デジタル・フォレンジックの最新動向（2024年4月27日情洛会総会特別講演スライド）

© Ritsumeikan Trust All Rights Reserved
立命館大学情報理工学部上原哲太郎
（デジタル・フォレンジック研究会会長）
デジタル・フォレンジックの
最新動向

© Ritsumeikan Trust All Rights Reserved 2
デジタル・フォレンジック？
•Digital Forensics / Computer Forensics
•forensics (noun):
1: the art or study of argumentative discourse
2: the application of scientific knowledge to legal
problems; especially : scientific analysis of
physical evidence (as from a crime scene)
(Merriam-Websterによる)

日本で話題になったのはこれ…

東芝第三者報告書別紙1

デジタル・フォレンジックとは何か
•Forensic Medicine＝法医学
Forensic Chemistry=法化学
Digital Forensics＝情報法科学？
•司法機関にとっては犯罪が疑われる際にそれに使われた機器や
データを『鑑識』して『電磁的証拠(e-Evidence)』を探し出し
分析する技術の総称
•民間では以下に関する「デジタル技術」の総称
• 組織内不正調査
• システム事故やサイバー攻撃時の原因調査
• その予防策としての『記録保持』を含むことも

デジタル・フォレンジック研究会の定義
•インシデントレスポンス
• コンピュータやネットワーク等の資源及び環境の不正使用、サービス
妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ
至るための行為（事象）等への対応等を言う。
•デジタル・フォレンジック
• インシデントレスポンスや法的紛争・訴訟に際し、電磁的記録の証拠
保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等に
ついての分析・情報収集等を行う一連の科学的調査手法・技術を言う。
• 但し最近はかなり広い意味で使われているように思う

何のために使われているか
•刑事事件のため
•犯人を捜し犯罪を立証するため
•刑事事件以外のため
•民事訴訟対応のため（特に欧米で）
•企業コンプライアンスのため
• IT内部統制の健全性を確保する道具として
• 内部不正調査の道具として
•システム管理のため
• インシデンスレスポンスの武器として
• 事故なのか？悪意ある攻撃なのか？原因は？
企業の関心

01011101
10101101
111101・・・
被害現場
鑑識警察
検察
裁判官
被疑者
？？
Forensically
sounds?
犯罪・不正
情報解析警察
検察

インシデントレスポンスへの備えとして・・・
平時の対応
緊急時の対応
情報システム
管理者
システム管理者
又は外部の専門家
分析・
整理
された
証拠
管理者や
専門家へ：
原因究明と
再発防止
被害拡大抑止
弁護士等へ：
法的交渉や
民事訴訟
捜査機関へ：
刑事訴訟
信頼できる認証基盤の確立
通信や操作記録の収集・保管
記録やログの消去改竄抑止
ログや記録の定常的検査に
よるインシデント発見など…
電磁的証拠の保全と収集・解析
収集過程と解析結果の文書化
証拠改竄・毀損の有無の確認・立証
証拠保全後のシステムの速やかな回復
など…
法的対応
従来のインシデント
レスポンス
事件・事故の
発生
インシデントや訴訟係争の
発生／情報漏えい・
内部不正の発覚など
何か起きたと
きに備えて
証拠が消える前に！
消される前に！

NIST SP800-86に定める
デジタル・フォレンジックのフロー
この「どこか」に関わる技術は全てDFである
収集
Collect
検査
Examine
分析
Analyze
報告
Report
データの
特定(Identify)
保全
(Preserve)
取得(Acquire)
暗号化データの復号
圧縮データの展開
収集データの選別

学術的にはこれが最初
FBIの学術誌
Forensic Science Communications
2000年10月号に
Recovering and Examining Computer
Forensic Evidenceという論文が載る

DFの祖 Mark Polliitt氏
https://www.ucf.edu/pegasus/training-cybersleuths/
https://inria.hal.science/hal-01060606/document

