジタル機器が普及した昨今、こうしたトラブルとデジタルフォレンジック技術は切っても切り離せないものとなりました。
専門的知識と専用機器が必須となるデジタルフォレンジックでは、残念ながら個人レベルでできることはほぼありません。
できることは、以前の記事(http://www.melsic.com/blog/datarecovery/20191225/401/)でご紹介した通り、「極力状況が悪化しないよう、状況の保全に努める」ことです。
では、肝心の「実際にデジタルフォレンジックを依頼するにはどうすればいい?
どういった流れで進む?」について今回はご紹介したいと思います。
デジタルフォレンジックの基本的な流れ
1.現状の把握
まずは現状把握が重要となります。
発生したインシデント内容によって異なりますが、何が起きたのかを正確に知ることが重要です。
正確な情報を把握しておくことで、今後の流れがスムーズに進みます。
インシデントの例を下記に示します。
(例)退職者が使用していたPCからデータが消えていたことが発覚した場合
・消えたデータはどんなデータ? excelなどのOffice系なのかメールなのか
・何時までデータは存在していたのか
・退職者はどのような役職であったのか
一例をあげましたが、把握が必要な情報は多岐にわたります。
退職者を例にしましたが、在職者が行った場合は証拠隠滅される危険性があります。 発覚した直後がもっとも情報を正確に知ることができますので、
現状の把握は早急に行いましょう。
2.お問い合わせ
まずはデジタルフォレンジックを行っている会社に問い合わせします。
各社、メールや電話などが主なお問い合わせ方法となります。
トラブル関連でセンシティブな内容のケースが多いため、なかなか勇気がいるかもしれません。
弁護士や調査会社に相談中であれば、問い合わせを代行してもらえるか相談してみましょう。
そうでない場合は、問い合わせをしようとしている会社が信頼できる会社か?を調べてみましょう。
・情報保護に関する規格、例えばISO27001(国際標準規格)やプライバシーマークを取得しているか?
・秘密保持契約書(NDA)の締結は可能か?
などが判断基準となります。
ただし、弁護士や調査会社なら過去にも依頼したことがあり、信頼できる会社をご存知のケースがありますので、相談されると良いでしょう。
3.ヒアリング
信頼できる会社が見つかり依頼をします。
その後、技術者とヒアリングを行うことになるでしょう。
実際に機材を持ち込むケースもあれば、技術者に出張してもらうケースもございます。
どちらにしても「1.現状の把握」で知り得た正確な情報を元にヒアリングを行います。
このヒアリングで重要になることは以下となります。
・調査対象機器の状態及び確認
・調査内容について
依頼する調査内容を詳細に伝える必要があります。
データを消された証拠が欲しい場合でも、どのようなデータを消されたのか
消される前にはどこに保存されていたのかなど、事細かな情報が必要となります。
ヒアリング時に正確な情報をお伝えすることが調査結果に大きく影響を及ぼします。どうしても社外には出したくない情報も当然あるでしょう。
それでも調査に必要になる情報は伝えることが重要です。
事前に信頼できる会社を選定し、 秘密保持契約書(NDA)の締結 を行っていれば心配する必要はありません。
4.保全作業
調査・解析の前に、調査対象機器の保全作業を行います。
各社、手法は違いますが、イメージデータの作成やクローンの作成を行い、オリジナル機器への影響や、破壊を最小限に抑えます。
ただし、機器によっては保全作業が行えないケースもあり、その点は「3.ヒアリング」の際にご案内します。
比較的に新しいノートPC・Surface・Macbookなどに保全作業が行えないケースがございます。
他にも工業用機器など特殊機器も保全作業が行えないことがありますので、調査対象機器について正確にお伝えいただくことが重要となります。
機材についてよくわからない場合は、ヒアリング時に技術者に見えもらいましょう。直接確認してもらえば安心できます。
5.調査・解析
実際に専門スタッフがデジタルフォレンジック調査および解析をスタートします。
・消されたメール(Outlook、Thunderbird、LiveMail)
・消されたデータ(excel、word、PDFなど各種データ)
・インターネットの閲覧履歴(Internet Explorer 、Google chrome、Firefoxなど)
・USBメモリの接続記録
・PCのイベントログ抽出(起動していた日時)
・パスワード解析(PCログインパスワード、各種データ)
などの解析が可能です。
6.報告
デジタルフォレンジック調査結果や報告書を提出してもらいます。
依頼する会社によって報告書の内容は異なるかと思いますが、主に以下のことが報告書に記載されます。
・調査対象機器情報
型番、シリアル、容量、ハッシュ値など
・調査に使用した機材やソフトウェア名
保全作業に使用した機材、調査・解析に使用した機材・ソフトウェア名
・調査内容
消されたメール (Outlook、Thunderbird、LiveMailなど)、
消されたデータ (excel、word、PDFなど各種データ) の復元結果、復元ファイル数
インターネット閲覧履歴数 閲覧日時
PCの起動日時の一覧
USB接続履歴 接続日時
・調査結果
調査内容をまとめ、退職者の不正調査、インシデント、データ消去などの
依頼内容に対する調査結果のご報告
もちろん、報告書は証拠能力として認められます。
まとめ
いかがでしたか?
お気づきになったかもしれませんが、デジタルフォレンジックの基本的な流れの中で重要なのは
「1.現状の把握」と「3.ヒアリング」です。
もちろん技術力は最重要ですが、それと同等に、適切な業者に、適切な相談ができるか?がポイントとなります。
弊社は過去多数のデジタルフォレンジックの実績があります。
・ISO27001とプライバシーマークを取得
・秘密保持契約書(NDA)の締結が可能
・直営オフィスにご来店可能(ご相談いただければ機器の引き取りも可能です)
・専用機器を用意し、最高のデジタルフォレンジック技術を用意
お困りの際はいつでもご相談ください。
選ぶなら安心と信頼の技術
一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。
メルジックは
特急データ復旧ウィンゲットが運営しています
データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
特急データ復旧ウィンゲット公式サイトはコチラ
オフィスは主要都市に6拠点
全国に受付窓口が185箇所あり
弊社は北海道(札幌)、東京都(秋葉原)、神奈川県(横浜)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に6店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。
店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。
店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。
札幌市中央区南1条西10-4-167
小六第一ビル 6F
直通TEL:011-272-0600
東京都千代田区神田須田町2-7-3
VORT秋葉原ビル5F
直通TEL:03-6206-0970
横浜市中区扇町1-1-25
キンガビル4F
直通TEL:050-2018-0428
名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561
大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423
福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705
全国の受付窓口