2021.02.10
- デジタル・フォレンジックス
24.デジタル・フォレンジックスFAQ⑤
LXの深山です。前回に引き続き現場で寄せられたFAQを解説していきます。
Q8 保全したPCや携帯電話から関連するデータを抽出するためには、どんな検索方法があるのでしょうか?
PC及びスマートフォン等から保全した電子データは、それぞれデータ形式や記録方法が異なるのですが、保全後に一旦PCで取り扱える形式に変換した後は、どちらのデータも同等に取り扱うことができます。関連データを抽出するためには、主に2種類の手法があり、「タイムライン分析」と「内容分析」に大別されます。
Contents
①タイムライン分析
タイムライン分析とは、ログやファイルに残っているタイムスタンプを基本情報としてデータを時系列に並べ替えることで、その端末を使用した人の行動やその端末に対してどのようなマルウェア攻撃が行われたのかといった事を分析する手法です。例えば、1台のPCを解析してタイムライン分析をしますと、まず起動時間やシャットダウン時間が分かり、起動している間にどのようなWebにアクセスしたか、どのようなファイルを更新したか、どのようなメールを送受信したのかが一目瞭然となります。これによって「端末使用者の行動調査」が行えます。
また、外部からの通信ログやソフトウェアのインストール履歴、データの削除履歴を調べることで、マルウェアに感染した端末がどこからどのような侵害を受けたのかといった「マルウェア感染調査」を実施することもできます。外付けUSBメモリ・HDDの接続履歴やWebストレージへのアクセス履歴をタイムライン分析することで、「情報漏洩調査」に利用することも可能です。具体的には、「イベントログ(起動やシャットダウン等)」「レジストリ(デバイス接続履歴等)」「プログラムの実行履歴」「インターネット接続履歴」「検索履歴」「ファイル作成・更新・削除履歴」「メールの送受信履歴」といったデータを活用します。
組み合わせタイムライン分析
iPhoneやAndroidといったスマートフォンの場合には、LINEやSMS、ライフログといった情報の組み合わせでタイムライン分析を行うことが多いです。また、PC及びスマホなど複数の端末を組み合わせて一気に一覧化して分析する場合もあります。タイムライン分析は、DF専用ソフトウェアでは標準の機能として備わっていることが多く、メニューのタイムライン分析ボタンをクリックすることにより、時期の絞り込みや対象ログの種類などをフィルタすることで利用することができます。最近では、過労死に関連する事件や刑事事件の訴訟支援に関するスマートフォン解析の依頼も増えており、ライフログやGPS情報が取得できた場合には、重要な証拠として利用されることもあります。
②内容分析
内容分析とは、主に「キーワード検索」を指すのですが、ファイルや電子メールをはじめとするドキュメントの内容そのものに着目したアプローチです。キーワード検索を実施するための大前提として、文字コードが間違っていないことを確認する必要があります。なぜなら本来データとは単なる0と1の羅列であり、個々のファイルやメールを日本語として検索可能とするためには、何十種もある文字コードを適切に適用して日本語として認識する(DFソフト上でデータベース化する)必要があるためです。文字コードに関する「データ前処理」が適切に実施されれば、様々な検索手法が利用できることになります。
具体的な検索手法としては、「ブーリアン検索」「正規表現検索」「近傍検索」が代表的です。「ブーリアン検索」とは、一般的によく利用されているGoogle検索などと同様に、検索キーワードを”AND”、”OR”、”NOT”の結合演算子で結合し、演算子による検索条件を適用した検索手法です。数学の演算子と同様に括弧を組み合わせてグループ化した検索も可能です。
正規表現検索
「正規表現検索」とは、文字列の集合体を特定のパターンで表す表現方法を使った検索方法です。例えば、「*決算報告*.pdf」というキーワードで検索すると、「第20期決算報告.pdf」「2020年第3四半期決算報告.pdf」といったファイルをヒットさせることができます。また、クレジットカード番号やIPアドレス、メールアドレス等の特定のパターンを抽出することができます。
近傍検索
「近傍検索」は、複数のキーワードの出現間隔を、検索条件に適用した検索手法です。例えば、\\\接待\\\ \\\抜く\\\~5 OR \\\接待\\\ \\\預かる\\\~5 という条件であれば、「接待」という言葉と「抜く」という言葉が5文字以内に出現するか、または「接待」と「預かる」という言葉が5文字以内に出現するメールを抽出することが出来ます。この手法は、条件が厳密であればあるほどヒット数が減ってしまい、必要なデータが抽出出来なくなってしまうし、条件を広く緩めにしてしまうと、ヒット数が膨大になってしまうという問題点があり、実務者には、案件ごとに柔軟にキーワードを提案できるノウハウと経験が求められます。
内容分析の手法が適した調査事案としては、「文書改ざん調査」「第三者委員会における文書調査」「米国民事訴訟におけるeディスカバリー対応」等が挙げられます。特にeディスカバリー対応ではありとあらゆる関係者の電子データが対象とされてしまうため、日本で行われる第三者委員会調査等の比ではなく、対象データが莫大になりますので、専用ソフトによる自動解析やAIも駆使した効率的な内容分析が必須となります。
参考:
・佐々木良一編著他『デジタル・フォレンジックの基礎と実践』東京電機大学出版局、2017年
・安冨潔・上原哲太郎編著 特定非営利活動法人デジタル・フォレンジック研究会著『基礎から学ぶデジタル・フォレンジック』日科技連、2019年
次回以降も引き続きFAQの解説を進めていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
リスクマネジメントに関連するサービス
よく読まれている記事
サービスカテゴリー
- デジタル・フォレンジックス
LXの深山です。前回に引き続き現場で寄せられたFAQを解説していきます。
Q8 保全したPCや携帯電話から関連するデータを抽出するためには、どんな検索方法があるのでしょうか?
