※フォレンジック調査方法の名称は当社の調査サービスに基づいております。
1,手法ごとの分類
- 1-1 標準的手法
- 1-2 ライブ・フォレンジック
- 1-3 リモート・フォレンジック
- 1-4 ファスト・フォレンジック
- 1-5 簡易フォレンジック
- 1-6 ディープ・フォレンジック
- 1-7 デッドボックス・フォレンジック
- 1-8 従来手法(旧来手法)
2,調査対象物ごとの分類
フォレンジック調査の方法は色々な種類があり、簡易迅速&低価格で状況確認に適した方法もあれば、裁判向けの高精度&高価格な方法もあるなど様々です。このページでは各種のフォレンジック方法を一つ一つご紹介し、その特徴、調査費用、メリット・デメリットなどをご説明します。
※フォレンジック調査方法の名称は当社の調査サービスに基づいております。
パソコンやサーバーなどフォレンジック調査の対象物のストレージ(*1-1-1)を丸ごとコピーするフォレンジック方法です。
【注釈】
*1-1-1:ストレージとはデータを保存するパーツのことを言います。(SSD, HDD等)
パソコン等の中身を丸ごと調べられます。ログや設定など一部のデータに限らず、全てのファイルがフォレンジック調査の「材料」になりますので、機器単体に対するフォレンジック調査としては精度・範囲が最高レベルになります。また、削除済みデータを復旧できる可能性があるため、証拠隠滅の疑いがある事案にも対応可能です。
標準的手法の中でも最もスタンダードなやり方は、調査対象物の電源を切ってストレージを取り外し、ハードウェア型のフォレンジックツールで丸ごとコピーするという方法です。しかし分解できない機器(または分解が非常に面倒な機器)が年々増えているため、分解せずにUSBブートで丸ごとコピーするツールを使用することもあります。このように調査対象物のOSを起動させずに静的(スタティック)な状態でおこなうので、当社では「スタティックで調査します」と表現することもあります。
【余談】
どうでも良いことですが、私は口頭で発言するときはなるべく「静的」ではなく「スタティック」と言うように意識しています。横文字で格好つけている訳ではありません。「せいてき」と言うと「性的」と勘違いされてギョッとされたり怪訝な顔をされたりすることが過去に何度かあったからです。同様に「紐づけ」という言葉がSE以外の人に浸透していなかった昔に、「紐つき」と勘違いされて困惑させてしまうこともありましたが、本当にどうでも良い話なのでこのへんで止めておきます。
ストレージのコピー処理、複写データのインポート処理など、解析の前の準備処理に時間がかかります。また解析作業に関してもデータ量が多い(見るべき項目が多い)ので時間がかかります。 調査期間の目安は、早くて1~2週間、通常2~3週間です。ただし難しい事案では1ヶ月以上かかるケースもあります。
作業内容が多いため費用が高くなりがちです。
また、案件の難易度によって費用が大きく変わります。
当社では予算が厳しい中小企業や個人をメインターゲットとしておりますので、色々工夫して料金は30万円~60万円というように低めに設定しておりますが、フォレンジック業界の相場を言いますと120万円ぐらいを基準にし、難易度に応じて加算・減算する方式をとっている調査会社が多いようです。
コストやスピードよりも「正確さ」が求められる案件で選択されます。
例えば「裁判になりそう」とか「既に訴訟が開始している」というような状況の場合ですと、基本的にはこの標準的なフォレンジック方法が第一の候補になります。ただし裁判外の場合でも、重大・深刻な損害が発生した事案や、調査後の対応に慎重さを要する案件の場合には、裁判と同様にこの方法が用いられることが多いです。
スマホ/タブレットはほとんどの場合ここで紹介した標準的手法のフォレンジックを実行できません。理由は、現代のスマホのストレージは最初から暗号化されてあり、かつそれを復号するは現実的に非常に困難だからです。パソコン等の場合は暗号化されていても復号手段があるのですが、スマホ/タブレットはメーカー側の強固な(頑固な?)セキュリティポリシーが障壁となり、しかも救済措置が用意されていないので、残念ながらできないのです。
前項の標準的手法はパソコン等を停止させた状態(電源OFF)でおこなうのが通常ですが、ライブ・フォレンジックの場合は電源ONのままでおこないます。
ライブ(Live) = 生きている = 電源ON ということです。
近年では単純に電源ONなだけでなく、「遠隔で調査する」という意味も含めてライブ・フォレンジックと言われることもあります。しかし遠隔でのフォレンジックに関してはこの次の項「1-3 リモート・フォレンジック」で説明しますので、この項ではライブ(電源ON)の特徴に関してのみ説明します。
また同様に、ストレージの丸ごとコピーではなく部分コピーによるライブ・フォレンジックのやり方もありますが、それに関しては「1-4 ファスト・フォレンジック」の方が意味合い的に近いので、この項では丸ごとコピーするやり方に関してのみ説明します。
