ESET/マルウェア情報局
消された情報を復活させる「デジタルフォレンジック」とは
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「デジタルフォレンジック捜査班がサイバー犯罪者を見つけ出す方法」を再編集したものです。
警察での業務についてどうだったかと私に尋ねる人は少なくない。そして多くの場合、コンピューター犯罪の調査実態を尋ねる。質問の内容は、テレビで描かれる内容の正確性や、警察が受ける制約、関連する迷信、厳格に管理された戦術や秘密の発見方法などだ。いずれにせよ、デジタルフォレンジックの裏側について多くの人は強く興味を持っていた。
私(ジェイク・ムーア Jake Moore)はESETに転職する前のおよそ10年間、英国警察のデジタル捜査班に所属していた。私の職務は、殺人、児童虐待、詐欺などの犯罪に使われたコンピューター、ハードドライブ、電話、その他のデバイスなどを徹底的にフォレンジックすることだった。最適なフォレンジックツールを使い分け、これらのデバイスだけでなく、勾留または釈放された容疑者の生活も隈なく調査した。分析業務に要する期間は、ストレージの状態やセキュリティ、事件の重大性に応じて必要とされる証拠によって変わり、1日で終わるものもあったが、なかには数ヵ月かかるものもあった。
容疑者のデバイスからは、Googleの検索履歴、フォトギャラリー、オンラインチャット、削除された項目を探し出すことができる。また、ストレージに保存されたデータ以外にも、さまざまなものを見つけ出すことができた。他人のコンピューターや電話の分析は、その人の心理状態を明らかにするようなものだとつくづく感じる。そして、「まるで映画みたい」、「削除したものを本当に復元できるのか」と尋ねられることもある。
どちらの質問にも、「どちらとも言えない」という回答になる。映画みたいにスピーディーに分析できなくても、時間をかければ対応は可能だ。削除されたファイルは、上書きされていなければ復元できる。情報自体は残されており、本の目次ページだけ破り取ってしまい、どこにどの情報があるかがわからないだけ、といった状態であるのだ。
暗号化という制約
ダークウェブ上の活動など警察泣かせの事件が増加しているが、なかでもフォレンジック捜査班の活動で悩ましいのが、フルディスク暗号化である。これはデジタルフォレンジック捜査官にとって最大の課題であり、解決策は極めて限られる。まず、英国のGCHQ *1の一部としてNTAC(英国情報技術支援センター、National Technical Assistance Centre)の存在がある。同機関は警察に代わり、暗号化されたドライブを総当たりで調査するが、パスコード・パスワードの状態により、調査にかかる時間はまちまちだ。しかし、パワフルな処理能力を武器に、成功確率は極めて高い。容疑者が黙秘を貫く、あるいは容疑者が違法コンテンツの所持を否認した場合でも、暗号化されたコンテンツのストレージを復元し、アクセス可能な状態にする技量はまさにマジックとしか例えようがないほどだ。
*1 「Government Communications Headquarters」の略称で、英国で情報取集、暗号解析業務を行なう政府組織のこと。ロックされた電話などは大した問題ではない。通常、英国の警察が使用しているソフトウェアを使えば、ロック解除できるからだ。これは最新のOSにアップデートしていない電話なら、なおさら簡単である。
デジタルフォレンジック捜査の裏側
どの仕事にもマイナスの側面はある。デバイスに保存されたコンテンツを確実に閲覧できてしまうという状況が有害な副作用を産み出す側面も明らかになってきている。幸いなことに、警察のデジタルフォレンジック捜査官は半年ごとにカウンセリングを受けている。特に、容疑者のデバイスを扱い、人命に関わるような一部コンテンツを調査する捜査官にとっては重要なことである。デバイスには非常に不快で恐ろしい画像や動画が保存されていることがあり、発見した捜査官はそれらに対処する義務もある。フォレンジック捜査では、あらゆるものを見つけ出すことができるため、POLIT(小児性愛者のオンライン捜査を行なう専門家チーム、Paedophile OnLine Investigation Team)が卑猥なコンテンツをカテゴリ別に分類する作業の前に、私は証拠を探し出していた。これまで探し出したもののなかで最悪のものには非常に不快になる内容が含まれていたが、刑期を決定するのはあくまで裁判所に委ねられる。これはプロセスとして決まっていることであり、被害者がさらなる犯罪に巻き込まれることへの抑止ともなる。
関連トピックス: 犯罪者がサイバー攻撃に手を染める理由とは
私はかつて、殺人捜査の支援要請を受けたことがある。依頼してきた重大犯罪チームはすでに、大量の証拠を収集していた。しかし、多くの殺人や不審死の事件と同様に、フォレンジック捜査が必要なデジタルの証拠が残されていた。私は血まみれのラップトップを受け取った後、ハードディスクドライブのデジタルコピーを作成し、犯罪の発生時刻に近いログファイルを元に、何が起きていたのか詳細に調査した。何も見つからないだろうと想定していたが、実際は異なった。容疑者は犯罪直後に、「死体の処理方法」をGoogleで検索していた。もちろん、そんなことをGoogleで検索する人なんて他にいないはずだ。
