2020.07.22
- デジタル・フォレンジックス
20.デジタル・フォレンジックスFAQ①
LXの深山です。今回から、これまでのDFに関する解説を参考に、よく寄せられる具体的な10の疑問点について解説していきたいと思います。初回はデータ保全に関するFAQを取り上げます。
Q1:PC、携帯電話であればどんな機種でもデータ保全(以下、保全)できるのでしょうか?
A1:PCや携帯電話が起動可能な状態であれば、理論的にはどんな機種でも保全は可能です。理論的にというのは、何かしらの基本ソフト(OS)が実行されており、ストレージやメモリ領域でアプリケーションソフトが実行出来るという状態であれば、電磁的記録媒体(HDDやSSD、NANDメモリなど)が内蔵されており、そこにデータが記録されている可能性が高いため、何らかの手段で保全することは可能だという考え方です。保全手法はDFの分類によって様々なものがあります(3.DFの概要②参照)。例えば、情報処理機器による分類で、PCなのか各種携帯端末なのかによっても異なり、外部アプリケーションを用いる手法、電磁的記録媒体を分離して専用のハードウェアで保全する手法、OSを起動して保全する手法などです。ただし、端末の完全な分解を伴う「チップオフ」の場合、端末の再利用ができなくなることに留意する必要があります(16.DF(各論)「携帯電話」参照)。
Q2:保全できないのはどんな場合でしょうか?例えば PC、携帯電話やファイルにパスワードがかけられていてもデータ保全できるのでしょうか?
まず、端末(PC、携帯電話)が物理的・電磁的に破壊されているような場合には基本的に保全できません。ただし、破壊された端末の部品の一部(携帯電話のメモリチップ等)に特殊な機材を使用することによって、部分的に保全が可能な場合もあります。PCの場合、端末が起動不可であっても破壊されていないのであれば、電磁的記録媒体(HDD、SSD等)を取り外すことで保全が可能な場合があります。PCに対する起動パスワードが施されておりそれが不明な場合も、電磁的記録媒体を取り出すことで保全が可能です。ただし、フルディスク暗号化が施されている場合は、暗号化を施したIT管理者または使用者の協力がなければ、一見保全ができたように見えても、実際には解析不可能な保全データとなってしまいます(9.データ保全にあたって重要な4つのポイント参照)。
携帯電話やスマートフォンに対するロック解除のパスワードが不明な場合は、現状ではメーカーのセキュリティ対策強化により、強制的に保全することはほぼ不可能となっていますので、チップオフによる手法で保全可能性を模索することになります。
なお、ファイルにパスワードがかけられていても保全は可能であり、保全後にデータの解析や閲覧をする段階で検討するポイントとなります。
次回以降もQ&Aを続けていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
リスクマネジメントに関連するサービス
よく読まれている記事
サービスカテゴリー
- デジタル・フォレンジックス
LXの深山です。今回から、これまでのDFに関する解説を参考に、よく寄せられる具体的な10の疑問点について解説していきたいと思います。初回はデータ保全に関するFAQを取り上げます。
Q1:PC、携帯電話であればどんな機種でもデータ保全(以下、保全)できるのでしょうか?
A1:PCや携帯電話が起動可能な状態であれば、理論的にはどんな機種でも保全は可能です。理論的にというのは、何かしらの基本ソフト(OS)が実行されており、ストレージやメモリ領域でアプリケーションソフトが実行出来るという状態であれば、電磁的記録媒体(HDDやSSD、NANDメモリなど)が内蔵されており、そこにデータが記録されている可能性が高いため、何らかの手段で保全することは可能だという考え方です。保全手法はDFの分類によって様々なものがあります(3.DFの概要②参照)。例えば、情報処理機器による分類で、PCなのか各種携帯端末なのかによっても異なり、外部アプリケーションを用いる手法、電磁的記録媒体を分離して専用のハードウェアで保全する手法、OSを起動して保全する手法などです。ただし、端末の完全な分解を伴う「チップオフ」の場合、端末の再利用ができなくなることに留意する必要があります(16.DF(各論)「携帯電話」参照)。
Q2:保全できないのはどんな場合でしょうか?例えば PC、携帯電話やファイルにパスワードがかけられていてもデータ保全できるのでしょうか?
まず、端末(PC、携帯電話)が物理的・電磁的に破壊されているような場合には基本的に保全できません。ただし、破壊された端末の部品の一部(携帯電話のメモリチップ等)に特殊な機材を使用することによって、部分的に保全が可能な場合もあります。PCの場合、端末が起動不可であっても破壊されていないのであれば、電磁的記録媒体(HDD、SSD等)を取り外すことで保全が可能な場合があります。PCに対する起動パスワードが施されておりそれが不明な場合も、電磁的記録媒体を取り出すことで保全が可能です。ただし、フルディスク暗号化が施されている場合は、暗号化を施したIT管理者または使用者の協力がなければ、一見保全ができたように見えても、実際には解析不可能な保全データとなってしまいます(9.データ保全にあたって重要な4つのポイント参照)。
携帯電話やスマートフォンに対するロック解除のパスワードが不明な場合は、現状ではメーカーのセキュリティ対策強化により、強制的に保全することはほぼ不可能となっていますので、チップオフによる手法で保全可能性を模索することになります。
なお、ファイルにパスワードがかけられていても保全は可能であり、保全後にデータの解析や閲覧をする段階で検討するポイントとなります。
次回以降もQ&Aを続けていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