ストレージの丸ごとコピーだけでなく、メインメモリー(RAM)の中にある揮発性データ(一時的なデータ)を取得できるため、調査の材料がちょっと増えるのが特徴です。その代わりにですが、ずっと通電し続けていると「ログ流れ」により古い履歴がジワジワ消えていく、削除データの復旧確率が少し下がる、というような通電維持に起因する不都合によって標準手法よりも材料がちょっと減る可能性もあります。
ソフトウェア型のフォレンジックツールでストレージやRAMの中身をコピーします。
ストレージ丸ごとコピーの場合は標準的手法とほぼ同じで、調査期間の目安は早くて1~2週間、通常2~3週間です。ただし難しい事案では1ヶ月以上かかるケースもあります。
丸ごとコピーではなくログや設定値等の部分コピーの場合は、前述の通りファスト・フォレンジックの方が意味合い的に近いので、そちらの項にてご説明します。
当社では、標準的手法の場合は費用を抑えるために機器の郵送または持ち込みでの調査依頼を標準としておりますが、ライブ・フォレンジックの場合は現地出張(または後述のリモート・フォレンジック)が必須となりますので、標準的手法に比べると費用が高くなります。
東京23区でWindowsパソコンの場合は40万円~60万円、サーバーの場合は60万円以上です。遠方の場合はもう少し高くなります。(ちなみに当社は全国出張可能です)
当社ではなく業界での相場に関しては、一台あたり120万円前後になることが多いようです。
機器のお預かりが難しいサーバーや、業務上の理由で電源OFFが許されない業務端末などの調査に適しています。
「リモート」という言葉が示すとおり、現地に出張せず遠隔でおこなうフォレンジック方法です。
遠隔で実行する点の他は、前項の「ライブ・フォレンジック」とだいたい同じ特徴です。
専用ソフトウェアでデータを丸ごとコピー(案件によっては部分コピー)し、調査用のクラウドにアップロードし、そのクラウド上で解析するというやり方になります。システム面でなかなか大掛かりですので、通常はフォレンジックツールのベンダーと契約してリモート調査用のクラウドシステムを使用します。
調査員の現地出張は不要であり、コピーがクラウドにアップロードされたらすぐに解析可能になるため、標準的手法に比べると少し早いです。ただし貧弱なインターネット回線の場合、アップロードが不安定で想定外に時間消費されることもあろうかと思います。
調査期間の目安は、早くて1週間強、通常2週間前後です。ただし難しい事案では1ヶ月以上かかるケースもあります。
標準的手法に比べるとシステム面でのコストが膨らむため、調査費用もそれなりに高いです。これまでに何度か他社と相見積になる機会がありましたが、他社の見積では300万円~500万円と高額になっていることも度々ありました。
それは不当に高い金額(いわゆるボッタクリ)ではありません。他社の提案では、リモート用のハイスペックな調査システムの使用を予定されることが多いようで、その場合はどうしても調査費用は高額になってしまうので、仕方ないことだと思います。
ちなみに当社は中小企業や個人をメインターゲットとしているため、そのような高額なリモートフォレンジックを提案せず、もっと安く済む代替措置(*1-3-1)を提案するようにしております。
【注釈】
*1-3-1:(例1)出張型の調査を提案する。(例2)お客様側でログを収集して頂き、オンラインで当社が受け取って調査する。
このように現地出張が非効率/不可能というケースにおいて最適なフォレンジック方法です。
【注釈】
*1-3-2:ネット接続がOKか否かはケースバイケースです。マルウェアやサイバー攻撃の場合かつ既に重要データがネット流出&公開されてしまった後でしたら、「今更隔離しても無意味だよね。」という考え方はアリだと思いますし、逆にまだ流出&公開まで至っていないのならば、念の為隔離しておいた方が良いとも考えられます。また、マルウェア等ではなく関係者による内部不正の事案でしたら、隠蔽工作を防ぐために隔離しておいた方が良いとも考えられますし、もし隠蔽のおそれが無い状況ならばインターネット接続しても問題ないはずです。このようにケースバイケースです。
「ファスト(Fast)」という言葉が示すとおり、スピード重視のフォレンジック方法です。100%完璧な調査を目指すのではなく、そこそこの精度の調査を迅速におこなって、速やかに事案を解決させようというものです。
下の例のように時間的な猶予がないケースにおいて真価を発揮します。
標準的手法と違ってストレージの丸ごとコピーを通常はおこなわなず(*1-4-1)、ファスト用のフォレンジック・ツールで重要なログや設定データなどを収集して解析します。
大企業など端末台数が多い場合は、A.I.システムを使用して解析作業の一部を自動化することもあります。
【注釈】
*1-4-1:当社の場合は丸ごとコピーをおこなうオプションもご用意しております。そうする理由は、お客様によっては『最初は裁判や法的措置なんて考えてなかったけれど、調査結果を見たら考えが変わり、然るべき対応を取ることにした。』というように後から方針が変わることもあるので、そうなったときにシームレスに進められるよう予め証拠保全のため丸ごとコピーした方が良いこともあるからです。
