コンピューターフォレンジック入門ガイド

コンピューターフォレンジック入門ガイド

コンピューターフォレンジックとは、法的に認められる方法でデジタル情報を収集、分析、報告することです。犯罪の検出と防止、および証拠がデジタルで保存されるあらゆる紛争で使用できます。コンピューターフォレンジックには、他のフォレンジック分野と同等の検査段階があり、同様の問題に直面しています。

このガイドについて

このガイドでは、中立的な観点からコンピューターフォレンジックについて説明します。特定の法律にリンクされておらず、特定の会社や製品を宣伝することを目的としておらず、法執行機関や商業用コンピュータフォレンジックのいずれかの偏見で書かれていません。非技術的な対象者を対象としており、コンピューターフォレンジックの高レベルのビューを提供します。このガイドでは「コンピューター」という用語を使用していますが、概念はデジタル情報を保存できるすべてのデバイスに適用されます。方法論が言及されている場合、それらは例としてのみ提供されており、推奨事項や助言を構成するものではありません。この記事の全部または一部をコピーして公開することは、クリエイティブコモンズ-アトリビューション非営利3.0ライセンスの条件に基づいてのみライセンスされます。

コンピューターフォレンジックの使用

コンピュータフォレンジックを適用できない犯罪または紛争の領域はほとんどありません。法執行機関は、コンピュータフォレンジックの最古で最も重いユーザーの1人であり、その結果、多くの場合、この分野の開発の最前線にいます。コンピューターは、たとえばハッキング[1]またはサービス拒否攻撃[2]などの「犯罪の現場」を構成するか、メール、インターネット履歴、文書、または殺人などの犯罪に関連するその他のファイルの形で証拠を保持する場合があります、誘n、詐欺、麻薬密売。電子メール、ドキュメント、およびその他のファイルの内容だけでなく、調査者が関心を持つ可能性があるのは、それらのファイルに関連付けられた「メタデータ」[3]でもあります。コンピュータフォレンジック検査により、ドキュメントが最初にコンピュータに表示されたとき、最後に編集されたとき、最後に保存または印刷されたとき、およびこれらのアクションを実行したユーザーが明らかになります。

最近では、営利団体がコンピューターフォレンジックを使用して、次のようなさまざまなケースで利益を得ています。

  • 知的財産の盗難
  • 産業スパイ
  • 雇用紛争
  • 不正調査
  • 偽造
  • 結婚の問題
  • 破産調査
  • 職場での不適切なメールとインターネットの使用
  • 企業コンプライアンス

ガイドライン

証拠が容認されるためには、それが信頼できるものであり、不利なものではない必要があります。つまり、このプロセスのすべての段階で、コンピューターの法医学審査官の心の最前線に容認されるべきです。これを支援するために広く受け入れられているガイドラインのセットは、コンピュータベースの電子証拠のための最高警察官協会グッドプラクティスガイドまたは略してACPOガイドです。 ACPOガイドは、英国の法執行機関を対象としていますが、その主な原則は、あらゆる議会のすべてのコンピューターフォレンジックに適用されます。このガイドの4つの主要な原則は、以下に再現されています(法執行機関への言及は削除されています)。

コンピュータまたはストレージメディアに保持されているデータを変更してはいけません。これらのデータは、その後裁判所で依拠される可能性があります。

人がコンピューターまたは記憶媒体に保持されている元のデータにアクセスする必要があると感じる状況では、その人はそうする能力があり、自分の行動の関連性と意味を説明する証拠を与えることができなければなりません。

コンピュータベースの電子証拠に適用されるすべてのプロセスの監査証跡またはその他の記録を作成して保存する必要があります。独立したサードパーティは、これらのプロセスを調べて同じ結果を達成できるはずです。

調査の責任者は、法律とこれらの原則が遵守されていることを確認する全体的な責任を負います。
要約すると、オリジナルに変更を加えるべきではありませんが、アクセス/変更が必要な場合、審査官は彼らが何をしているかを知り、その行動を記録しなければなりません。

