WEBサーバーやパソコンなどがハッキングにあえば、個人情報が盗まれ悪用されることもあります。ハッキングに対処するにはハッキングの証拠を集める必要がありますが、ハッキングや不正アクセスが発生したときに、その証拠を調査する方法が「フォレンジック」です。フォレンジックを依頼するならば、不正アクセス調査会社などに依頼し、ハッキングや不正アクセスの証拠を探してもらうとよいでしょう。
※※※※※※※※※※※※※※※※※※※※
この記事はマーケティング会社や外部ライターにリサーチとレポートを依頼して作られた記事です。
当社の見解とは異なる部分が多々ありますが、当社の視点だけに偏らず様々な角度から情報セキュリティに関する動向・傾向を見ることができるよう、なるべく原文のまま掲載いたしております。
※※※※※※※※※※※※※※※※※※※※
ハッキングの証拠集めのコツ
ハッキングの調査では、まずは証拠集めをしなければなりません。以下のような調査をして、証拠を集めていきましょう。
• ソフトウェアの使用履歴の確認
• WEBサービスや不正アクセスでの情報漏洩の確認
• ドキュメントファイル調査
• 電子メール調査
• WEBサービスやパソコンのアクセス履歴確認
• 社内セキュリティログ確認
ソフトウェアやWEBサービス、電子メール、ドキュメントファイル、パソコンなどは、使用すると履歴やログとして記録が残ります。履歴や記録を調べていき、不正に使用してアクセスした痕跡がないか確認するのです。
証拠集めを行う前には、不審なファイルは消去せずにバックアップを取っておきます。ファイルを改ざんされないように、安全な場所にコピーしてバックアップしておきましょう。社内であれば、調査対象となるパソコンやサーバーは、従業員が不用意に触らないようにしなければなりません。不用意に触ると、証拠が消えることやシステムが消去される危険があります。
また、ルートキット対策もしておきましょう。ルートキットとは、管理者権限を奪う不正プログラムのことです。セキュリティソフトをインストールしておき、万が一のときには前の状態に戻せるようにバックアップを定期的に行います。
フォレンジック調査とは
フォレンジックは日本語にすると「法的な」という意味です。フォレンジック調査は、ハッキングの証拠となる法的証拠を見つけるための手段や調査のことを言います。サーバーやパソコンのデジタルデータが改ざんされないように保全することもフォレンジックの一部に含まれているのです。
コンピューターやモバイル機器、ネットワーク機器を使用すると、使用履歴として記録が残ります。ソフトウェアやドキュメント、アプリを使用した場合には使用履歴や記録が残るため、フォレンジックではそれらの記録の改ざんや消去など、不正な部分がないか調べるのです。
フォレンジック調査には、以下のようなものがあります。
• コンピューターフォレンジック
• モバイルフォレンジック
• ネットワークフォレンジック
フォレンジックでは、不正に改ざんや消去されたファイルや記録の調査のみならず、法的手続きが必要になる場合も少なくありません。見つかった法的証拠を法執行機関への提出を行うこともフォレンジックに含まれる場合があります。
コンピューターフォレンジック
コンピューターフォレンジックはコンピューターに内蔵されたHDDを解析してハッキングの証拠を探すものです。コンピューターで行われた操作記録や履歴、ログを分析して解析するだけでなく、削減データの復元も行います。コンピューターフォレンジックは、ハッキングによってコンピューターへのアクセスが疑われる場合に使用されるのが特徴です。機密情報や個人情報が盗まれていないかを調査することができます。
また、ハッキングによって、コンピューターウイルスやルートキットなどが仕組まれていないか、コンピューターを踏み台にされていないかを判明させることが可能です。どのような経路でコンピューターにアクセスされたかがわかれば、不正アクセスの経路が判明し、再発防止対策ができます。
モバイルフォレンジック
モバイルフォレンジックはスマートフォンやタブレットなどのモバイル機器を解析することです。モバイル機器に保存されているデータを調べて、ハッキングの痕跡がないかを確かめます。
コンピューターフォレンジックと同じく、モバイル機器へのハッキングが疑われる場合に、モバイルフォレンジックが使用され、スマートフォンやタブレットでのデータ改ざんやデータ消去、ウイルスの混入などを把握することが可能です。スマートフォンであれば、通話履歴やアプリ使用履歴もチェックし、不正に改ざんされた部分やアクセスされた部分がないか調べます。通話履歴に不正があれば、通話が盗聴されていた可能性も出てくることもあるのです。
ネットワークフォレンジック
ネットワークの動きを解析し、どのコンピューター端末がどのような経路で何をしたのかを調べるのがネットワークフォレンジックです。ネットワークのパケットを調べて、どのような経路で不正アクセスがあったのかを調査します。
多くの場合に個人情報やアカウント、機密情報などがネットワークを通じて第三者に盗まれた場合に、ネットワークフォレンジックを使うのが一般的です。ネットワークフォレンジックでは外部からの不正アクセスやハッキングを防げませんが、ネットワークのアクセス経路を調べることでどんな手段でアクセスし、どの情報がどこに送信されたのかがわかります。
フォレンジック調査が必要な場合