案件ごとに台数もやる事も全く違いますので調査期間は一概に言えないのですが、当社の場合、パソコン台数が1台ならば最短即日報告を目指しております。
当社は中小企業や個人をメインターゲットとしておりますので、調査対象のパソコンの台数が少なくても依頼しやすいよう、税抜20万円~というように料金設定しております。
相場に関してですが、フォレンジック業界では「ファスト・フォレンジックは大量のPCを効率よく調べるサービス」と定義している調査会社も多く、何百台ものパソコンの同時調査を想定したサービスの場合ですと、1案件あたり数百万円という料金設定になっていることが多いようです。例えばPC300台まで料金一律で200万円とか、PC千台まで料金一律で300万円など。パッと見だと高額に感じますが、1台あたりの金額で考えるとかなりお安いです。
特徴の項に書きましたが、時間的な猶予がないケースでファスト・フォレンジックが選択されることが多いです。
また、パソコンの台数が少ない場合(一桁ほど)であれば標準的なフォレンジックよりも費用面でのハードルが低いので、時間に余裕がある場合でも「とりあえずファストで。」というお客様もそこそこいます。
【注釈】
*1-4-2:全ての裁判案件で使えないわけではなく、ケースバイケースです。ファストで十分というケースもあれば、ファストだと証拠が足りないというケースもあります。
当社のファスト・フォレンジックの調査サービスは内部不正(従業員の社内不正)および外部不正(マルウェアやサイバー攻撃)に対応しておりますが、他社のサービスでは内部不正に対応していないこともあるので注意が必要です。
もう少し詳しく説明します。
内部不正と外部不正(マルウェアやサイバー攻撃)では調査の内容が少し違います。内部向けのテクニックは外部不正事案で効力がないとか、その逆とか、そういう違いがあります。そのため外部不正に特化されたシステムやA.I.は内部不正の事案で効力が薄い/無いということもあり、外部は得意だけれど内部は苦手というサービスもあるので、もし内部不正でファスト・フォレンジックの調査会社を探している場合は、対応の可否や得手不得手をよくご確認頂くと良いです。
「簡易」という言葉が示すとおり、通常のフォレンジック調査よりも調査の内容・範囲が限定的な廉価版のフォレンジックです。調査内容は定義されていませんので、調査会社毎それぞれで内容が異なります。
通常のフォレンジックよりも費用が安いのが特徴です。
ファスト・フォレンジックと似た性質のものですが、ファストと簡易との違いに関して当社では「納期」を基準にして分けております。
調査会社ごとに異なりますし、事案の背景によっても調査内容は異なります。例えばサイバー攻撃なのか社内不正なのかによって調査内容は異なります。
当社では下の例のような方法を案件ごとにピックして調査しております。
ちなみに当社では「簡易フォレンジック」という名前のサービスは無く、実施内容に応じたサービス名称で提供しております。
例えばマルウェアの簡易フォレンジックは「マルウェア調査」と言い、ログの簡易フォレンジックは「ログ調査」と言い、削除データを探して復元する調査は「データ復旧」と言うなど。
基本的には1~2週間ほどです。ただし有償オプションで緊急対応することも可能で、その場合は実質的にファスト・フォレンジックと差がなくなります。(名称が違うだけで中身が同じになります)
当社では、Windowsパソコンの場合は税抜10万円~、それ以外の場合は税抜20万円~という料金設定にしております。
もっと安い調査サービスを提供している会社も沢山あります。たとえばウイルス・スキャンするだけというスーパー簡易的なサービスならば、1万円程度で提供している会社もあります(パソコン販売店や修理屋さんなど)。しかし、あまり簡易的すぎると当社の存在意義、専門企業としての価値がなくなってしまいますので、当社の簡易フォレンジックは簡易と言えども一般レベルよりは断然に専門的な内容としております。
特定のことをピンポイントで調べたい/立証したい場合に適しています。
【注釈】
*1-5-1:ファスト・フォレンジックと同様に簡易フォレンジックも、全ての裁判案件で使えないわけではなく、ケースバイケースです。簡易で十分というケースもあれば、簡易だと証拠が足りないというケースもあります。
「方言」のような用語です。
意味は、標準的手法のフォレンジックのことを指しています。
ファスト・フォレンジックと標準的手法とを明確に区別したい場面などで、ファストよりも深く調べられるという意味合いで、「ディープ」という言葉をくっつけたのだと思います。(たぶん)
ファスト=速い、ディープ=深い、というように多くの人が連想しやすいだろうと思い、私は結構よく使っていますが、方言のようなものですのでフォレンジック業界ではディープ・フォレンジックと言う場面はそれほど多くないと思います。業界では次項の「デッドボックス・フォレンジック」という人が多い気がします。
これも前項のディープ・フォレンジックと同様、標準的手法のことを指す用語です。
こちらは方言のような言葉ではなく、広く認知されています。
Dead(死んだ)という言葉は、調査対象の物が停止していることを意味しています。
