デジタルフォレンジック技術で「ワイプされた」コンピュータから学べること

By

Category: Unit 42

Tags: , , , ,

Learn From a Wiped Computer with Digital Forensics

This post is also available in: English (英語)

概要

「コンピュータからデータを消去することは紙の文書を焼くことに等しい。消されたものは消されたものだ。」と安易に考えてしまうことはよくあります。ですが本当にそうでしょうか。

犯罪行為の痕跡を隠すために個人がデータを本当に削除したいと考えるシナリオは少なくありません。そしてべつの個人は、おそらくは証拠の痕跡をつなぎ合わせるために、そうしたデータを復旧したいと考えています。

そこで次のシナリオを考えてみましょう。

ある従業員が退職して似た製品を扱う競合他社に入社したとします。この元勤務先はこの従業員が退職前に、プロプラエタリな情報を競合他社と共有したのではないかと考えています。ただし、従業員はラップトップからユーザーデータを「ワイプ」して返却しました。この状況で、コンピュータがどのように使用されていたかを元勤務先が知ることはできるのでしょうか。

この問いかけのポイントは、「デジタル証拠は、効果的かつ完全に削除ないし難読化することができるのか」という点です。たしかに単純な削除ではなくデータを本当に安全に削除したりワイプするツールは存在していますし、異論をお持ちの方もおられるでしょうが、「データを単に『削除』しただけでは、必ずしもデータが本当になくなったとは限らない」ということが、このところの共通認識になってきているのではないかと思われます。

さらに状況をややこしくしているのがこの「ワイプ」という用語の使われかたです。この単語はさまざまな意味で使われることがあります。たとえば、単純な削除もドライブの再フォーマットもデータを何度も安全に上書きして本当に回復できない場合も「ワイプ」と呼ばれてしまうことがあります。

そこで以下では、デジタルフォレンジックを使用してデータがワイプされた範囲を特定し、デジタル証拠を回復する方法について解説します。

デジタルフォレンジックを使用してワイプされたデータを回復する

デジタルフォレンジック検査官として私たちは「コンピュータが『ワイプ』された」と報告されても、つねにもうすこし深く掘り下げるべきであることを学んできました。ワイプがいつどのように発生したのかを確認するだけでも、分析に使える有用な答えや情報が見つかることが少なくありません。たいていは、削除されたデータやそのコンピュータがどのように使われていたのかのヒントとなる追加アクティビティの証拠を復元できます。

最も単純な形態のデジタルフォレンジックは、デジタルメディアに保存されたデータの収集、保存、検査、分析などです。デジタルフォレンジック検査官は高信頼・高再現性・低侵襲のフォレンジック手法を使用します。そうすることで、すべてのアクションやプロセスを法廷での使用に耐えうるものにしているのです。

ユーザーがコンピュータに対して実行するアクションはすべて、なんらかのデジタルフットプリント(痕跡)を残します。デジタルフォレンジック専門家は、さまざまなツールやテクニックを駆使して物理レベル・ディスクレベルでデータを確認することで、そうしたフットプリントを明らかにしています。たとえばフォレンジック分析ではユーザーが喫茶店のWiFiに接続した時間を正確に特定したり、2人の同僚の間でかわされたチャットの履歴を明らかにしたり、過去に接続された外部ストレージデバイスを特定したりすることができます。フォレンジックはストーリーを組み立てます−−−とくにそのユーザーが痕跡を隠したり、データを削除したりする手順を実行した場合に、そのユーザーがデバイスをどのように操作したかをものがたるのです。デジタル世界では「消されたものは消されたもの」ではないことがよくあります。

データリカバリオペレーションにおけるデジタルフォレンジックの例

デジタルフォレンジックがどのようにストーリーを組み立てて悪意のある行為を暴き出していくのか、私たちが遭遇した2つの例から見ていきましょう。

例1: データリカバリで知財窃盗と念入りな隠蔽工作が明らかに

上記の概要欄で示したシナリオでは、デジタルフォレンジックにより、知的財産の窃取とデータの破壊が最終的に明らかになりました。フォレンジックの専門家は、過去に削除されたファイルの断片などの重要なフォレンジック上のアーティファクト(痕跡)を元従業員のラップトップから復元しました。同専門家は主な調査結果として、この元従業員のラップトップが競合他社(元従業員の新しい雇用主)のネットワークに接続されていた間に、コードレビュー、展開計画などのプロプラエタリな情報が、サムドライブからアクセスされていた証拠を特定しました 。

最も不利な開示となったのは、この元従業員がファイルを大量に削除して念入りな隠蔽工作をはかっていた様子がデジタルフォレンジックから明るみに出たことでしょう。ラップトップを元雇用主に返却するわずか数日前、この元従業員はリモートアクセスツールをインストールし、共謀者とみられる競合他社の外部委託先技術者のリモートロケーションに解決されたIPアドレスからの着信接続を受け入れていました。そしてこの着信接続成功の数秒後、ラップトップ上では大量の削除処理が行われました。デジタルフォレンジックが行われていなければ、この元雇用主が元従業員と外部委託技術者の行った違法行為について知ることはなかったでしょう。

例2: デジタルフォレンジックがファイルの窃取を証明

またべつの事件では、ある会社が、元従業員が退職直前に知的財産を盗んだことを疑っていはいたものの、それを証明する方法がありませんでした。この退職者のMacラップトップは、最初に見た段階では、ほとんどのファイルやフォルダが削除されていました。ですが、デジタルフォレンジックを行ってみると、この元従業員が仕事用ラップトップに個人のiCloudアカウントを接続し、プロプラエタリなデータを含む複数のフォルダを同期して、退職の数日前にこのフォルダをラップトップから削除していたことが証明されました。この専門家は、これらのフォルダの履歴やiCloud同期のおおよその時間、その後のラップトップからの削除を捕捉したフォレンジックアーティファクトとシ​​ステムログを分析しました。フォレンジック上の証拠からは、削除されたのとほぼ同時にデータが個人のタイムカプセルにバックアップされたことが明らかになりました。これらの調査結果は、この元従業員の個人用デバイス検査を要求する同社弁護士の法的根拠を裏付けることになりました。

結論

これら2つの例が示すように、データがなくなったように見えても、本当になくなっているとは限りません。デジタルフォレンジックは「犯人は雇用主から情報を盗み、データを破壊してその痕跡の隠蔽工作を行った」というストーリーを再現してみせました。どちらの事例でも彼らはフォレンジック専門家がフットプリントをたどって真相を解明できることに気づいていなかったのかもしれません。

Unit 42のインシデントレスポンスチームは、デジタルフォレンジック分析調査を必要とする可能性のあるデータ侵害その他の事例を支援しています。