Digital Forensicsの歴史
•IFIP WG11.9 on Digital Forensicsが2004に設立
•同年デジタル・フォレンジック研究会（IDF)設立
• 初代会長：辻井重男先生
• その後、佐々木良一先生、安冨潔先生と継がれ、私が4代目
•2018年経産省「情報セキュリティサービス基準」公開
• 「情報セキュリティ監査」「脆弱性診断」「デジタル・フォレンジック」「セキュリ
ティ監視・運用」の4分野
•2020年「デジタル・フォレンジック資格認定(CDFP)」
試験開始
• 現在「基礎資格」「実務者資格」の認定が行われている

2018年クローズアップ現代

典型的なデジタル・フォレンジック
削除ファイル復元
残ったファイルの分析
ログなどの記録の分析
改ざん有無の評価
調査報告書の作成

デジタルフォレンジック研究会
「証拠保全ガイドライン」
•第9版が公表
•研究会Webページから
ダウンロード可能
•ファーストレスポンダ
＝第一発見者が
「初動」で利用する前提
•あくまで
民間ガイドラインだが…

何が書いてあるか？
• ２. 用語の定義
• ３. インシデント発生前の準備
3-1. 活動プロセス及び体制の確立
3-2. 情報収集、情報共有及び分析
3-3. 資器材等の選定及び準備
3-4. 資器材等の使いこなし
• ４. インシデント発生直後の対応
4-1. 初動対応及び証拠保全が未実施の場合
4-2. 初動対応及び証拠保全が着手済みである場合
4-3. 初動対応及び証拠保全を円滑に進めるための活動
• ５. 対象物の収集・取得・保全
5-1. 対象物の状態の把握
5-2. 収集・取得・保全するための対象物の処置
5-3. その他、収集・取得・保全する必要性がある対象物
６. 証拠保全の機器
6-1. 複製先に用いる媒体（記憶装置）
6-2. 証拠保全機器に求められる機能
6-3. 証拠保全ツールに関する要件
6-4. その他、証拠保全に必要な機器・機材・施策の準備
• ７. 証拠保全の実施
7-1. 代替機・代替ツール・代替手段の準備
7-2. 立会人等
7-3. 同一性の検証
7-4. 証拠保全の正確性を担保する作業内容の
記録
7-5. 複製先の取扱い
7-6. ネットワークログからの証拠データ抽出
7-7. ファスト・フォレンジックによる証拠
データ抽出
• ８. アウトソーシングサービスの証拠保全
8-1. 事前に行う準備
8-2. インシデント発生直後の対応
8-3. 保全方法及び作業手順の検討
8-4. 証拠作業にあたっての留意点
8-5. アカウント所有者の同意
8-6. 収集・取得・保全
• 9. コミュニケーションツール
9-1. 事前に行う準備
• 9-2. インシデント発生直後の対応
9-3. 保全方法および作業手順の検討
9-4. その他

機械学習技術を用いた文書トリアージ
１００万文書
サンプリング
1000文書
関
連
あ
り
関
連
な
し
専門家による分類
自動分類器
学習した
分類器の適用
分類結果を
学習へ

広がるデジタル・フォレンジック
スマホや
関係サービスの
分析
対象PCや
サーバ等の
内部の分析
クラウド内の解析
SNSの相関分析
動画など
デジタルコンテンツの
分析（投稿元・改ざん…）

Google Scholarの“Digital Forensics”検索数
•関連論文等
出版物は
着実に増加

世界的な研究動向はこの辺で知れる
• IEEE Transactions on Information Forensics and Security
• IEEE International Workshop on Information Forensics and Security
• IEEE Signal Processing Societyによる国際会議と論文誌(Transaction)。
極めて被引用数も多くレベルが高い。ただし分野には画像処理にやや偏りがある。
• Digital Investigation
• Digital Forensics Research Workshopと連携しており実務的内容が多い。質も高い。
• International Symposium on Digital Forensics and Security
• IEEE Education Societyによる国際会議。ネットワークやIoTに関する実践的な研究が多い。
• International Journal of Electronic Security and Digital Forensics
• International Journal of Digital Crime & Forensics
• いずれもオープンアクセス論文誌。扱う分野は広いが質はややばらついている。

ちょっとした心配事
•Digital Forensicsで古くから
アカデミックに活動していたグループが
相次いで活動低調に
•IFIP 11.9 WG on Digital Forensics
• 例年の国際会議は続いているが投稿が集まりにくい状態
•Journal of Digital Forensics, Security and Law
• 2022年を最後に実質休止状態に
•特に後者は実践的論文も多かったので残念