ライブ・フォレンジックやファスト・フォレンジックは調査対象物を稼働させたままおこないますが、対照的に、調査対象物を停止させておこなう標準的手法のことをデッドボックス・フォレンジックと言うことがあります。
「死」という、穏やかならぬ言葉が付く用語ですが、コンピュータの世界ではDead、Kill、Aliveなど生命に関係する言葉は良く用いられています。
ちなみに、文字通り死んだ(壊れた)調査対象物をデッドボックス・フォレンジックすることもあります。例えば犯人が証拠隠滅のために破壊した機器を、修理したりデータ復旧したりしてから調査するなど。ほか、マルウェア感染して恐怖からパニックを起こし、機器をブン投げたり踏み潰したりして破壊するというようなパワー系のインシデント対応をおこなう人も稀にいて、そのような破壊された機器を調査するときもデッドボックス・フォレンジックに該当します。
標準的手法のことを指す言葉です。
パソコンやサーバーの機能が今ほど複雑でなく、かつ容量も今ほど大きくない時代では、スタティックな標準的手法でフォレンジックするのが当たり前でした。しかしITはどんどん発展しどんどん複雑化・大容量化していったため、標準的手法では時間やコストなど色々な面で不都合が生じるケースも増えてきたため、それに対応するかたちでファスト・フォレンジックやリモート・フォレンジックなどの新しい方法が考案されました。
それら新しいフォレンジック方法に対して標準的手法は古くからある方法のため、従来手法と表現されることがあります。
ちなみに、当ページの内容を最初からお読み頂いた方には改めて説明不要かと思いますが、従来手法(つまり標準的手法)は「古いものだから調査能力が低い」というようなことはまったくなく、それどころか真逆で、機器単体のフォレンジックとしては現在でも最高レベルのものですので、従来手法は今も標準的な方法に位置します。
パソコンに対するフォレンジックのことをPCフォレンジックと言います。ほとんどの場合はWindowsパソコンを調べることを指しますが、例外的にMacやLinux(デスクトップ版)など他種のパソコンの調査でもPCフォレンジックと言われることがあります。
PCフォレンジックと言う場合、フォレンジック方法1-1で説明した「標準的手法」を指すことが多いのですが、しかし近年ではファスト・フォレンジックも相当に普及してきているため、ディープとファストを明確に区別せずまとめてPCフォレンジックと言うこともあります。
そして、ややこしいことに便宜上でPCフォレンジックと言われる場合でも、部分的にファストやライブの手法が併用されたり、メモリ・フォレンジックやネットワーク・フォレンジックなど他種のフォレンジックも平行・並列処理されることもあるなど、実際におこなわれる調査内容はまちまちです。
つまりPCフォレンジックとは、厳密に何か特定のやり方を指している言葉ではなく、パソコンに関連するフォレンジックを総称するような形で用いられる、広い意味の言葉と捉えてください。
PCフォレンジックはWindowsのフォレンジックを指すことが多いので、それと区別するために調査対象がMacの場合はMacフォレンジックと言います。
古いMacの場合はPCフォレンジックと同様に、ディープ/デッドボックスの標準的手法でストレージの中身を「丸ごとコピー」して調査します。しかし新しいMacの場合は丸ごとコピーできない場合や、できるとしてもコストと時間がかかり過ぎる場合などもあり、代替措置としてライブ・フォレンジックやファスト・フォレンジックのような手法を用いることも良くあります。
このように新・旧のMacでやり方が結構違うのですが、その境界となるのは大雑把に言うと、「Intel Mac」と言われた時代のMacか、そうでないかで分かれます。(*2-2-1)
【注釈】
*2-2-1:厳密に言うと間違っている、かなり大雑把な分け方です。しかしセキュリティチップやOSバージョンや設定内容までに言及するととても分厚い内容になってしまうので、当ページでは細かい点を無視して「Intel Macか否か」を境界として説明します。そのため以降のMac関連の説明は、細かいところではちょっと間違っている点があることをご了承下さい。
まずIntel Macの場合を先に申しますと、WindowsのPCフォレンジックと基本的には大差はありません。Macを分解してストレージをコピーするとか、または分解せずに専用装置でコピーするといった方法を取れますので、Macフォレンジックの中では比較的に難易度は低いです。
次にIntel Macの後継であるAppleシリコンの場合は、コピーの難易度がとても高いです。セキュリティ機能で強力に暗号化されているので丸ごとコピーしても復号できないという問題があり、Windowsと同様のやり方が通用しません。そのためAppleシリコンの場合は下記のどちらかを選択することとなります。
スマホ(iPhone、Android)やタブレット端末に対するフォレンジックのことを、モバイル・フォレンジックと言います。
スマホ/タブレットはストレージが暗号化されかつ復号できないので、Windowsパソコンのような100%丸ごとのディープ・フォレンジックはできません。しかもスマホ/タブレットは「root権限を使用できない」という大きな問題があり、システムファイル等のコピーは愚か閲覧すらできないという障壁があり、事実上で丸ごとコピーは絶望的と言える状況です。