フォレンジック調査は不正アクセスや企業の機密情報漏洩、個人情報漏洩が疑われるときに必要となります。インターネットの普及により、企業のパソコンやサーバーへのハッキング、サイバーテロなどが発生するようになりました。さらにはスマートフォンやタブレット機器も登場したことにより、モバイル機器へのハッキングも行われています。
企業のコンピューター端末にハッキングや不正アクセスがあればフォレンジック調査を行うことで、いち早く被害範囲と影響範囲を特定することが可能です。フォレンジック調査を行うことでハッキングの原因と影響を把握でき、関係者への連絡や謝罪などの対応ができます。被害部分とどんな加害者なのかを明らかにすると、その後取るべき対策が判明するのです。
• 標準型攻撃
• 脆弱型攻撃
• なりすまし
• 踏み台
外部からの不正アクセスやハッキングには、上記のようなものがあります。どのような企業であっても不正アクセスやハッキングをされる可能性がないとは言い切れません。外部からのハッキングや情報漏洩がなくとも、フォレンジック調査を定期的に行えば、機密情報漏洩や不正アクセス、不正行為を抑制し、企業の被害をトータルで抑えることが可能です。
フォレンジック調査の方法
フォレンジック調査は、調査対象となるコンピューターを押収して解析し、ウイルスチェック後に消去データを復元します。その後、不正に操作されたデータがないか調べ、データ内容を確認し、依頼元に報告するという流れです。
• コンピューター上のデータやメール
• サーバーやネットワーク機器のログ
これらの中から、犯罪の法的証拠を見つけ出します。フォレンジック調査でまずすることは、解析するコンピューターの押収です。紛失や取り違えがないように手続きにしたがって押収して保管し、ウイルスチェック後に内部のデータを解析用HDDにコピーします。解析には数時間以上かかることが多く、データ量によっては1日以上要することもあるのです。
解析はタイムライン情報、タイムスタンプなどを割り出していき、削除されたデータの復元も行います。解析によってデータを割り出したら分析準備の完了です。分析は、データ化した情報から目的に応じた情報がないか調べます。マルウェア感染ならばマルウェアの検出、感染時期の特定、観戦後の挙動などを分析で調べていきますが、この作業は高度な知識のある専門分野の人が行います。
分析が終わると調査結果の報告をしますが、分析で得られる情報は断片的であることが多いので、点と点の情報に解釈を加えて補完するのが特徴です。一方、依頼者が法的措置を考えているならば、調査会社は法的証拠を法執行機関に提出します。これでフォレンジック調査は終わりです。
フォレンジック調査を依頼する業者選びのコツ
フォレンジック調査を依頼するのであれば、以下のような特徴のある調査会社を選ぶことをおすすめします。
• 証拠保全を確実に行う
• 調査結果をわかりやすく報告する
• 専門知識があり実績がある
まず、フォレンジック調査は証拠保全が重要となるため、証拠保全を確実に行っている調査会社を選ぶようにしましょう。調査によって法的証拠を見つけ出すことができたとしても、証拠を紛失したり一部を変更してしまったりしては、法的証拠として使えません。
また、調査後に報告をするので、依頼主が理解できるようにわかりやすく正しく報告してくれる調査会社を選ぶことも大切です。フォレンジック調査では専門用語が飛び交います。依頼主がわからない用語についてわかりやすく説明してくれる調査会社を選ぶようにしましょう。
フォレンジック調査には専門知識が必要であり、解析して分析した結果をもとに、どのような不正アクセスやハッキング、情報漏洩や改ざんがあったかを結論づけなければなりません。分析結果で得られる情報が少ない場合もあるので、専門知識だけでなく調査実績のある会社を選ぶと安心です。法的手段を考えている場合は、法的証拠を得られたときに証拠を法執行機関に提出してくれる調査会社を選ぶと、依頼主の手間が省くことができます。
フォレンジック調査を依頼する際の注意点
フォレンジック調査の前には、調査対象となるコンピューターには不用意に触らず、また不審なファイルは消去せずにバックアップをとっておきます。不審なファイルは法的証拠となるかもしれないので保全しておく必要があるため、勝手に消去しないようにしましょう。コンピューターのデータが誤って消去されてしまい、重要な証拠が消えないように、不用意にコンピューターには触らないようにすることも大切です。証拠となるファイルが上書きされないように、フォレンジック調査が終わるまでは対象となるコンピューターは使用しないようにする必要があります。そのため、継続して業務に使うことは絶対に避けましょう。
また、コンピューターの中に身に覚えのないファイルやアプリケーションがないかどうかも確認してください。インストールした覚えのないソフトウェアやアプリケーション、使った覚えのないファイルがあればハッキングや不正アクセスに使われた可能性があります。調査依頼するときに、依頼会社に身に覚えのないソフトウェアやファイルがあると報告してください。
コンピューターを踏み台に使われないために、そして他のコンピューターに不正アクセスやハッキングの被害が広がらないように、調査してもらうまではコンピューターはインターネットから遮断しておきましょう。Wi-FiやLANを切っておくことも大切です。
まとめ
どのような企業でも不正アクセスやハッキング、情報漏洩の危機はあります。思い当たることがあれば、大ごとになる前にフォレンジック調査会社に調査を依頼しましょう。場合によっては、見つかった法的証拠をもとに法的手段を執ることになりるので、注意深く調査することをおすすめします。
