ホーム > ニッポンを守る技術 > 実戦で養われたデジタルフォレンジック技術
 

実戦で養われたデジタルフォレンジック技術

フォレンジックとは?

デジタルフォレンジックとは、不正アクセスや機密情報漏洩などのサイバー犯罪や、サイバーテロが発生した際に、犯罪経路や目的や犯人、盗まれたものや法的証拠などを明らかにする技術です。「デジタル鑑識」とも言われます。
こちらもペンテスト同様に、一言でデジタルフォレンジックといっても、その技術はピンからキリまであります。イーライトが提供できるデジタルフォレンジックサービスは、国家単位の攻撃・テロ・情報戦争を捜査していた実戦経験で培われた、デジタルフォレンジック技術です。
各 サイバー犯罪で使われた手法の分析経験や、公安機関への捜査協力経験を活かし、ニッポンの企業や国家に対して行われたサイバー攻撃を調査することができます。一般的に、ペンテストは、サイバー攻撃をされる前に保護や予防の意味で行うのに対し、フォレンジックは、サイバー攻撃を受けた後に、

  • その犯罪がどのような脆弱性を通って行われたか(手法解析)
  • どこの誰が何の目的で行ったか(犯人特定動機特定)
  • どこまでの被害を受けているか(実態調査)

などを行うため、調査(捜査)という意味合いを強く持ちます。そして、APT攻撃などに多い、二次被害、三次被害を食い止めるためにも行いますので、悪の連鎖を最小限で断ち切る意味合いも持ちます。

なぜフォレンジックが必要か?

ネット社会、匿名社会において、いじめ・ポルノ(わいせつ)・誹謗中傷・詐欺行為~情報の窃盗・改ざん・戦力の誇示まで、いろいろな種類や目的の犯罪があり、その大半は、摘発されていない現状にあります。犯人は、『サイバー犯罪は捕まらない』と思っています。まさに、そこが問題だと考えています。
 
警察官の増員により、リアル犯罪の検挙率は大幅に上がりました。サイバー犯罪においても、ハイレベルな捜査技術を有するサイバーポリスが、日々ネット内を巡回し、犯罪の臭いがする何かを見つけた場合には、法の範囲内でトラップを仕掛け、犯人を追いつめていくような状況を作り上げていく必要があるのではないかと感じています。
 
サイバー犯罪に限らず、空き巣でも交通違反でも、捕まることがなければ、犯罪者は、犯行を繰り返し、エスカレートしていくのではないでしょうか。だとすれば、まずは、罪を犯すと捕まる!という部分を、サイバーポリスの増員をもって、世間に印象付けることが大切なように思います。
 
少しそれますが、以前、都内はいたるところ、違法駐車だらけでした。ところが今はどうでしょうか?駐車監視員を一気に増やし、徹底して取り締まった結果、どうなったでしょうか?ネット社会での軽犯罪にも、そのような、徹底した取り締まりが必要になる日は近いと思いますし、その効果は高いはずです。
 
イーライトは、ネット社会での軽犯罪において、攻撃者の目線からサイバーポリスに技術協力することができます。世界レベルのフォレンジック捜査技術を提供したり、人材育成することもできます。
 
また、ネット社会での軽犯罪とは別に、重要インフラ(水道・電気・原発など)や、銀行、国家などが狙われるサイバー犯罪(テロや戦争)があることも事実です。通常、これらの機関を狙った攻撃は、犯罪組織か国家が行います。しっかりとしたセキュリティーシステムが導入されているにも関わらず、あの手この手で弱点を探しだし、そこから侵入してきます。このような高度で執拗で大がかりなサイバー犯罪に対抗していくためには、特殊部隊クラスの、レベルの高い技術者が必要不可欠です。
 
イーライトの本当の専門分野は、このような重大犯罪に対する守り方・戦い方・捜査技術・人材育成と訓練です。専門用語になってしまいますが、APTやゼロデイなどに、複合的に対策を講じていくためのペネトレーションテスト(侵入実験)で得た経験が、フォレンジック捜査に役立っています。

