コンピュータ・フォレンジック

コンピュータ・フォレンジック（英語: computer forensics、コンピュータ・フォレンジック・サイエンス）は、コンピュータやデジタル記録媒体の中に残された法的証拠に関わるデジタル的な法科学（フォレンジック・サイエンス）の一分野である^[1]。現在は、デジタル・フォレンジック (digital forensics)の中の小分野として分類されている。

コンピュータ・フォレンジックの目的は、コンピュータ・システム自身やハードディスクドライブまたはCD-ROMのような記録媒体、電子文書中のメッセージやJPEG画像のような、デジタル製品の最新の状態を明らかにすることである^[2]。法科学的な分析の範囲は単純な情報の修復から一連の事象の再構成までが含まれる。

証拠としての使用

デジタルな証拠に通常求められる要求に加えて、コンピュータ・フォレンジックにはとりわけ多くの指針と法的手続きが存在している。

イギリスの法的指針

デジタル証拠の完全性を維持するという要求に応じるために、イギリスの調査官はAssociation of Chief Police Officers（ACPO）の指針に従う^[3][4]。その指針は以下の4つの原則からなる。

1. 法執行機関またはそれらの代理人は、後に法廷で要求され得るコンピュータまたは記録媒体に保持されているデータに対して、いかなる変更も施すべきでない。
2. コンピュータまたはストレージ・メディアに保持されている原データにアクセスする必要があると判断する例外的事情のある場合、アクセスする者はその資格がなければならず、それらの行為の妥当性と意味合いを説明し、証拠を示すことができなければならない。
3. 電子的証拠に基づいてコンピュータに適用される全ての過程の監査記録または他の記録は、作成され保存されるべきである。独立した第三者がそれらの過程を調査し、同様の結果を得ることができるべきである。
4. 捜査の担当者（the case officer）は法とこれらの原則が遵守されることを確実にする全ての責務がある。

実例

コンピュータ・フォレンジックは多くの事例で重要な役割を果たしている。

BTKキラー

デニス・レイダーは16年間にわたる一連の連続殺人で有罪判決を受けた。逮捕される前に、レイダーは何通かの手紙をフロッピーディスクに入れて警察に送っていた。その文書中のメタデータから、"Dennis"という名の筆者と"Christ Lutheran Church"の関連が浮かび上がった。この証拠はレイダーの逮捕につながった。

ジョセフ・ E・ダンカン3世

ダンカン（Joseph E. Duncan III）のコンピュータから、彼が犯罪を計画したことを示す証拠を含んだ表計算ソフトの表が復元された。検察はこれを証拠として予謀を証明し、死刑判決を確定させた^[5]。

シャロン・ロパートカ

捜査員は、シャロン・ロパートカ（Sharon Lopatka）のコンピュータに残されていた数百通ものEメールから、彼女を殺害したロバート・グラスを割り出した^[6]。

日本での導入・利用

日本では大阪地検特捜部主任検事証拠改ざん事件を機に、2010年に東京・大阪・名古屋各地検の特捜部に導入された。オリンパス事件、徳洲会事件、小渕優子関連団体の政治資金規正法違反事件などで応用された。2017年4月には東京地検内に全国の検察事務官などを集めて、人材育成や解析支援を担当する「DFセンター」が開設された^[7]。

検察や警察などの政府機関だけでなく、依頼を受けた民間企業が手掛ける場合もある。2011年に発覚した大相撲八百長問題では、AOSテクノロジーのリーガルテック部門（現・AOSリーガルテック）が、破壊された携帯電話から電子メールの内容を復元した^[8]。

フォレンジックの過程

→「Digital forensic process」も参照

画像外部リンク
書き込み防止装置 TABLEAU Forensic STAT/IDE Bridge Model T35i
ハードディスクドライブに接続した携帯式書き込み防止装置 TABLEAU FireWire800+USB2.0 SATA Bridge

コンピュータ・フォレンジック捜査の標準的な手順は、データ取得、調査、解析、そして報告から成る。黎明期には専門ツールが不足していたため、稼動中のコンピュータを捜査せざるを得ない場合が一般的であったが、現代では稼動中のシステムではなく静的データ、つまりイメージファイルに対して捜査を行うのが一般的である。

