リスク・フォーカスレポート

情報セキュリティ編 第四回(2012.11)

2012.11.28
印刷

1.「デジタル・フォレンジック」

 不正アクセスや内部不正による情報の漏洩原因をつかむためには、調査時点で把握できるデジタルデータの証拠以外にも、既に削除された(もしくは通常では確認できない)データやメールなどが重要な情報源となる。内部不正や不祥事への対応として、一次不祥事の事実調査、社内処分だけではなく構造的な不正発生原因にまで遡ることが必要であり、削除されたデータや確認できない情報が二次不祥事の防止や再発防止策に繋がる。

 情報漏洩や不正の原因を解明するための技術的アプローチとして「デジタル・フォレンジック」というデジタルデータの証拠保全および調査・手法がある。
 「ライブドア粉飾決算事件によるメールや重要ファイルの削除による証拠隠滅」「大相撲八百長問題において力士たちが携帯電話のメールのデータを消去、携帯電話を破壊して証拠隠滅」「大阪地検特捜部で主任検事が証拠物件であるフロッピーのファイル日付を改竄」は「デジタル・フォレンジック」による調査手法がとられ、隠滅・改竄・消去されたデータが復元されたことによって注目を集めた。

 「デジタル・フォレンジック」の技術は、パソコンやサーバー、さらに携帯電話やスマートフォンを介した犯罪や不正行為に対して、削除されたデータやメールなどの不正や犯罪に関わる重要な情報を復元可能とする。また、被害を受けた企業や組織が加害者とされてしまう「なりすまし」や「踏み台」などの外部からの不正行為も、フォレンジックの活用により、事実関係を明らかにすることができる。

 さらに、外部接続した外付けHDDの使用履歴やUSBメモリの利用状態、インターネットの利用履歴、使用頻度、持ち出されたデータ、ダウンロードした画像やファイルの時系列的な把握や、暗号化したファイルなどのパスワード解析など、断片化したファイルや機密文書の欠片、画像ファイルの一部分だけを復元することも可能になる。

 企業や組織にとって、情報漏洩やデータ改竄などのインシデントの防止はもとより、早急な対応による被害拡大の防止、事後の再発防止や信頼回復も大切な課題とされている。不正の社内調査における「白か黒」の事実認定の決め手としても「デジタル・フォレンジック」を活用した手法が、今後より重要性を増していくと考えられる。

2.「デジタル・フォレンジック」による調査手法

 注文住宅販売会社における詐欺事件では、破産間際に完成の見通しがない住宅建築工事を請け負い、代金の一部をだまし取ったとして元会長や役員など4人が詐欺容疑で逮捕されている。

 本件では、経営陣が販売の指示をしていたのかどうかや、不正な経理操作が行われていなかったかが焦点となっていたが「デジタル・フォレンジック」よる調査を経て、復元されたメールが有益な証拠となった。
※調査結果すべてを印刷した際に、A4用紙で約20万ページ、2トントラック2台分となったとのことである。

 「デジタル・フォレンジック」調査のプロセスは大きく分けると、①「証拠保全」、②「解析」、③「報告」の3つの段階から成り立っている。

①「証拠保全」

調査対象媒体のデータを全く書き換えることなくコピーして、証拠の保全を行なう。これは、対象媒体のデータが改変されないようにする機能(書き込み禁止機能)を持つ専用機を用いることで、調査対象媒体のデジタルデータが改変されずに複製される。

②「解析」

データの保全がおわると証拠となり得る情報を抽出し、解析をおこなう。これは、ゴミ箱から故意に削除したファイルを復元したり、インターネット閲覧、メール送受信履歴を取得することで、証拠の隠滅や、コンピュータで何がおこなわれていたかを浮かびあがらせる。

③「報告」

解析した結果をもとに、訴訟資料や不祥事の報告書として活用する。

 「デジタル・フォレンジック」調査は、本件のような事例以外にも、不正会計や不正アクセス調査、労務管理(過労死)などに関する訴訟のための証拠収集にも有効であるといえる。

 また「デジタル・フォレンジック」の活用事例は公表されることがほとんどないが、警察による「電磁的記録の解析等の技術支援件数」によっても推測でき、その増加傾向も明らかである。