そのような背景から、モバイル・フォレンジックではどうあがいても部分的なコピーしかおこなえないので、PCフォレンジックと比べると調査の範囲や精度が劣ることとなります。
モバイル用のフォレンジックツールを使用し、バックアップ機能を応用するコピー取得や、ファイルシステムに基づく論理コピー取得などで調査用のデータを集めます。前者の場合はバックアップされたデータの範囲での調査となり、後者の場合はファイルシステムから得られる範囲での調査となります。
ファイルシステムベースの場合はバックアップベースよりも遥かに多くのデータを取得でき、言い換えますと調査の「材料」を多く取得できるので、調査の範囲や精度はディープ・フォレンジックにとても近いものとなります。仮にディープ・フォレンジックが100点満点だとしたら、90点ぐらいにはなります。
ただし材料が多い反面、作業が増えることとなるため、費用がバックアップベースよりも高額になります。
「サーバー・フォレンジック」という言葉の使用頻度は少ないと思いますが、PC、サーバー、クラウドなど複数種類の調査対象物が混ざる案件において、便宜のため明確に区別したいときに用いることがあります。
サーバーの場合、第一にログを調べ、第二に設定状態を調べ、そして第三にファイルやデータを調べる、という流れで調査を進めることが多いです。(案件によってはログと設定の調査順序が逆になることもあります)
パソコンと違ってサーバーの場合は、肝心な部分のログをしっかり残す運用ポリシーになっていることが多いので、ログベースの調査がとても効果的であり、その点についてはPCフォレンジックよりも「やりやすい」です。(*2-4-1)
ログの偽装や隠蔽工作という問題がありますが、それにさえ気をつければログと設定を調べるだけでインシデントの全体像が分かるケースも多く、ファイルやデータを精査するまでもないこともよくあります。
また、サーバーは用途が決まっている機器なので、発生するインシデントの内容もある程度絞り込めますので、この点でもPCフォレンジックより「やりやすい」です。(*2-4-2)
そのためディープ/デッドボックスのフォレンジックよりも、ログや設定の調査をメインとするファスト・フォレンジックのほうが「コスパ」が良いので、大体の案件でまずはファストを検討します。
ただし、サーバー停止の影響範囲が限定的な場合や、既にお客様側でシャットダウンされている場合などには、調査前の証拠保全だけはディープ/デッドボックスの手法でおこなうこともあります。また、サーバー機ではHDDが搭載されていることも多く、消えた/消された証跡をデータ復旧できるかもしれないので、それを要するような高難易度の案件ではディープ/デッドボックスのフォレンジックを選択します。
【注釈】
*2-4-1 & *2-4-2:一概にサーバーのほうが簡単だとは言えません。仮想化技術やファイルシステムの特性、フォレンジックツールの対応状況など、PCフォレンジックよりも格段に難易度が高いケースもあります。
オンプレサーバ(社内サーバ)の場合は、ディープもファストも基本的にはPCフォレンジックと同じやり方になります。オンプレではない場合、例えばデータセンターなどの遠隔地に設置されているサーバーやホスティングサービスのVPSなどの場合には、リモート・フォレンジックの手法でおこなうこととなります。ただしリモート・フォレンジックは当ページの1-3でご説明したとおり、調査システムの面で大掛かりなことのため調査費用が高額になりがちですので、当社ではコストを抑えるためになるべく代替方法を提案するようにしております。
もう少し突っ込んだ話をします。
リモート・フォレンジックのための調査システムは超高級なものですので、それなりに規模のある調査会社でないと保有・維持できません。そして、そのような規模の調査会社は人員も設備・機材も充実しているため、運営コストがかなりかかっています。しかしリモート・フォレンジックは日常的に依頼されるようなものではなく、案件数は少ないです。高額な運営コストを数少ない案件の報酬で賄うためには、一件あたりの報酬額を高額に設定せざるを得ないので、リモート・フォレンジックは高額になりがちなのです。
これはどうしようもない問題です。
しかし当社は中小企業をメインターゲットとしており、「金が無いなら諦めな」と冷酷なことも言えません。そこで当社では、より安価な代替措置を提案しております。
例えば当社から「あのログとこのログを下さい」とお願いし、依頼者側のシステム管理者にログを集めてもらい、それを受け取って調査するなど。その場合、リモート・フォレンジックで網羅的に調べるのと比べて調査の範囲や精度は劣ります。しかし本項の最初の方に書いたように、サーバーはログベースの調査がとても効果的であり、ファイル等を網羅的に調べないでもインシデントの全体像が見えることが多いので、100点満点ではないものの80点ぐらいの価値があります。コスパの面から是非ご検討頂きたいやり方です。