揮発性データ

証拠物を押収するとき、もし機器がまだ稼働中ならば、RAM上のデータは電源を切ると失われる可能性が高い^[5]。

メモリセルに蓄積された電荷の放散に時間がかかるので、電力停止後にもRAMにある重要な内容が解析されうる。データ回復が可能な時間は、低温であって高いセル電圧であるほど長くなる。RAMを−60℃ 下で電源が入っていない状態に保持できれば、電荷の放散が抑えられてデータ回復が成功する見込みは高くなる。しかし、現場調査でそういった対応は非現実的である^[9]。

技法

Cross-drive analysis

複数のハードディスクドライブから発見された情報を関連づける技法。この技法は、まだ研究段階であるが、人間関係の解明や異常検知への活用が提案されている^[10][11]。

Live analysis

対象物のOSが稼動している状態で、独自のフォレンジック・ツールや既存の管理ツールを使用して証拠データを取得し、コンピュータを調査する技法。この技法は、暗号化ファイルシステム（Encrypting File System）を扱う場合に有用であり、例えばデータが復号されている内に暗号化キーを収集できる可能性がある。また、コンピュータがシャットダウンして論理ハードドライブ・ボリュームが暗号化される前にそのイメージを取得できる可能性がある^[12]。

削除ファイルの復旧

コンピュータ・フォレンジックで使用される一般的な技法の1つが、削除されたファイルの復旧（Recovery of deleted files）である。現代のフォレンジック・ツールは、削除されたファイルをファイルシステムに基づいて復旧する機能、もしくはファイル内容の特徴（ヘッダ等）に基づいて復旧する機能を有する^[13]。多くのOS及びファイルシステムでは、ファイルを論理的に削除しても物理的にはデータが残存するため、未使用セクタに物理アクセスを行ってデータ復旧を試みることが可能である。

ステガノグラフィ (Steganography)

データを隠蔽する手法として、ステガノグラフィがある。これは、画像などのバイナリファイルの中にデータを埋め込んで隠す手法である。使用例としては、児童ポルノなどの違法なデータの隠蔽が挙げられる。この手法への対策としては、ハッシュ値の比較がある。証拠物の中の一見無害なファイルのハッシュ値と、そのオリジナルのファイル（入手できれば）のハッシュ値を比較し、相違があればファイル内容にも相違があり、違法データが埋め込まれている可能性があると看破できる^[14]。

解析ツール

多くのオープンソースツール及び商用ツールがコンピュータ・フォレンジック捜査のために存在する。

• EnCase (en) 
• FTK (en) 
• PTK Forensics (en) 
• The Sleuth Kit (en) 
• The Coroner's Toolkit (en) 
• COFEE
• Selective file dumper (en) 

フォレンジック解析の典型例としては、メディア上の資料の手動調査、Windowsレジストリ上の疑わしい情報に関する調査、パスワードの発見とクラッキング、犯罪に関連した主題のキーワード検索、Eメールや画像の抽出及び調査が挙げられる^[6]。

認証

コンピュータ・フォレンジックについて、さまざまな認証がある。アメリカ合衆国の多くの州法はコンピュータ・フォレンジック鑑定人に専門的認証または私的捜査員のライセンスを取得することを求めている。^[要出典]

一般的認証

• GIAC Certified Forensic Analyst（GCFA）認証はGlobal Information Assurance Certificationが実施している^[15]。GCFA認証取得者は2010年の時点で2100人以上に上る^[16]。
• Certified Computer Examiner（CCE）認証はInternational Society of Forensic Computer Examinersが運営している。2010年時点で28カ国・1000人以上のCCE取得者か代理人として活動している^[17]。
• Certified Computer Forensics Examiner（CCFE）認証はIACRBが実施している^[18]。CCFE取得者は2009年7月時点で1000人以上いる。^[要出典]
• Certified Forensic Computer Examiner（CFCE）はIACISが実施している^[19]。
• IFS Cyber Forensic, Cyber Law, Cyber Crime and Cyber Security Certifications - IFS INDIが実施している^[20]。
• Certified Ethical Hacker - EC-Councilが実施している^[21]。

他にも、EnCase Certified Examiner（EnCE）認証やAccessData ACE認証のように製品固有の認証を提供するコンピュータ・フォレンジック・ソフトウェア企業がある。

関連項目

• Counter forensics (en) 
• デジタル・フォレンジック
• 暗号解読
• Data remanence (en) 
• Disk encryption (en) 
• 電子情報開示
• 暗号
• Hidden file and hidden directory (en) 
• Information technology audit (en) 
• MAC times (en) 
• Steganalysis (en) 
• United States v. Arnold (en)