フォレンジックの行動計画(流れ)

※下記は、弊社と顧問契約されているお客様がサイバー攻撃を受けた際に行われる犯罪・事件捜査(フォレンジック)の一般的な流れとなります。事件によって、また、被害にあわれたクライアント様の事業形態や捜査目的によって、プランや調査内容は変化します。新規のお客様の場合にはNDA等の書類作成も必要になります。あくまで、目安としてお考えください。

 

顧問契約されているお客様の一般的な流れ

  1. 事件を正しく識別。今現在も存在するか、それとも過去だけか、継続性を確認。
  2. 事件の正確な目的・場所・時間、そして事件により悪影響を受けた資産と対象となる者(会社や国家)を確認。
  3. 関係部署(情報セキュリティー担当部署)に対し、事件の有無と、詳細を通知。
  4. 悪影響を受けたIT機器・機械の場所を検出(確認)。
  5. 事件に巻き込まれて壊れた機器へのアクセス許可を制限し、事件で悪影響を受けた部分を予備部品に切り替え、もっとも故障した個所や設備を分離。
  6. 事件のタイプと本質によって適任の専門家を選定し、審査会議に召集。
  7. 事件の専門捜査グループを開設し、証拠収集とシステムの回復手順を示す作業計画を立案。事件への対応や行動は、すべて記録。
  8. 調査プロセス促進の為に、必要最大限の情報を提供。
  9. 証拠の適正な取り扱い、即ち登録・保管・保存を確保。
  10. リアルタイムなインシデント情報を収集。
  11. 更なるデータ分析・保管の為に、独立した第三者の前で、エビデンスベース(証拠・根拠、証言、形跡)を取り除くか、または封印。画像データも同様。
  12. 資産と対象の取り扱いについて資料を作成。
  13. サイト、抽出されたデータと、この保管場所など、全ての一覧表を作成。
  14. 全ての行動について資料を作成。(具体的に、証書、写真、ビデオなど)
  15. 資料の保存性及び不変性を確保。偶発的もしくは任意的に内容が編集できないようにすること。
  16. 調査の結果をまとめて、攻撃を可能にした原因と脆弱性を特定。
  17. 調査の結果をまとめて、攻撃者を特定し、動機及び責任のレベルを明らかにし、訴訟。
  18. 調査結果を担当ユニットもしくは担当部署に移送させ、システムの運動機能を回復させる。
  19. 再発防止対策を講じる。
  20. 調査結果を保存・保管。
※ご契約内容、攻撃の種類、ご利用のシステムなどによって、調査内容や手順が変化します。
※どこまでの権限を与えていただけるかによって調査の深さが決まります。

 

期間

2週間~半年まで

必要環境

事件や捜査目的・深度によって、別途ご案内いたします

よくあるご質問

Q, 個人情報の漏えい(窃盗)に気づいたのですが、具体的にいつ盗まれたのかなどが分かりません。犯行から時間が経過していても、デジタルフォレンジックは可能ですか?
A, 可能です。ただし、早ければ早いほど捜査はしやすくなります。計画的な泥棒と同じく、サイバー犯罪者(ハッカー)の場合にも、目的達成の前にスキャンと言われる下見(下調べ)のようなことを行います。その段階で怪しい動きを察知することも可能です。サイバー犯罪は、早期発見・早期捜査が鉄則です。
 
Q, 攻撃を受けて被害(損害)が生じた直後、限られた予算の場合、サイバーセキュリティの強化とフォレンジック、どちらを行うべきでしょうか?
A, サイバーセキュリティの強化は、的を射たものでなければならなず、総合的に弱点をなくしていかなければなりません。攻撃を受けて被害が生じている以上は、まずは、その弱点(実害につながる犯罪経路)がどこかを確認することが先決です。従いまして、犯行直後、限られた予算の場合には、フォレンジック捜査をお勧めします。

料金

お見積りを開始されたい方へ 
 (今の状況とご要望をお聞きし、お見積りをスタートします)

 

関連項目

フォレンジック

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。