 ▼ 警察庁 : 平成21年警察白書

3.「デジタル・フォレンジック」によるインサイダー取引調査

 2012年は、証券取引監視委員会の調査によって、業界最大手の証券会社その他大手などが軒並み公募増資に関わる公表前の情報を機関投資家に漏洩させたことが明らかになった。一例を挙げると、企業が増資を計画する際に、調整役のシンジケート部やアナリストに増資情報が集まる。この情報が外部に漏れないようにするための情報の壁が存在するが、営業部がこの壁を越えて情報を収集し、機関投資家に増資情報を耳打ちしていたという。

 本件のようなインサイダー取引に関連する情報漏洩も、スマートフォン、携帯電話、パソコンを通じて発生している場合が多く「デジタル・フォレンジック」を活用して証跡を辿ることが可能である。

 「デジタル・フォレンジック」を活用したインサイダー取引の調査方法としては、

    1. サーバ・パソコン・スマートフォン・携帯電話から証拠の保全(元のデータとの同一性が証明できる形式での複製をおこなう)
    2. 保全された証拠データの復元・調査
    3. 機密ファイルへのアクセスログ、メールサーバ、通話履歴、メール、サイトへの閲覧履歴、位置情報などの解析

※シンジケート部、アナリストとのやりとりや、機密ファイルへのアクセス。機関投資家との隠語でのやり取りなどが把握できる。

 先の大手証券会社によるインサイダー取引では、再発防止策として機関投資家向け営業のチャット機能の制限、通話録音機能付き携帯電話使用の義務化、通話録音保存機関の延長等、IT機器の使用を制限している。

 その他、営業部との情報伝達の見直し、営業部門とシンジケート部、アナリストとの接触制限、コンプライアンス研修の強化、職務倫理研修の定期的実施を挙げているが、組織のモラルハザードとも言える状況では、ルールの強化だけでは再発防止に限界があり、特にIT機器の制限に関しては、十分とはいえない。

 インサイダー取引に関連する情報漏洩対策は、事後対策としての「デジタル・フォレンジック」。事前対策としてログ管理によるパソコン、スマートフォンの利用状況を記録や周知、機密ファイルへのアクセス制限が不正行為を防止し、内部統制を強化するうえでより重要になると考える。

 また、SEC(証券取引等監視委員会)の見解にあるように、証券業界において重要情報の漏洩が慣例・常態化していることを鑑みると、規制や対策の穴への継続的の対処が必要になるのであり、例え、各種ルールの強化やIT統制の強化が図られたとしても、それらの対策は万全ではなく、その抜け道を探そうとする者の存在を常に意識しながら、運用の強化を継続的に図っていくことこそ重要なことである。

4.最近の動向

 最近、不正プログラムを仕掛けた他人のPCを利用して、犯行予告の書き込みなどがおこなわれた一連の事件が明るみになった。PC遠隔操作をめぐる誤認逮捕は、不正アクセスや不祥事への技術的アプローチの在り方をあらためて考えさせられる事案であった。

 本件を受けて、特定非営利活動法人日本ネットワークセキュリティ協会が報道関係者向けの緊急会見を開催し、その手口や使用された不正プログラムなどを説明するとともに、社会的に取り組むべき施策の方向性も提言している。

 また、報道によれば、自由民主党は、「遠隔操作ウィルス対策に関する提言」で遠隔操作ウィルスに関する抜本的な対策案の一つとして「デジタル・フォレンジック」の高度化を挙げている。

 具体的には、合理的な捜査実施のためのタイムライン分析や統計的分析等の手法を用いた詳細なログ解析を実施。また、そのための高度な技術を有する職員の確保、また、民間の専門解析事業者に対して業務を委託することも検討し、サイバー攻撃に関する情報分析体制を強化するとしている。

 不正アクセスの手法は日々変化している。不正アクセスにおける事件捜査においても手口の巧妙化・グローバル化をふまえれば。「デジタル・フォレンジック」をはじめとした技術的アプローチについて、官民一体となった対策・国境を越えた捜査・調査の連携が求められる。

Back to Top