私は定期的に裁判所に招集され、数多くの事件で発見されたデジタルの証拠について解説してきた。2014年、私は裁判所に呼び出され、わいせつ画像を所有していた被告の事件について説明した。被告人は尋問中の質問に対してすべて黙秘を貫き、無罪を主張した。しかし、デジタルフォレンジック捜査班での経験を持つ専門家として、裁判官、陪審団、弁護団に証拠を提示したところ、被告人は有罪を認めるに至った。通常、被告側の弁護士は検察側が提示する証拠を待つものである。実際、被告側はデジタルフォレンジック捜査官が疑う余地のない動かぬ証拠を陪審団に提示したことが分かった時点で、反対弁論を繰り広げるか、有罪を認めようとしただろう。この特殊な事件では、復号できた暗号化フォルダー内の膨大なわいせつ画像と合わせ、過去数年間ものGoogleの検索履歴をすべて裁判官に提示した。
判決への葛藤
有罪判決を受けた犯罪者は、刑務所での刑期が短い、あるいは服役しない判決となったものが少なくない。この場合、一般市民には犯罪に対する量刑のバランスに違和感を覚える。警察の仕事は、被告人が有罪を立証する最適な証拠を提示することである。英国検察庁(CPS)は判決を言い渡す行政機関に過ぎず、被告の弁護が得意な弁護士が裁判では活躍する。
通常、被告側の弁護士は検察側が提示しなければならない証拠を確認し、可能な場合には反対弁論を行なう。時には証拠の正当性を否定するために、被告側に雇われたデジタルフォレンジック捜査官を介して証人の陳述を覆そうとすることすらある。
犯罪を起こした理由を尋ねた際に、「トロイの木馬による仕業」という回答が返ってくるのはお決まりにすらなっている。容疑者は、デバイス上で起きていたことについて知る由もなく、マルウェアがそのような自体を引き起こしたと主張する。こうした反論が正しくないことを立証するには、多くの労力を要する。場合によっては、私がフォレンジック捜査用に作成しておいたコピーを提示し、被告の主張が正しくないことを証明するまで、裁判の手続きが完全に中断することさえある。
私は裁判に備え、検察側と被告側双方を担当した経験のある優れた弁護士から徹底的な裁判のトレーニングを受けた。私はその弁護士から、裁判が日々直面している長所と短所、そして勝訴または棄却にするための戦術について教えてもらった。弁護士が用いるテクニックだけでなく、引き際についても学ぶことができた。無罪を勝ち取るためのテクニックは、今なお英国の法廷で使用されている。
英国では、裁判官が被告人に有罪判決を下すには、疑う余地のない全会一致(12:0)あるいは多数決(11:1または10:2)が必要となる。すなわち、被告側の弁護士が判決を覆し、評決不能にするのに必要な陪審員は3人だけである。(場合によっては、再審請求があるケースもある)。これを達成するために、心理学的な操作やテクニックが用いられる。他にも、陪審員を被告側に付け、最終的に被告側との合意に持ち込むといった戦術も用いられる。
デジタルフォレンジック捜査官の仕事の意義
デジタルフォレンジック捜査官が仕事をするのはなぜだろうか。昔ながらの指紋などフォレンジック捜査における証拠だけだと解決が困難な事件が増えており、犯罪者の追跡が難しくなっているためだ。これまでのフォレンジック捜査官もたしかに、素晴らしい仕事をこなしている。しかし、デジタルの証拠は世界的に高く評価されるようになっており、警察の予算も上昇傾向にあるのが現状だ。今や警察が保有する、証拠のデジタルデバイスはもはや自らの処理能力を超えるようになっており、常に積み残しの処理を抱えている状況だ。そのため、捜査に12ヵ月以上もかかってしまう事件も発生している。
「デジタルフォレンジック捜査官を辞めて良かったと思っているか」と聞かれることも多い。正直なところ、警察は家族のような存在であったため、少し感傷的になることもある。しかし、忘れてならないのは、有罪であるべき事件で「無罪」の判決が下されたことである。進化する暗号化技術やダークウェブの利用などが増加し、状況はよりシビアになっているが、現在の業務では人々や企業をサイバー攻撃から防御することに貢献することができる。その点で、現在の仕事に私は満足感をおぼえている。
追記
厳格に言うとデジタルフォレンジック捜査官の仕事からは外れるものの、最近、世界中の警察は大規模なサイバー犯罪の取り締まりにESETのセキュリティリサーチャーの支援を受けている。研究員によるテクニカルな分析により、3veオンライン広告詐欺やGamarueボットネットといった数多くの犯罪組織の摘発に貢献している。
[引用・出典元]
How to catch a cybercriminal: Tales from the digital forensics lab by Jake Moore 5 Feb 2020 - 11:30AM
https://www.welivesecurity.com/2020/02/05/how-catch-cybercriminal-tales-digital-forensics-lab/