2. フォレンジックの現場から 第2回 フォレンジックの実際. 先週のサイバー事件簿 - セブン銀行を騙る巧妙なSMSが拡散中本件事前発注約束には大きく別けて、事前に本件取引先等に個別の工事等を発注することを約束するケースと本件取引先等について年度ごとの発注予定額を約束するケースがあるが、前者の具体例としては、本件デジタル・フォレンジック調査により顕出された2012年4月22日に関西電力の高浜発電所長の長谷氏が原子力事業本部長の豊松氏ら複数名に送信した電子メールに示される事実関係が挙げられる。当該電子メールには、以下の記載がある。マカフィー、先生1人につき生徒40人が使える教育機関向け新ライセンス先週のサイバー事件簿 - 緊急性の高いWindows DNSサーバーの脆弱性本件事前発注約束のうち、本件取引先等について年度ごとの発注予定額を約束する具体例としては、本件デジタル・フォレンジック調査により顕出されたエクセル・ファイルにより認められる事実関係が挙げられる。 当該エクセル・ファイルには2004年(平成16)年度分から2008(平成20)年度分及び2011(平成23)年度分の「計画折衝経緯」というシートとともに、上記各年度における関西電力と柳田産業の間で行われた柳田産業の対する発注予定額に関する交渉経緯等が時系列で記載されている。そして、各年度のシート中には、以下①~⑤の記載が存在する。逆な見方をすれば、もし、フォレンジックがなければ、ここまでの事実解明にまでは至らなかったともいえる。近年、多くの書類はコンピュータで作成され、不都合な事実が露見すると、その後ろめたさから、まっさきに削除されていると思われる。しかし、そのような行為に対して、フォレンジックはどこまで究明することができるか、そこがポイントといえるかもしれない。104ページには、エクセルデータの復元についても記述されている。先週のサイバー事件簿 - 沈静化していたマルウェア「Emotet」が活発化関西電力幹部らが福井県高浜町の元助役(故人)から多額の金品を受領していた事実が2019年に発覚した。その後の対応の1つとして、事実関係の究明のために第三者委員会が組織され、2020年3月に最終報告書が提出された。その内容を紹介したい。こういった事実の積み重ねにより、100ページの事前発注約束等があったと結論付けている。この報告書は、裁判に証拠として提出されたものではない。しかし、非常に緻密な事実関係の調査、さらにはヒアリングとの組み合わせにより、ゆるぎないものとなっている。その多くは、意図的に削除されたものであるが、フォレンジック調査では、それらをこのように復元することで、真実に迫っている。先週のサイバー事件簿 - 数百万台のIoT機器に存在する脆弱性「Ripple20」加えて、本件社内調査においては、関西電力の役職員が森山氏に不適切な情報提供を行っていたことが認定されていたが、本調査では、とりわけ本件デジタル・フォレンジック調査を通じて、森山氏が、関西電力の役職員に対して本件取引先等の特定の企業への発注等を強引に要求し、これに関西電力の役職員等が応じた事例が多数存在することが判明した。一部の人名などは伏せ字となっているが、具体的な要求内容などが、赤裸々に記載されていることがわかる。また、一部にはイニシャルであったり、隠語のような言葉も使われている。これらについては、その後のヒアリングにより、どういった内容であったかを確認、もしくは確認できなかったものについては、推論を提示している(その内容については、報告書の該当ページを参照してほしい)。どういったデータが復元されたのかについてであるが、100ページには、以下のような記述がある。Microsoft、2020年7月の月例更新 - .NETの関連の脆弱性を含む3件の緊急修正先週のサイバー事件簿 - Zoomの偽インストーラでバックドア感染関西電力の役職員による本件事前発注約束等は遅くとも2000年代から行われていたことが認められる。当委員会は、関西電力から提供を受けた資料とともに、本件デジタル・フォレンジック調査を通じて、本件事前発注約束等をうかがわせる多数の資料や文書等を得た。この事例では、メールとエクセルファイルの復元が主な作業であった。フォレンジックでは、これら以外にも、まずは、どういったフォレンジック調査が行われたかについて紹介したい。報告書の13ページに以下のようにある。この記述によれば、メールの復元、さらに個人・共有フォルダ内にある削除されたデータも復元対象としている。ここで、「保全」という言葉が使われているが、第1回で少し触れたように、その時点での記憶領域などの状態を完全に保持する作業が行われた。さらに、抽出されたデータは40万件にのぼったことも記されている。実際のデータの抽出の手順なども紹介されている。そして、具体的に復元されたデータについて示されている。101ページには、復元されたメールを紹介している。なども調査対象になることがある。情報漏えいでは、多くの場合で、USBメモリなどの外部記憶装置が使われる。その接続履歴を調べることで、漏えいの証拠を調査することができる。機会があれば、そういった事例も紹介したい。(3) デジタル・フォレンジック調査 当委員会は、PwCアドバイザリー合同会社(以下「PwCアドバイザリー」という。)に依頼し、本調査に必要な情報が保存されている可能性があるメールサーバーに含まれるデータを保全させ、結果として、80名分の電子メールをレビュー対象として抽出した。 また、上記に加え、45名分の個人フォルダ、28個の共有フォルダ、関西電力が貸与している38台のパソコン、7台のスマートフォンに係るデータについても保全の上、パソコンについて復元可能な削除データの復元作業を行わせ、これらの中に含まれている電子データもレビュー対象として抽出している。 結果として、これらのデータは、効率性を高めるためにキーワード検索等により約40万件に絞り込んだ上で、一次的なレビューはPwCアドバイザリーが、二次的なレビューは当委員会が行う体制で調査(以下「本件デジタル・フォレンジック調査」という。)を行った。
npoデジタル・フォレンジック研究会のホームページです。 研究会の活動やイベントの開催情報についてお知らせしています。 デジタルフォレンジック市場の地域分析: 市場のダイナミクスを包括的に理解するために、グローバルなデジタルフォレンジック市場は 、米国、ヨーロッパ、中国、日本、東南アジア、インド、中南米などの 主要な地域で分析されています 。 デジタルフォレンジック24では、削除メールやファイル復元、暗号化解除など行います。デジタルデータの故意的削除・改ざん捏造・ログ履歴調査などひとつでも多くの証拠データを提供いたします。 1.