日本でのデジタル・フォレンジック研究は？
•ほぼ横ばい
•そもそも
絶対数が
圧倒的に
少ない

日本でなぜこんなに低調？
•そもそも主戦場となる学会がない
•情報処理学会の一部の研究会(CSEC,IOT,SPT等)
•情報ネットワーク法学会？
•「ノウハウの提供」
「製品やソフトの評価」を
論文にしない傾向

最近はどのような研究が多いか
•画像認識の高度化
•顔画像など生体データの匿名化
•歩様から人の分析・不審者の検出など
•個人識別とプライバシー問題
•AI学習データとプライバシー
•暗号化状態処理、匿名化、差分プライバシーなど
•生成AIなど偽画像・音声の識別
•IoTフォレンジックなど新しい課題

最近の研究論文を俯瞰して
•国際的な研究コミュニティが多く形成
されるにつれ純粋アカデミックな研究が
増えてきた印象
•一方、実用まで距離がある
研究の割合が増えてきた
•実用化のためのブリッジ人材が必要な印象

本日取り上げる話題
•HDD/SSDのForensicの動向
•Fake画像検出技術の動向
•Tor Onion Service分析技術の動向

HDDが30TB超えの時代に
•Seagate 東芝がそれぞれ30TB発売へ
•熱アシスト記録の実用化
•WDも追随？
•一方SATAは相変わらず6Gbpsが限界
•そもそもメディア速度は回転数一定なら
記録面密度の平方根にほぼ比例…
•容量倍でも1.4倍が限界
•しかもプラッタあたり容量はさほど上がっておらず
枚数はジワジワ増え続けてる(そろそろ11枚)
30TBを300MB/sで
複製できたとしても
100000秒＝27時間

ストレージ増大に特効薬なし！
•証拠の評価を変えるしかない
MFT MFT複製
データ領域データ領域
NTFSパーティション構造
各MFTエントリの構造
基
本
情
報
フ
ァ
イ
ル
名
データ空き
小さなファイルの場合
基
本
情
報
フ
ァ
イ
ル
名
データ
空き
ラ
ン
１
ラ
ン
２
ラ
ン
３
大きなファイルの場合
ラン１ラン３ラン２
データ領域
MFTエントリが削除ファイルの
有無を示してくれる
一方スラック領域から重要な証拠が
出てくる確率はどんどん下がってゆく
証拠保全は
「ファイル名・ファイルサイズ・
タイムスタンプ・所有者」等の
メタ情報のみ全保存して
ファイル実体は重要なファイルのみ
スラック領域は必須としない
という方向にしないと
実務がまわらなくなるのでは

SSD Trimの仕組み
1 2 3
4 5 6
7 8 9
4 5
1 2 3
4 5 6
7 8 9
1
0
1 2 3
4 5 6
7 8 9
1 5 6
1 2 3
4 5 6
7 8 9
1 5 6
A B C
4 5 6
7 8 9
1 5 6
空き
削除消去
Trimなしでは
ファイルを削除した
段階ではここまで
Trimありでは
ファイルを削除した
段階でここまで！

SSD一般化がもたらすフォレンジックの変化
•削除ファイルの復元には期待しない
•ファイルのスラック領域の分析にも期待しない
•一方SSDは大量の代替ページを持っている
ハードウェアレベルでの分析により
代替ページに意味がある情報が
残っている場合がある

ライブフォレンジックの重要性
•最近は二次記憶のデータだけでは不十分
•「ファイルレスマルウェア」
•二次記憶の暗号化
（一度シャットダウンすると二度と回復できない）
•そこで動作中の主記憶の内容を
できるだけ保全しておく必要がある
•ライブフォレンジックと呼ばれる

IoTとクラウドがもたらす影響
•IoT時代になり多くのモノが
ネットワーク接続
•デジタル化がすすみ、今まで
あり得なかったところに電磁的証拠
•しかもクラウドに主要データがある

