第一回IDF技術分科会資料に関するメモ
会社の業務ということで、8月10日に開催されたデジタル・フォレンジック研究会の第一回技術分科会でお話をさせていただきました。テーマは『フォレンジック技術を学ぶ前に知っておきたい知識』でした。資料の PDF データを後日ネットエージェントのサイトで公開する予定ですが、忘れないうちに内容をメモしておきます。
技術分科会ですので、技術的なお話がメインになるかとは思うのですが、歴史を知っておくと何かと役に立つこともあるので、過去の歴史を振り返りながら、現在のコンピュータ・フォレンジック ツールに実装されている機能を見ていこうというのが今回の趣旨でしたので、技術的な話よりも歴史や法律系の話が多かったです。
参照資料
今回の第一回技術分科会では、参考資料として平成15年度社会安全研究財団委託調査研究報告書『アメリカにおけるハイテク犯罪に対する捜査手段の法的側面』報告書(翻訳編)を、財団の許諾を得て利用させていただきました。
この資料の報告書編は Web から PDF がダウンロードできますが、司法省コンピュータ捜索・押収マニュアルを日本語訳した翻訳編は直接連絡して紙媒体で入手する必要があります。200ページ超えの資料ですので、参加者には今回のスライドで参照した部分だけを配布という形になっています。全部欲しいかたは社会安全研究財団に問い合わせれば入手できると思いますが、もう数が残ってないらしいのでひょっとすると入手困難かもしれません。*1
翻訳編の紙媒体なのですが、何を訳したのかなどの記述がなくいきなり本文から入っているのですが、報告書のP13に下記記述があります。
パトリオット法の改正を受けて捜索・差押マニュアルが、2002 年7月に改訂版が発表されている。翻訳の対象としたのは、この版である。
ということで、『Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations July 2002』の日本語訳が報告書編ということにるわけですね。<補足>
技術分科会で少し話題になったのでメモしておきます。翻訳編より古い資料になりますが、法務総合研究所が2000年に出している研究部資料 48「米国におけるコンピュータ犯罪の捜査」の巻末資料として「米国司法省 コンピュータの捜索・押収に関するガイドライン」と増補版の日本語訳が含まれています。(最新版と読み比べると面白いそうです)こちらは購入することが可能です。
http://www.moj.go.jp/HOUSO/houso09-2.html#48
*1:私的複製の範囲でコピーしてくれ!という依頼があったりしても、ページ数多いのでイヤです、社会安全研究財団へPDFデータを公開してくれるように交渉してみてください
スライド1「コンピュータフォレンジック概要」
ここでは用語定義を行ってみました。セキュリティ業界的にはフォレンジックはちょっとしたブームでもあるわけですが、各社が自社の製品を売り込むために「ぜんぜんかんけいない」ようなものまで新たな定義を作ってフォレンジックだ!と宣伝していたりします。よく米国の専門家などが日本にやってきた折に「あれのどこがそうなんだ?!」と首をかしげるという話はよく聞きますよね。
まぁ、用語の混乱が製品の売り上げにどう反映するのかわかりませんが、今回の技術部会ではいつも通り?!佐々木先生が @police に書かれた解説文を紹介させていただきました。*1
第3回セキュリティ解説
『コンピュータ・フォレンジックス』
第8回セキュリティ解説
『デジタル・フォレンジック』
コンピュータ・フォレンジックについては、もともと捜査機関など司法関係者が用いた技術だったこともあり、@police での解説文がいちばんしっくり来ていると個人的には考えています。
この辺りの歴史的経緯は、実務で実際に経験してきた方のお話を伺うのが一番面白いのですが・・・
*1:3回のタイトルには“ス”がついているが、8回では無くなった辺りに用語の混乱の歴史が現れているのではないかと個人的には勝手に考えていたりします
スライド2「事例」
捜査研究(東京法令) No.639 ハイテク犯罪の捜査 第40回ソフトウェアの捜査(採証実践編)の脚注を参照させていただき、実際に捜査機関がどのように使っているかについて簡単に触れました。