ライブ取得

上記の原則2は疑問を提起する可能性があります。どのような状況で、コンピューターの法医学審査官による容疑者のコンピューターの変更が必要になるのでしょうか。従来、コンピュータの法医学検査官は、オフになっているデバイスから情報をコピー(または取得)していました。書き込みブロッカー[4]は、元の記憶媒体のビットコピー[5]に正確なビットを作成するために使用されます。審査官はこのコピーから作業を行い、元の内容を明らかに変更せずに残します。

ただし、コンピューターの電源をオフにすることは不可能または望ましくない場合があります。コンピュータの電源を切ると、所有者に多大な金銭的損失またはその他の損失が生じる可能性がある場合は、スイッチをオフにすることはできません。コンピューターの電源を切ると、貴重な証拠が失われる可能性があるため、電源を切ることは望ましくない場合があります。これらの両方の状況において、コンピューターの法医学検査官は、データを検査官のハードドライブにコピー(または取得)するために疑わしいコンピューターで小さなプログラムを実行することを含む「ライブ取得」を実行する必要があります。

そのようなプログラムを実行し、宛先ドライブを疑わしいコンピューターに接続することにより、審査官は自分の行動の前に存在しなかったコンピューターの状態を変更および/または追加します。審査官が行動を記録し、その影響を認識し、行動を説明できた限り、そのような行動は容認されたままです。

試験の段階

この記事の目的上、コンピューターフォレンジック検査プロセスは6つの段階に分けられています。それらは通常の時系列順に表示されますが、試験中は柔軟である必要があります。たとえば、分析段階で、審査官は新しいリードを見つける可能性があります。これは、さらにコンピューターを検査する必要があり、評価段階に戻ることを意味します。

準備

法医学の準備は重要であり、時折見過ごされている検査プロセスの段階です。商用のコンピューターフォレンジックでは、システムの準備についてクライアントを教育することが含まれます。たとえば、サーバーまたはコンピューターの組み込みの監査およびログシステムがすべてオンになっている場合、フォレンジック検査はより強力な証拠を提供します。審査官には、トレーニング、ソフトウェアおよび機器の定期的なテストと検証、法律への精通、予期しない問題への対処(例:商業的な仕事中に児童ポルノが存在する場合の対処)、オンサイト取得キットが完成しており、正常に機能していること。

評価

評価段階には、明確な指示の受け取り、リスク分析、および役割とリソースの割り当てが含まれます。法執行機関のリスク分析には、容疑者の財産に入る際の身体的脅威の可能性とその対処方法に関する評価が含まれる場合があります。また、商業組織は健康と安全の問題を認識する必要がありますが、その評価は特定のプロジェクトを受け入れる際の評判と財政上のリスクもカバーします。

コレクション

収集段階の主要部分である取得は、上記で紹介されています。コンピュータフォレンジックラボではなく現場で取得を行う場合、この段階にはシーンの識別、保護、文書化が含まれます。通常、この段階では、試験に関連する可能性のある情報(コンピューターのエンドユーザー、コンピューターサービスを提供するマネージャーおよび責任者を含む)を保有する可能性のある担当者とのインタビューまたはミーティングが行われます。 「タグ付けとタグ付け」の監査証跡は、独自の改ざん防止バッグに材料を封印することから始まります。また、材料を試験官の研究室に安全かつ安全に輸送することも考慮する必要があります。