月々数百円とか千数百円という安価なホスティングサービスのことを、一般的に「レンタルサーバー」と言います。それを調べることを当社では「レンタルサーバー・フォレンジック」と言います。
他社がレンタルサーバー・フォレンジックと言っているのを聞いたことがありませんので、この呼称は一般的ではないと思いますが、中小企業の案件においては通常のサーバーとレンタルサーバーを分けて説明しなければならない場面が結構あり、他にうまい言い方が見つからないので、当社ではそう言っております。
安いサーバーだから調査費用も安く済むと思われがちですが、それは半分正解で、半分間違いです。
レンタルサーバーは通常のサーバーと違い、下記の大きな制約があります。
たぶん上記の説明だと分かり難いと思いますので、イメージしやすく言いますと、「レンタルサーバーは調査のための材料が極端に少ない」という感じです。喩え話ですが、通常のサーバーは材料が100種類あるところ、レンタルサーバーは材料がたったの1・2種類しかない、というぐらいに極端に材料が少ないです。
材料が少ない=調査できる項目が少ないので、その点では調査費用が安く済むというのは正解です。大半のケースではWebのアクセスログしか材料がない状態なので、調査費用はアクセスログに対するログ調査のみで足りる(というかそれしかできない)ので、通常のフォレンジックに比べると安上がりです。
それは良いことだと思いますが、しかし問題は、アクセスログの調査だけでは「利害関係者が納得しない」ということが時々あります。利害関係者が感情的に憤怒している状態ですと、アクセスログだけの調査というあり様が、その人の目には「手抜き調査」のように映るのかもしれません。
そのため、もしアクセスログの調査だけで着地させることができない場合は、利害関係者が落ち着いてくれるまで、変な言い方かもしれませんが「宥める」ように追加調査を繰り返すこととなります。
例えばWebの管理に使用するパソコンをフォレンジックするとか、Webプログラムを点検・検証するとか、情報流出を検出するためにダークウェブ調査をするなど。
それも致し方ないとは言え、余計なコストはなるべく抑えるべきですので、できるだけ少ない手数(てかず)で着地させるための調査計画を要します。ただし手数が少なすぎると「真面目に調べる気が無いのか」と利害関係者が不信感を覚えてしまうおそれもありますので、ただ単に調査内容を切り詰めれば良いわけでもありません。
着地点をコントロールするバランス感覚と合理性が現場に求められます。
このような難しさがレンタルサーバー関連の事案では付き纏います。解決のために確立された手法はなく、利害関係者との空気感や、軟着陸に導く進め方など、コンピュータとは別の部分の要素が重要だったりします。
ちなみに、アクセスログを見るだけならばフォレンジック・エンジニアではないITエンジニアでもできるはずであり、それならばわざわざ当社のような調査会社に外注せずとも依頼者側のスタッフだけで何とかなるかもしれません。しかし解決の鍵は「利害関係者に納得してもらうこと」であり、自己弁護のための「結論ありきの恣意的な調査」や「保身のための偏った報告書」を利害関係者は望まないので、外部の専門家による公正な調査が要求されることが多く、そのために当社のような調査会社が存在しています。
基本料金は20万円です。
依頼者側のシステム管理者の協力を得られない場合は、ログ取得や設定確認等の作業で当社側の負担が増えるため、費用が増えることとなります。
クラウドを調べることをクラウド・フォレンジックと言います。
フォレンジック業界ではAWSやAzure等、事業系のクラウドの調査を指すことがほとんどです。しかし当社の場合は中小企業や個人がメインターゲットのため、それらよりも一般ユーザーの利用が多いアプリやWebサービス等「アカウントサービス系のクラウド」を調べることがほとんどです。例えばGoogleアカウントやApple ID、SNS、チャットアプリのアカウントのクラウドなど。
サーバー・フォレンジックと調査内容はだいたい同じです。ログや設定状態の調査を軸に、必要に応じてファイルを精査する流れになります。
事業系のクラウドの場合は、遠隔地にあるサーバーに対するリモート・フォレンジックとだいたい同じです。フォレンジックツールを使用してデータをコピーするとか、クラウドのコンソールからインスタンスをコピーするなどでデータ収集します。
アカウントサービス系のクラウドの場合は上記のようなコピーができないので、別の手段でクラウド上のデータを取得します。例えばクラウドにアップされているデータを一つずつダウンロードするとか、アナログですが画面の表示内容を写真撮影するなど。また現在ではGDPR(EU圏のルール)などに関連してデータ取得のための制度が整っていますので、クラウド事業者にデータの取得を申請して提供を受けるという方法もあります。
その後は事業系もアカウントサービス系も同じで、取得したデータを解析して調査します。
ネットワークを流れるパケットを解析して不正・異常な通信を検出する調査のことをネットワーク・フォレンジックと言います。