どれくらい昔から、捜査機関がコンピュータと対峙してきたのか興味があったので、翻訳編の判例で古いものを探してみました。コンピュータという文字が出てくるものとしては翻訳編のP69に以下の記述があります。
最高裁判所は、連邦刑事訴訟規則 41 条に規定された「物」にはコンピュータのデータなどの無形物も含まれる旨判示している。United Statesv. New York Tel. Co., 434 U. S. 159, 170 (1977) 参照。
1977年ってどんな OS 事情だったんだろう?!とか思い Google で検索してみると下記のページをみつけました。
マイクロコンピュータの歴史
第二回目1977から1979 初期のマイクロコンピュータ
http://www.technetjapan.com/JP/History/index2.htm
Apple Computer 社とか Microsoft 社が立ち上がった頃みたいですが、今から 28年前にはすでに令状の対象にコンピュータがあったんですね。*1最高裁ってことは恐らくその数年前からあったんでしょうから、最初にコンピュータが捜査の対象になったのは何年ごろだったのか興味あるところです。最初に押収されたコンピュータが何だったのかご存知かたぜひ教えてください(笑)
日本でも最初に押収(捜査?)されたコンピュータってのがあったと思うのですが、何年ごろで物はなんだったんでしょうね?*2
1977年当時にコンピュータ・フォレンジックという用語があったのかは謎ですが、翻訳編の判例的には1977年から少したって、1993年のSJG事件以降かなり参照されている判例が多くなってきています。
OS の進化やインターネットの普及と共に、犯罪に使われるケースが増えたのか、判例の年数と OS の年表を照らし合わせてみていくと面白いです。
*3
スライド4「コンピュータ捜査の基本戦略 P54〜55」
翻訳編のP54では、基本戦略として4つの考え方があげられています。
①特定のファイルを印刷(プリント)
②特定のファイルを複製(コピー)
③記憶装置のミラー・イメージ作成
④押収(現場から運び出す)
このうち、1と2は特定のデータだけを対象としているため、P54〜55の本文中にも書かれていますが、タイムスタンプなど失われるデータも発生します。
そこで、一般的には3か4が取られると記述があるわけですが、技術的には最近の傾向として専用ソフトウェアを利用して2を実現しようとする流れもあったりします。
従来の単なるファイルコピーでは当然アレなわけですが、商用系のコンピュータ・フォレンジック ソフトでは、2であっても失われる情報を最小限にするような仕組みを持ち始めています。これは(複製のための)停止をできないシステムが増えてきたこと、最近日本でも刑法関連で話題になっているネットワーク上にあるデータに対する扱いなどがある為だと思われます。3の記憶装置(ハードディスクとか)のイメージ作成は、記憶装置の大容量化に伴い非常に時間のかかる作業になってきています。必要な部分だけを複製したいというニーズは今後ますます増えるんでしょうね。この辺りは少し掘り下げて議論してみたいところでもあります。
この話題に関連して、参加者の方からすでに ISP などが行っているログファイルの部分的な提出などについて貴重なコメントをいただいたりしました。この話に少し関連するのですが、スライド5では「論理・物理 コピー P58〜59」ということで、ログ ファイルの提出のような、論理サイズでのデータコピーと、スラックスペースを含む物理サイズでのコピーについて少し触れました。これは図で示したので図を参照してください(笑)
いずれにせよ、コンピュータ・フォレンジック ツールであれば、論理サイズでの複製と、物理サイズでの複製の機能を一般的に持っています。
スライド7「SJG事件 P65」
常識でしょ?という噂もありますが、一応念のためスライドに入れておきました。*1
SJG事件の詳細については、Mr.IT 先生のサイトを参照いただいたほうがいいかと思います。
これに関連した書籍としては、ハッカーを追え! があります。
これのすごい(酷い)ところは色々ありますが、上記URLの「2 捜査と押収の事実関係」より引用させていただくと下記の記述があります。
また、押収時にあった162のメッセージについては、だれかこれを読み、また、削除されていた。
