サイバー攻撃被害を受けた際に行うべき「デジタル・フォレンジック」とは？具体的手順と目的・種類などを徹底解説！

企業のセキュリティ担当者が意識するべきことは、「企業をセキュリティ脅威から守る」だけではありません。

実際にサイバー犯罪の被害を受けた後に、攻撃者の痕跡・データ復旧を行うことで「証拠収集・原因の追求」を行うことも求められます。

 

この記事では、高いセキュリティレベルを実現するために必要な「デジタル・フォレンジック」の概要と目的、具体的事例の解説と手順について解説しますので、ぜひ参考にしてみてください。

 

デジタル・フォレンジックとは？

サイバー攻撃を受けた企業が行うべきことは、攻撃を行った後の状況を調査して、事件解決に繋げることが求められます。この目的を実現するために行われる「デジタル・フォレンジック」について見ていきましょう。

 

フォレンジックとは？

「フォレンジック」という言葉は「法廷」に関することを示す言葉です。

一般的に、フォレンジックと言えば、「法科学(フォレンジック・サイエンス)」を指して使われることが多くあります。

 

デジタル世界でもフォレンジックが必要になる

デジタル正解における「フォレンジック」とは、調査対象となったPC・スマートフォンに保存されている電子情報の解析によって事実解明を行う技術であり、訴訟・海外規制当局による捜査に協力する際の対象データの収集にも広く使用されています。

 

デジタル・フォレンジックを行う目的とは？

攻撃者が残した痕跡を原因究明して、事件解決に繋げることが「デジタル・フォレンジック」の一つの目的ですが、その他にどのような目的があるのかを以下で解説します。

 

不正行為の原因究明

不正行為の証拠収集は、法的な手順を踏む上で避けることができない要素です。

法的手段を行使して、対抗するためには確度、信頼性の高い証拠を積み上げる必要があります。

デジタル機器を調査することで、削除メールの復元・ログ確認が可能です。

多くの情報を入手することができれば、不正行為の手法解明と経路を明らかにできることで、犯罪者の特定に繋がります。

 

サイバー攻撃の原因究明

「マルウェア攻撃」「フィッシング」「不正アクセス」など、サイバー攻撃は年々多様化しています。

もちろん攻撃から身を守る側も対策を進めていますが、「デジタル・フォレンジック」を進めることで証拠を集めることで、攻撃者の特定と制裁に繋げることが可能です。

 

不正行為・情報漏洩の未然防止

「デジタル・フォレンジック」を活用して、以下の方法で不正行為・情報漏洩を防ぐことが可能です。

(1)セキュリティポリシーを策定して、従業員に対する教育を実施します。アクセス権の厳格な管理やモニタリングを通じて、不審なアクティビティを早期に検知して、即座に対処する体制を構築します。

(2)定期的なセキュリティ監査・脆弱性評価を実施して、システム強化を測ります。「情報の暗号化」「二要素認証の導入」「最新セキュリティソフトウェア導入」も重要です。

 

デジタル・フォレンジックの具体的事例

不正行為の原因究明を行うことが一般的ですが、具体的な事例をいくつか紹介します。

 

カルテル・贈収賄などの企業犯罪

商品価格・生産数量などを複数社で取り決める「カルテル」、賄賂を贈ったり受け取ったりする「贈収賄」などの企業犯罪においては、犯罪に関与した従業員間や外部関係者とのやり取りがメールで行われたり、証拠となるファイルが共有サーバー上に残っていたりする場合があります。

このような事案では、関係者のパソコンやサーバー上のデータを保全・収集して、閲覧・分析して、事案の原因究明が行われるのです。

 

労働事件(過労死など)調査

過労死などの労働事件では、亡くなった方の周辺情報を解明するために、デジタル・フォレンジックを用いて「パソコンの稼働履歴」「メールの送受信」などを確認します。

仕事における業務のほとんどがパソコン・メールで行われるため、デジタル・フォレンジックの結果が有力な証拠となるのです。

 

不適切な金銭支出(横領など)の解明

横領などの法的に不適切な金銭支出が疑われる事案でも、デジタル・フォレンジックが用いられます。

社内外に共犯者・関係者が居る場合も多く、それらの方とのメールのやり取りが残っている可能性もあるのです。

 

近年は、クラウド型のメールシステムを使用している会社も増加しており、そのような場合には、調査対象者に気づかれずに、メールサーバからメールデータを取得できることもあります。

 

デジタル・フォレンジックの手順

デジタル・フォレンジックは以下の3つの手順で構成されています。

1.データの収集・保全

2.データの解析・分析

3.データの報告

各フェーズについて、以下で詳細に解説します。

 

データの収集・保全

デジタル・フォレンジックは、そもそもデータ・蓄積されるデジタル機器がないと調査が実施できません。

まずは、データ分析に必要となる機器・データをあらかじめ特定して、それらの収集・保全を行います。

注意すべき点として、データが書き換えられないよう適切なプロセスで保全すること。

その他、収集データのコピーを取るなどで、改ざんの防止に努めます。

 

データの解析・分析

データ収集が完了すると、次に解析を行います。

解析ツールを用いて、収集したデータなどを分析可能なデータに変換するのです。

変換したデータから「いつ」「誰によって」「何が行われたのか」など、必要な情報をデータから読み解いて分析します。削除された形跡がみられるデータについては可能な限り復元して、その後、不正の隠蔽などに関わる情報を抽出します。

 

データの報告

データの報告では、データ分析で得られた情報を整理して、解析記録を作成します。

そして得られた証拠については、証拠レポートとして第三者が読み解けるよう書面にまとめるのです。

 

作成レポートは、証拠能力を持つ正式な文書になる可能性があるため厳重に保管します。

民間企業が実施した場合には、事案に応じて捜査機関にレポートを提出すること等に用いられるのです。

 

攻撃を受けた後の原因解明が重要！デジタル・フォレンジックへの知識を深めよう！

この記事では、デジタル・フォレンジックの概要から目的、具体的事例と手順を紹介しました。

企業において攻撃を受けた後のデジタル・フォレンジックは重要ですが、高度なスキルを要するため誰でも実施できる作業ではありません。

サイバージムジャパンが提供する「デジタル・フォレンジックサービス」では、データ漏洩やサイバー犯罪に迅速に対応して、証拠保全から解析まで、一貫した調査サービスを提供しています。

 

デジタル・フォレンジックサービス

サービス内容：　デジタルフォレンジックサービス | 株式会社サイバージムジャパン (cybergymjapan.com)

サービス資料：デジタルフォレンジックサービス | 【公式】株式会社サイバージムジャパン‐サイバーセキュリティトータルソリューション (cybergymjapan.com)

 

サイバーセキリュティのトータルソリューションカンパニーとして、お困りのことなどありましたらお気軽にお問い合わせください。