デジタルフォレンジック？（400号）

先日から騒動となっているフジテレビの第三者委員会の報告の中に「デジタルフォレンジック」という言葉が出てきたそうです。

確かに、デジタルフォレンジックなんて言葉は一般的ではありません。

今回は、デジタルフォレンジックの基本的な仕組みについてお話します。

なお、筆者は極端に芸能情報に疎いので、フジテレビの件については触れていません。


1. デジタルフォレンジック

digital forensics という言葉は元々FBIが使い始めた用語だそうで、法科学（forensic science）の一分野として、コンピュータ犯罪の捜査手法を指すものだったようです。

現在では、コンピュータに限らず、スマホなどのデジタル機器の調査もフォレンジックの対象となっています。
フォレジンックの技法を用いてコンピュータ内部を詳しく調べることで、通常では見つからない情報や、証拠隠滅の痕跡を発見することができるのです。
フォレンジックの技法は、今やマルウェア（ウイルスなど悪意を持つソフトウェアの総称）の調査では欠かせないものとなっています。

一般的に違法行為を行う場合は、その証拠をできるだけ隠匿しようとします。
その代表的な方法がデータ削除です。

デジタルフォレンジックの技法を使うことで、削除したはずのデータを復元できるなど、犯罪の証拠を見つけ出すことができるのです。


2. データを削除するということ

ですが、データを削除したにも関わらず復元ができるというのはどういうことでしょうか？
デジタルデータなのですから、削除すればきれいさっぱりなくなって復元なんてできそうにないようにも思えます。

実は、デジタルデータって消したつもりでも意外に残るものなんです。

ここでいう「残る」には２つの意味があります。

一つは消したつもりでもデータ自体は消さないことがよくあるという点、もう一つは消去したつもりでも微細な信号として残っているというパターンです。

前者のデータ自体を消さない、について読者の中にもご存じの方がおられることでしょう。
もう一つの微細な信号の話はこれ自体面白い話なんですが、デジタルフォレンジックでここまでやるケースはかなり限られるため、今回は割愛します。

WindowsでもMacOSでも、通常はファイルを削除すると、ゴミ箱に入ります。
そして「ゴミ箱を空にする」を選ぶと本当にファイルがなくなってしまう、という仕組みです。

ところがですね、実はゴミ箱を空にするを実行しても、そのデータの保管場所に関する情報は消えますが、データそのものは消えません。
これはフォレンジックのための仕組みではありません。単に必然性がないからしていないだけです。

コンピュータ内のデータは、おおむねインデックス（索引）とデータ本体に分けて保管します。コンピュータ内のデータ量は大量ですから、インデックスがないと目的のデータにたどり着くのが大変です。

例えば小説の中での主人公の特定のセリフを探すのは大変ですよね。かなり丁寧にページを繰らないと見つけられません。コンピュータのデータも同じです。イチから探していては性能を上げられませんから、インデックス作ってそれを頼りにデータを探すのですね。

だからインデックスを消せば、データは残っていても、そのデータへのアクセス方法がないですから、データもないことになるというわけです。

ゴミ箱を空にした後でもファイルを復元できるツールってありますよね。あれはデータを復活させているのではなく、データのありかを探して、逆にインデックスを復活させることで実現しています。


3. フォレンジックはサルベージ技術

というわけで、フォレンジックというのはコンピュータ内をサルベージして、データを復元する技術だと言えます。
上述のように、データというのはコンピュータ内の様々な場所に点在する形になります。その中で、どれとどれが関係のあるデータか？といったことを調べる作業がデジタルフォレンジックになるわけです。

言ってみれば、シュレッダーにかけてバラバラになったパーツを元の紙の状態に復元する技術と言えます。

シュレッダーで粉々にした小さな紙片を手作業で並べ直すにはとてつもない労力がかかります。だから今も情報廃棄の手段として使われています。

ですが、コンピュータ内のデータは人手ではなくコンピュータ自身に調べさせることができます。だから、大量のデータであっても現実的な時間で「本来はどんなインデックス（索引）があったのか？」とかなりの精度で調べることができます。


