リーガレックス合同会社

コラム

コラム一覧12.デジタル・フォレンジックスの手順について②

12.デジタル・フォレンジックスの手順について②

2020.04.21

前回のDFの収集手順に続いて、検査の手順について解説したいと思います。

(出典:特定非営利活動法人デジタル・フォレンジック研究会「証拠保全ガイドライン 第8版」P2.の図より転載)

検査の段階では収集の段階にて保全されたデータを、DF専用ソフトを使って解析します。この段階では、削除されたデータ(ゴミ箱にいれただけではなくゴミ箱からも消去されたファイル等)の復元や暗号化されたファイルの復元も合わせて試みます。主な専用ソフトとしては、Forensic Tool Kit®️(FTK®️)EnCase ForensicIntellaX-Ways Forensicsなどの有償ソフトや、Autopsy等のフリーソフトがよく知られています。

これらのソフトウェアは、それぞれ独自の解析エンジンや検索アルゴリズムを持っているため、複数のソフトウェアを使用して全く同じ結果が得られるとは限りません。また、同じソフトウェアでもバージョンが変わることにより異なる結果が出ることがあります。例えば、旧バージョンでは復元できなかった削除済みファイルや暗号化ファイルが、新しいバージョンでは復元できるようになるなどです。ただし、同一のソフトウェア、同一のバージョンを使用した場合には、誰がいつどこで検査手順を実施したとしても同様の結果が得られるという再現性が強く求められます。これにより例えば、A社が3年前にS国の裁判所命令によりデータ保全し解析した結果について、現在の日本でB社が同じソフトの同じバージョンを使用して民事訴訟で用いるとしても、DFの結果としては同一のものが再現できることになります。そのため、検査段階では、どのソフトウェアのどのバージョンを誰がいつ使用して得られた結果であるかの記録が重要となります。結果として、内部資料である「DF調査報告書」や「捜査報告書」におけるDFの項目には、これの情報が必ず記載されることになります。実際に、刑事裁判においては、原本データを入手した上で、「捜査報告書」に記載の同一ソフトウェア同一バージョンを使用した場合には、結果が再現できるか検証されることもあります。

検査段階では、収集データのフィルタリングも重要になります。収集データは、メール、ドキュメントファイル、テキストファイル、画像、動画、各種ログ等々があり、データが膨大になるため、検査の段階で必要なデータのフィルタリングが行われます。フィルタリングは、「ファイルタイプ」や「作成日・更新日」などによって行われ、調査目的に沿ったデータのみを次の分析手順に利用することになります。