リーガレックス合同会社

コラム

コラム一覧21.デジタル・フォレンジックスFAQ②

21.デジタル・フォレンジックスFAQ②

2020.09.16

LXの深山です。前回に引き続きFAQを解説していきます。

Q3:リモートでデータ保全することはできるでしょうか?

ケースバイケースですが、リモートで保全可能な場合があります。まず保全対象を分類しますと、オンプレミス端末(通常の物理的なPC、携帯電話、サーバ等)とクラウドデータ(Microsoft 365、G-Suite、Dropbox等)に大きく分類されます。

オンプレミス端末では、データ改変を避けるためにネットワークに接続して保全するということは行えないため、基本的にはリモートでのデータ保全は不可能です。そもそも、データ保全の目的はデータの改変を防ぐことであり、データ保全時にはOSを起動させることはなく、結果的にネットワークに接続することも出来ず、リモート保全も実施できないということになります。どうしても現地でのデータ保全ができないという場合には、DFベンダー(デジタル・フォレンジックス業務を実施できる事業者、IDF会員企業等)に保全対象端末を送付して保全する方法があり、オンサイトでの保全と同等の作業が実現できることがメリットとなります。

また、昨今急激に増えているクラウドデータの場合、アクセスが許可された条件下であれば、どこからでもデータにアクセスしてリモート保全ができます。この場合、保全後のクラウド上のデータは常に改変されてしまうため、あくまで保全時点の原本同一性のみを担保するという意味での保全となります。また、ごみ箱領域以外のデータ復元はできません。

質問の趣旨からは少しそれますが、現地のIT担当者や調査担当者を介して遠隔で保全を行うことはあります。(10.データ保全のタイミングと実施方法参照)IT担当者が保全を実施する方法としては、①DFベンダーが販売している保全専用ハードウェアを利用する方法、②DFベンダーからFTK Imager Lite等の保全ソフトウェア及びマニュアルを送付しDF専門家の指示に従って保全する方法、などがあります。①はややコストがかかりますが、操作手順としては簡易なものが多く、保全作業の正確性も保全専用ツールのベンダーによって担保される点がメリットです。②は保全作業の正確性(14.DF(各論)「COC」参照)は担保できない(IT管理者の作業次第)のですが、コストは低く済む可能性が高いです。

Q4:どんなファイル、メールやメッセンジャーアプリでも復元できるのでしょうか?

あらゆるアプリについて復元が出来るわけではありません。あくまで、メジャーなファイル形式やアプリ(Word、Excel、PowerPoint、Outlook、Thunderbird、等々)のデータやログを、PCの場合はHDDの削除済みデータ領域から、スマートフォンであれば削除フラグがあるデータベースのレコードから復元するというアプローチが原則となります。よって、SSDなどフラッシュメモリをベースとしたストレージからは復元が難しいケースが多いです。また、そもそもWebメール(Gmail等)や削除データを残さない仕様となっているメッセンジャーアプリ(Telegram等)は復元が困難です。(7.デジタル・フォレンジックス(各論)「Webメール・Messenger」参照)

今後も、引き続きFAQを解説していきたいと思います。