4. フォレンジックは突合技術でもある

デジタルフォレンジックは複数の機器の情報を突合させることでさらに精度を上げることができます。

仮にデータ自体が本当に廃棄されていて、調査対象の機器に残っていない場合も、まだ復元の余地が残っています。
例えば、ネットワーク越しに送受信されたデータなら、双方の通信履歴から通信内容を復元できる場合があります。

通信を行った場合、リクエストを受けたサーバ側はログを残します。そのログを見れば、どのようなリクエストが来たのかを知ることができる場合があります。

システムによってログの採取レベルはまちまちですが、多くの場合、利用者の操作履歴は全てを保管されます。
これはバグの原因調査、利用者からの問い合わせ対応など様々な目的に利用されます。

その目的からして当然なんですが、操作ログは全てを残します。
仮に利用者が何らかの発言をしてそれを取り消した場合、最初に発言をしたというログ、次にそれを取り消したというログの２つが記録されます。
ログは例えば１年などの期間保管され、一部が欠落することはまずありません。

このようなログは送受信を行う多くのサーバで保管されていますから、どの日のどの時刻に、どの端末からどんな経路を経てどのサーバにどんな操作の依頼があったかというのは、かなりの確率で洗い出せます。


5. フォレンジッは魔法ではない

このように、デジタルフォレンジックというのは証拠隠滅したい側にとっては非常にやっかいな技術です。

とはいえ、その実態はデータ解析や通信内容の突合といった恐ろしく地道な作業を積み重ねることでようやく実現できるものです。

これは現実の犯罪捜査と同様ですので、フォレンジックを使えば必ず全てが明らかになるといった魔法ではありません。

例えば、以前にもお話したダークウェブへのアクセスに利用されるtor（トーア）のようなツールを利用すると、フォレンジックによる追跡も極めて難しいのが実際です。

また、マルウェア（ウイルスなど悪意のあるソフトウェアの総称）の中にはフォレンジック対策として、証拠隠滅を計る技法も存在しています。
犯罪者側との戦いはその意味で、「いたちごっこ」とならざるを得ないのが現実です。


6. まとめ

デジタルフォレンジックという捜査手法があります。

これはコンピュータなどの情報機器の内部解析によって、その機器で何が行われたかを詳しく調べるための技術です。

コンピュータ内部には、いろんな形で情報が残っています。利用者は削除したつもりで、表面的にはなくなっているかのように見えていても、細かく調査や分析を行うことで消したはずのデータが偶然に壊れずに残ったまま見つかるケースもあります。

そのため、フォレンジックの対象となる機器は極めて繊細な取り扱いが求められます。

例えば、マルウェア（ウイルスなど）に侵されたコンピュータのフォレンジックを行う場合は、電源を落とすのはもちろん、アプリの起動も、ネットワークからの切断もしないように細心の注意を払って取り扱われます。
こういった環境変化を検出すると、マルウェアが動作を停止したり、自分自身を抹消したりという行動にでる場合もあるからです。

このような繊細なフォレンジックの調査を行える技術者というのは、そう多くありません。かなりの特殊技能を持った貴重な存在だと言えます。

日頃から「穴だらけのザル」を自任する筆者には、全く向いていないことだけは間違いありません。（笑）

今回は、デジタルフォレンジックについてお話をしました。
次回もお楽しみに。


7. おまけ

「がんばりすぎないセキュリティ」は本号で400号を迎えることとなりました。
2017年の3月に配信を始めて8年を過ぎましたが、今もネタが尽きません。

それだけ情報セキュリティ対策が重視されている、言い換えれば攻撃手法も進化し続けているわけです。

少しでも旬な情報を皆様にお届けすべく、筆者も精進を重ねてまいります。
今後も「がんばりすぎないセキュリティ」の変わらぬご愛読をお願いいたします。

（本稿は 2025年4月に作成しました）