ドライブレコーダーの普及
•町中に監視カメラが
あるようなもの

2022年7月自家用車へのEDR
（Event Drive Recorder）設置義務化
• 国連規則で決定
• 56ヶ国で加盟
• 3855kg以下の車両
• 記録される内容
• 加速度
• 車速
• エンジンスロットル
• ブレーキ
• シートベルト着用有無
• エアバック警報ランプ
• エアバック展開状態
• 余談：サイバーの世界では
EDRはEndpoint Detection and
Responseの略

画像改ざんがとても簡単な時代
https://www.adobe.com/sensei.html
36

大量に生成される偽画像や文章
ThisPersonDoesNotExist

ChatGPTも対策はしているが…
•MS, Adobeらが
設立したC2PAの
規格により
発信源を示す
電子透かしが入る
•でも除去が難しくない
問題

フェイクコンテンツの検出研究
•海外ではかなり盛んだが国内ではまだまだ
•基本戦略
•画像の複製や「継ぎ目」を探す
•生成AI固有の不自然さを探す
•AIにはAIで対抗する
•いずれも実用性は疑問符
•ベンチマーク用データセットで
8～9割の検出率
• 実際の改ざんは巧妙なので… J. Rao, S. Teerakanok and T. Uehara, "ResTran: Long Distance Relationship on Image
Forgery Detection," in IEEE Access, vol. 11, pp. 120492-120501, 2023,
doi: 10.1109/ACCESS.2023.3327761.

証拠としての画像の扱いが困難に
•残念ながら「偽画像」検出技術は
生成AI等の技術発展に全く
追いつけていない
•研究はされているが実用化するまえに対策が進む
•当分は画像・映像を
唯一の証拠としない対策しない

Onion Serviceについて
•代表的Darkweb
•Tor技術の利用で
サーバのIPアドレスを隠蔽できる
•ドメイン名はabcde…xyz.onionの形
•主な用途
•違法コンテンツの流通（ポルノ・海賊版）
•違法な取引の基盤（かつてのSilkroad等）
•ランサムウェアのリークサイトでの利用
Tor網

実は脇が甘い場合が多い
•2018年のカプコン
ランサム攻撃の
実行グループを
2023年逮捕
•実はリークサイトの
場所は早々に判明

Onionサーバ特定の基本的アイデア
•Onionサーバ運営者はHTTPサーバの
設定の細かいところに気を使ってない
•HTTPヘッダにサーバ特定情報があっても
気がついていない問題
•Host: ヘッダがない場合に「デフォルトページ」
を表示してしまう問題
•…これを全探索してしまえばいいのでは？

我々の成果
•Onionサーバ
20万ドメインを調査
•同一の設定のサーバ群
（数十～数千）を
多数発見
•5個所のサーバで
IPアドレス特定に成功
•うち1つは日本

入門書
•基礎から学ぶ
デジタル・フォレンジック
•かなり簡単に書いた
（文系向け？）

参考となる文献
•デジタル・フォレン
ジックの基礎と実践
•東京電機大学出版局
•法律系では
デジタル証拠の
法律実務Q&A
日本加除出版

終わりに
•デジタルフォレンジック研究のありかた
•なぜか日本の情報科学の研究者は実学が苦手
この壁をいかに乗り越えるか
•学際的研究に対する障壁
•フォレンジック人材育成のありかた
•インシデントレスポンス人材だけでよいのか？
•システム管理やマネジメント人材の育成
•司法機関における「裾野の拡大」

宣伝：いばらき✕立命館DAY
https://ibaritsu.ritsumei.ac.jp/
•5月19日(日)10～17時
•事前申込不要
•情報理工学部20周年記念
記念講演：
石黒浩先生
「アバターと
未来社会」
10:30～

デジタル・フォレンジックの最新動向（2024年4月27日情洛会総会特別講演スライド）

Recommended

Recommended

More Related Content

Similar to デジタル・フォレンジックの最新動向（2024年4月27日情洛会総会特別講演スライド）

Similar to デジタル・フォレンジックの最新動向（2024年4月27日情洛会総会特別講演スライド） (20)

More from UEHARA, Tetsutaro

More from UEHARA, Tetsutaro (20)

Recently uploaded

Recently uploaded (7)

デジタル・フォレンジックの最新動向（2024年4月27日情洛会総会特別講演スライド）