現在のいわゆるコンピュータ・フォレンジック ツールでは、このような事態が発生しないように、証拠への書き込みはできないようになっています。*2
ただ、システム管理者の方とかは SJG 事件なんてほとんど知らないので、シークレットサービスと同じ過ちを起こす危険性はありますねので注意してくださいね。
スライド8「証拠の解析 P92〜93」
翻訳編のP93から引用させていただきますが、下記の記述があります。
犯罪者は「意図的に偽りの名前を付し、また、犯罪と関係のない名前のディレクトリの中に犯罪に関連したファイルを埋め込もうと」する可能性があるため、コンピュータファイルの捜索を実施している捜査官はいかなるファイル名や拡張子についてもそれを精確なものとして受け取ることまで要求されてはおらず、それにしたがって捜索を限定することも要求されていない」
隠されたファイルや名前・拡張子が変更されたファイルを捜索する場合のお話だったりするわけですが、現在主流のコンピュータ・フォレンジックツールはこの辺りの調査が簡単に実現できるような仕組みを実装しています。
とはいえ、その昔からアンチ・フォレンジック的な手法がいろいろとあったんだなぁというのは(語弊があるかもしれませんが)面白いですね。
今年のデフコン BlackHat 2005 でも、Anti-Forensics 関連の発表がいくつかあったようですし、日本でもアンチ・フォレンジックな話題はあったりしますので、対アンチ・フォレンジックについてもちょっと考えないといけないんでしょうかね。
Catch Me If You Can: Exploiting Encase, Microsoft, Computer Associates, and the rest of the bunch…
http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-foster-liu-update.pdf
http://www.metasploit.com/projects/antiforensics/The Art of Defiling: Defeating Forensic Analysis
http://www.blackhat.com/presentations/bh-usa-05/bh-us-05-grugq.pdf
とはいえ、現状はアンチ・フォレンジックにいくまえに文字コードで調査側がこける可能性がありますから重要な課題としては文字コードのほうかなと個人的には感じていたりします。
スライド12「稼働中システムへの対応 P69」
翻訳編の中では、特に稼動中(ライブ)システムへの対応が書かれているわけではないのですが、興味深い記述として以下があります。翻訳編 P69より引用
コンピュータデータの捜索を地域的な理由から限定することは、法執行に問題をもたらす。というのも、コンピュータネットワークに保存されたコンピュータデータは世界中のどこにでも存在しうるからである。
どこにでもあるので、どこからどこまで取得していいのか?という問題も出てくるようで、参加者の(ご専門な)方々から色々とコメントをいただき(個人的にも)とても勉強になりました。
法律的なところは門外漢なのですが、技術的にもいろいろと難しい問題を抱えている部分ですやね。個人的には非常に興味を持っている部分ですので、どこかでもう少し突っ込んだ議論ができると面白いのではないかと考えています。
まとめ
当日はいろいろと無駄話もしていた気がしますが、コンピュータ・フォレンジックはけっこう昔から使われている技術です。とはいえ、急速に発展したのは最近のことですから、商用ツールであってもまだまだな面もあったりします。
捜査機関で使われてきたこともあり、何のため機能だろ?とか思う場合もあるわけですが、歴史を調べると「なるほど〜あの機能はこのためか!?」などと思うことも多いので、ぜひ翻訳編は一読されることをお勧めします。
商用製品を購入しなくとも、オープンソースの The Sleuth Kit(TSK) でも十分基本機能を理解できます。ただ、歴史っていう観点では、やはり TCT を知った上で TSK に入るのが正しいような気がする今日この頃です。
もちろん、歴史なんぞ知らなくても技術的に不便はありませんが、背景を知っているほうが面白いってことで。