分析

分析は、各ジョブの詳細に依存します。審査官は通常、分析中にクライアントにフィードバックを提供します。このダイアログから、分析は異なるパスをたどるか、特定の領域に絞り込まれます。分析は、正確で、徹底的で、公平で、記録され、再現可能で、利用可能なタイムスケールと割り当てられたリソース内で完了している必要があります。コンピューターフォレンジック分析に使用できる無数のツールがあります。審査官は、選択を正当化できる限り、自分が快適だと感じるツールを使用すべきだと考えています。コンピューターフォレンジックツールの主な要件は、意図したとおりの処理を行うことであり、審査官がこれを確認する唯一の方法は、分析が行われる前に使用するツールを定期的にテストおよび調整することです。デュアルツール検証により、分析中に結果の整合性を確認できます(ツール「A」で審査官が場所「Y」でアーティファクト「X」を見つけた場合、ツール「B」はこれらの結果を複製する必要があります)

プレゼンテーション

通常、この段階では、審査官が調査結果に関する構造化されたレポートを作成し、後続の指示とともに最初の指示のポイントに対処します。また、審査官が調査に関連するとみなす他の情報もカバーします。レポートは、エンドリーダーを念頭に置いて作成する必要があります。多くの場合、レポートの読者は技術的ではないため、用語でこれを認める必要があります。審査官はまた、報告書について議論し、詳しく説明するために、会議または電話会議に参加する準備をする必要があります。

レビュー

準備段階に加えて、レビュー段階はしばしば見落とされたり、無視されたりします。これは、請求対象外の作業を行うために知覚されるコスト、または「次の仕事に取り掛かる」必要性に起因する可能性があります。ただし、各試験に組み込まれたレビュー段階は、将来の試験をより効率的かつ時間効率的にすることにより、費用を節約し、品質のレベルを上げるのに役立ちます。検査のレビューは簡単、迅速で、上記のいずれかの段階で開始できます。基本的な「何がうまくいかなかったのか、これをどのように改善できるか」と「何がうまくいったのか、今後の試験にどのように組み込むことができるか」が含まれる場合があります。指導者からのフィードバックも求められるべきです。この段階から学んだ教訓は、次の試験に適用され、準備段階に送られるべきです。

コンピューターフォレンジックが直面している問題

コンピュータフォレンジック試験官が直面する問題は、技術、法律、管理の3つの大きなカテゴリに分類できます。

暗号化-暗号化されたファイルまたはハードドライブは、調査者が正しいキーまたはパスワードなしでは表示できない場合があります。審査官は、キーまたはパスワードが、コンピューターまたは容疑者がアクセスした別のコンピューターの別の場所に保存される可能性があることを考慮する必要があります。また、コンピューターの揮発性メモリ(コンピューターのシャットダウン時に通常失われるRAM [6]としても知られています。上記で説明したライブアクイジションテクニックの使用を検討する別の理由もあります)。

記憶域の増加-記憶媒体には膨大な量のデータが保持されるため、検査者は膨大な量のデータの検索と分析を効率的に処理するために、分析コンピューターに十分な処理能力と使用可能な記憶域が必要です。

新しいテクノロジー-コンピューティングは絶えず変化する領域であり、新しいハードウェア、ソフトウェア、およびオペレーティングシステムが常に生産されています。すべての分野の専門家になることはできませんが、彼らが以前に扱ったことのない何かを分析することがしばしば期待されるかもしれません。この状況に対処するために、審査官は準備を整え、新しいテクノロジーの動作をテストおよび実験できる必要があります。他の誰かがすでに同じ問題に遭遇している可能性が高いため、他のコンピュータ法医学検査官とのネットワーク化および知識の共有もこの点で非常に役立ちます。

アンチフォレンジック-アンチフォレンジックは、コンピューターフォレンジック分析を妨害しようとする行為です。これには、暗号化、データを上書きして回復不能にする、ファイルのメタデータの変更、ファイルの難読化(ファイルを隠す)が含まれます。上記の暗号化と同様に、そのような方法が使用されたという証拠は、コンピューターまたは容疑者がアクセスした別のコンピューターの別の場所に保存される場合があります。私たちの経験では、アンチフォレンジックツールが、それらの存在または非表示に使用された証拠の存在を完全に不明瞭にするのに十分かつ頻繁に使用されるのを見るのは非常にまれです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です