端末のフォレンジックはアンチ・フォレンジック(証拠隠滅や偽装など)の影響をモロに受けますが、ネットワークのパケットは誤魔化しようがない部分が多いので、そのフォレンジックはインシデント対応においてかなり頼もしい調査方法となります。ただし端末の中で完結する事象はパケットだけでは調べられないので、ネットワーク・フォレンジックだけで事案の全容解明を図ろうとするのではなく、主に不正・異常など疑わしい点を検出(またはブロック)することを目的として実施されることが多いです。
当社では、ルーターなどのネットワーク機器の中を調べることも、ネットワーク・フォレンジックと言う事があります。ただしこれは、もしかしたら間違った解釈かもしれません。一般的にネットワーク・フォレンジックと言う場合、本項のはじめに書いたように「ネットワークを流れるパケットのフォレンジック」を指しています。また、ルーターの中を調べることは、ネットワークではなく「ルーターに対するフォレンジック」となります。そのためルーターの中の調査はネットワーク・フォレンジックの定義から外れているように思うのですが、しかし、依頼者側にとっては言葉の定義なんて「どうでもいいこと」だと思いますので、ネットワーク関連の調査のことを全部ひっくるめてネットワーク・フォレンジックと言ったほうが分かりやすいかと思い、そうすることがあります。
ただし以下の説明では一般的な解釈である「ネットワークを流れるパケットのフォレンジック」に関してのみ書きます。
パケットを解析すると次のような調査材料を収集できます。
これらのような材料を元に、脅威情報のデータベースを検索したり、ネットワーク図と照合したり、関係者へ使用状況を聞き取るなどして、不正・異常な通信を検出します。
ネットワークを流れるパケットを専用装置またはソフトウェアでキャプチャーして(記録して)、そのキャプチャーデータを解析して調査します。一般的には専用装置を用いることが多いですが、当社の場合は自社で開発したソフトウェアを使用することも良くあります。その理由は、自社開発ソフトならばカスタマイズが自由自在なので、案件ごとにキャプチャー方法をきめ細かく調整でき、狙ったパケットだけ収集するとか、特定のトリガーに基づいてキャプチャーを制御するといった使い方ができるからです。
何も考えずにパケットをフルキャプチャーするとおそろしく巨大なデータ量になりますので、解析の手間、時間、費用が馬鹿みたいに膨れ上がってしまいます。それを防ぐために当社では、自社開発ソフトでキャプチャー方法をカスタマイズしてデータ量を減らし、解析の効率を高めている次第です。
ネットワーク規模によって費用に天地の差があるので何とも言い難いのですが、当社の場合は小規模なネットワークの案件しか対応したことがないので、その事例に基づいた目安をご案内します。
対極的な例として、私は経験がありませんが、大規模ネットワークの調査では1千万円以上かかることもあるらしいです。
なお、中~大規模のネットワークの場合でも、調査対象を小さなセグメントまたは特定の機器に絞り込めば、調査内容は実質的に小規模ネットワークと大差がなくなりますので、費用は前述の目安のような金額帯になります。
ちなみに規模の大小を問わず法人の場合ですと、スポット的にネットワーク・フォレンジックを依頼するよりも、ネットワーク・セキュリティのサービスやアプライアンス等を年間契約するほうがコスパが良いこともあるので、そのような場合にはそちらをお勧めするかも知れません。
パソコンのメインメモリー(主記憶装置/RAM)を調べることをメモリー・フォレンジックと言います。
メインメモリーとは、「データの一時的な保存場所」となる部品のことを指します。「一時的」な保存場所であり、電源をOFFにすると消える(揮発する)ため、標準的手法のフォレンジックでは省略するケースもよくあります。(*2-8-1)
メモリー・フォレンジックをおこなうべきか否かは、インシデントの内容や状況によって判断することとなります。もしインシデントが発生してから一度も電源をOFFにしていない場合には、重要証跡がメモリー内に残っている可能性があるので、そういうときはメモリー・フォレンジックをおこなうのが基本です。逆に、電源を切った状態で保管されているケースや、サイバー攻撃の案件ではなく従業員不正の案件など、メモリー・フォレンジックの価値が薄いと考えられるケースではコスト抑制のために省略することが多いです。
【注釈】
*2-8-1:電源OFFで一旦揮発しても、マルウェア事案の場合は調べる意味がまったく無いわけではないことにご注意下さい。マルウェアの永続化処理によってパソコン再起動時にマルウェアも再起動するような場合では、メモリー内に再びマルウェアに関連するデータがセットされますので、メモリー・フォレンジックで検出できる可能性があります。ただし永続化の証跡はストレージにも残るため、メモリー・フォレンジックが必須なわけではありません。
メインメモリーの中のプロセス(プログラムの実行状態)に関係するデータの調査がメインになります。事案によりますが基本的には異常なプロセスがないか、異常な通信先と接続するプロセスがないか、というような点を調べます。場合によってはプロセス乗っ取り(コードインジェクション等)を調べたり、関連するEXEやDLLのPEを解析することもあろうかと思いますが、それらはフォレンジックというより「マルウェア研究」の領域ですので、当社の場合は「未知のマルウェア」に出くわしたときにしかおこないません。