PC及びスマートフォン等から保全した電子データは、それぞれデータ形式や記録方法が異なるのですが、保全後に一旦PCで取り扱える形式に変換した後は、どちらのデータも同等に取り扱うことができます。関連データを抽出するためには、主に2種類の手法があり、「タイムライン分析」と「内容分析」に大別されます。
Contents
①タイムライン分析
タイムライン分析とは、ログやファイルに残っているタイムスタンプを基本情報としてデータを時系列に並べ替えることで、その端末を使用した人の行動やその端末に対してどのようなマルウェア攻撃が行われたのかといった事を分析する手法です。例えば、1台のPCを解析してタイムライン分析をしますと、まず起動時間やシャットダウン時間が分かり、起動している間にどのようなWebにアクセスしたか、どのようなファイルを更新したか、どのようなメールを送受信したのかが一目瞭然となります。これによって「端末使用者の行動調査」が行えます。
また、外部からの通信ログやソフトウェアのインストール履歴、データの削除履歴を調べることで、マルウェアに感染した端末がどこからどのような侵害を受けたのかといった「マルウェア感染調査」を実施することもできます。外付けUSBメモリ・HDDの接続履歴やWebストレージへのアクセス履歴をタイムライン分析することで、「情報漏洩調査」に利用することも可能です。具体的には、「イベントログ(起動やシャットダウン等)」「レジストリ(デバイス接続履歴等)」「プログラムの実行履歴」「インターネット接続履歴」「検索履歴」「ファイル作成・更新・削除履歴」「メールの送受信履歴」といったデータを活用します。
組み合わせタイムライン分析
iPhoneやAndroidといったスマートフォンの場合には、LINEやSMS、ライフログといった情報の組み合わせでタイムライン分析を行うことが多いです。また、PC及びスマホなど複数の端末を組み合わせて一気に一覧化して分析する場合もあります。タイムライン分析は、DF専用ソフトウェアでは標準の機能として備わっていることが多く、メニューのタイムライン分析ボタンをクリックすることにより、時期の絞り込みや対象ログの種類などをフィルタすることで利用することができます。最近では、過労死に関連する事件や刑事事件の訴訟支援に関するスマートフォン解析の依頼も増えており、ライフログやGPS情報が取得できた場合には、重要な証拠として利用されることもあります。
②内容分析
内容分析とは、主に「キーワード検索」を指すのですが、ファイルや電子メールをはじめとするドキュメントの内容そのものに着目したアプローチです。キーワード検索を実施するための大前提として、文字コードが間違っていないことを確認する必要があります。なぜなら本来データとは単なる0と1の羅列であり、個々のファイルやメールを日本語として検索可能とするためには、何十種もある文字コードを適切に適用して日本語として認識する(DFソフト上でデータベース化する)必要があるためです。文字コードに関する「データ前処理」が適切に実施されれば、様々な検索手法が利用できることになります。
具体的な検索手法としては、「ブーリアン検索」「正規表現検索」「近傍検索」が代表的です。「ブーリアン検索」とは、一般的によく利用されているGoogle検索などと同様に、検索キーワードを”AND”、”OR”、”NOT”の結合演算子で結合し、演算子による検索条件を適用した検索手法です。数学の演算子と同様に括弧を組み合わせてグループ化した検索も可能です。
正規表現検索
「正規表現検索」とは、文字列の集合体を特定のパターンで表す表現方法を使った検索方法です。例えば、「*決算報告*.pdf」というキーワードで検索すると、「第20期決算報告.pdf」「2020年第3四半期決算報告.pdf」といったファイルをヒットさせることができます。また、クレジットカード番号やIPアドレス、メールアドレス等の特定のパターンを抽出することができます。
近傍検索
「近傍検索」は、複数のキーワードの出現間隔を、検索条件に適用した検索手法です。例えば、\\\接待\\\ \\\抜く\\\~5 OR \\\接待\\\ \\\預かる\\\~5 という条件であれば、「接待」という言葉と「抜く」という言葉が5文字以内に出現するか、または「接待」と「預かる」という言葉が5文字以内に出現するメールを抽出することが出来ます。この手法は、条件が厳密であればあるほどヒット数が減ってしまい、必要なデータが抽出出来なくなってしまうし、条件を広く緩めにしてしまうと、ヒット数が膨大になってしまうという問題点があり、実務者には、案件ごとに柔軟にキーワードを提案できるノウハウと経験が求められます。
内容分析の手法が適した調査事案としては、「文書改ざん調査」「第三者委員会における文書調査」「米国民事訴訟におけるeディスカバリー対応」等が挙げられます。特にeディスカバリー対応ではありとあらゆる関係者の電子データが対象とされてしまうため、日本で行われる第三者委員会調査等の比ではなく、対象データが莫大になりますので、専用ソフトによる自動解析やAIも駆使した効率的な内容分析が必須となります。
参考:
・佐々木良一編著他『デジタル・フォレンジックの基礎と実践』東京電機大学出版局、2017年
・安冨潔・上原哲太郎編著 特定非営利活動法人デジタル・フォレンジック研究会著『基礎から学ぶデジタル・フォレンジック』日科技連、2019年
次回以降も引き続きFAQの解説を進めていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