ダンプツールでメモリーイメージを取得し、イメージファイルに対して解析をおこなうのが標準的なやり方です。
なお当社では、廉価な簡易フォレンジックである「マルウェア調査サービス」において、コスト削減のために自社製ツールで必要な情報のみライブ収集するやり方も取り入れています。その場合はメモリー・フォレンジックではなく「RAM検査」と呼んでいます。
PCフォレンジック等のオプションとして提供しているため、メモリー・フォレンジックだけをご依頼頂くことはありません。また、オプションの料金に関しては事案ごとに異なりますが、当社ではだいたい「無料」でおこなっております。
無料の理由は、メモリー・フォレンジックするほうが当社にとっても効率が良いからです。もっと簡単に言うと調査が楽になるからです。例えばステルス性の強い標的型マルウェアの場合、ストレージのあちこちを調べてようやく証跡が見つかるというケースが多いのですが、もしメモリーを調べられればサクッと不審点が見つかることが多いので、メモリー・フォレンジックする価値がありそうな状況ならば当社としてもぜひやりたいからです。
逆に、そうする価値が無さそうな状況、例えば何週間も前に退職した元従業員の社内不正を調べる場合とか、倉庫に保管されていたPCを調べる場合など、メモリー・フォレンジックする意味が無さそうな状況では作業負担が増すだけの可能性が高いので、有償オプションとしております。
IoTとは簡単に言うと「インターネットに繋がる物」です。スマート家電、防犯カメラ、産業用デバイスなど様々な物が該当します。それらに対するフォレンジックのことをIoTフォレンジックと言います。
なお、正確に言うとIoTではない機器の場合でも、IoTフォレンジックの方法を転用(応用?)して調べることもあります。例えばWi-FiルーターはIoTとはちょっと違う物ですが、IoTフォレンジックのやり方をそのまま転用できる機種が多いです。
2024年現在で確立した方法はなく、調査内容も案件によってバラバラです。
理想を言えばPCフォレンジックと同様にストレージを丸ごとコピーして調べたいところですが、構造や仕様の問題からコストが極端にかかるため「割に合わない」ことが多いです。そのためほとんどのケースでは、より簡易的な代替手法を選択して、IoT機器の挙動や設定状態を確認するのに留まる調査をおこなうことが多いです。
大きく分けると下記3つの方法があります。
上記1番が理想なのですが、前述のとおりコストが割に合わず依頼する人は少ないので、代替案として上記2・3番を依頼されることがほとんどです。
やり方の説明にあるとおり3つの方法があり、それぞれ費用は異なります。
まず、やり方1番の費用に関して。
これは見積もりが必須ですが、かなり高額になりがちです。
その理由は幾つもありますが、まず一つは、ほぼ全てのIoTはメモリーチップが表面実装のため簡単に取り外しできず、強度の分解(言い換えれば破壊)が必要なため物理的な作業難易度が高いです。次に論理的な難易度に関して、「吸い出したデータの書式・形式が不明のため、そのままでは解読できない。」という状況で解析作業に苦しむことがあります。そして、それらをぶっつけ本番でやるわけにはいかないので、事前に調査対象物と同型機種を用意してテストする必要があります。さらに、テスト用の同型機種の入手が意外と難しいこともあります。例えば同じ製品でも製造時期によって中の部品が違うことがよくあるので、完全に同じ物を入手できないこともあります。このように難しい問題が複数あるため、調査費用が高額になってしまうのです。
比較的やりやすい機種の場合でも数十万円、少し難しい機種の場合は100万円以上、かなり難しい機種の場合は数百万円です。
どうでしょう。前述の説明のように「コストが割に合わない」というのがお分かり頂けるかと思います。そのためほとんどのお客様は1番の方法を諦め、2・3番を選択するわけです。
2番のネットワーク・フォレンジックの応用の場合、当社では20万円~と料金設定しております。ただしIoT単体ではなく連携・連動する機器(LAN内の他の機器)も調べる必要がある場合は、台数に応じた費用が加算されることとなります。
3番に関しては、これを単独でご依頼頂くことはなく、②番のサービスに内包する形で提供しております。
ここまでにご案内したように複数のフォレンジック方法があり、それぞれ特徴が異なりますので、実際のフォレンジックの現場においてはまずはじめに依頼者とヒアリングし、どのフォレンジック方法が依頼者にとってベスト/ベターかを考えることとなります。
フォレンジック方法の選択は、依頼者の目的、事案の背景や状況、調査対象物の種類やコストなどなど色々な要素が複雑に関係するため、最適解を出すのが難しいケースも度々あります。
事案ごとに適切なやり方が異なるにも関わらず、単に費用の安い・高いだけで調査方法を決めてしまうと、本末転倒で調査不能・解決不能になるリスクが結構あります。
その点をご留意頂き、当てずっぽうな調査は避けるようご注意下さい。