LTセキュリティ

【事務所移転】2024年1月に移転しました
東京都台東区台東1-24-2 ISM秋葉原 7階



悪徳業者
一発で見分ける方法

無資格業者に気をつけよう

悪徳や詐欺の調査会社は意外と多い

スマホやパソコンなどの遠隔操作、盗聴、不正アクセスなどと言ったハッキング(サイバー犯罪)を調べる調査会社には、いわゆる「悪徳業者」が多数存在します。

その手口は様々です。
例えば、簡易的な調査だけを実施しておきながら、費用は本格のデジタル・フォレンジックと同等の金額で請求するとか。
市販のウイルス対策ソフトなどのアプリでスキャンするだけというレベルの調査で、高額な費用をふんだくるというケースを見かけます。
さらに酷いケースでは、「機器の重量をはかる」とか「基盤の回路を目視する」などといった訳の分からない調査だけで終わらすケースや、勝手に初期化して「セキュリティ対策をしたのでもう安全です」と言って高額な対策費用を請求するというケースもあります。

これまでに何度も何度もこういった悪徳業者や詐欺まがいの事例を見てきました。
情報セキュリティはとても複雑な分野であるため、一般の消費者には理解し難いことなので、悪徳業者や詐欺師などに狙われやすいようです。
このページでは、“絶対に詐欺被害に遭わない”ために、悪徳業者を一発で見分けるテクニックをご説明いたします。
ぜひ最後までお読み頂けたら幸いです。

悪徳業者の見分け方

優良な調査会社なのか、悪徳業者なのか、たった1つの質問でほぼ正確に判断できます。
その質問とは、
『解析を担当する“アナリスト”のプロフィールを教えて下さい。』
です。
たったこれだけです。

この質問でアナリストの 資格経歴 などのプロフィールを知れば、その調査サービスの信用性や品質を判断できます。

言うに及ばずですが、特に資格関連の情報はとても参考になります。
現在保有している資格とか、過去に合格した試験とか。アナリストならば何かしらあるはずです。

デジタル・フォレンジックに限定して言いますと、日本ではIDF(NPOデジタルフォレンジック研究会)が実施するCDFP(デジタル・フォレンジック・プロフェッショナル認定)が有名です。
当社の技術者はCDFPの基礎資格(CDFP-B)と、その上位版の実務者資格(CDFP-P)を保有しています。
特に実務者資格(CDFP-P)の試験は、短期間の学習だけで合格できるような内容ではないので、業者選びの判断基準としてはとても有効だと思います。
ただしCDFPはあくまでデジタル・フォレンジックに関する資格ですので、全てのアナリストが保有しているというものではないことに留意が必要です。
これ以外にもIT関連では様々な資格があり、例えばIPAの情報技術者試験や、LinuxのLinuC、ネットワークのCisco系認定資格などなど。
CDFPに限らず、事案の内容や性質に合わせて適切な技能を持つ技術者が対応するならば安心と言えます。

もし資格だけでは良く分からない、経歴を聞いてもいまいちピンとこない場合には、そのアナリストの氏名でインターネット検索をしてみてください。
そうすれば必ず、研究内容や講演などといった活動の実態に関連する情報が出てくるはずです。
それらを見れば“本物の専門家”なのか“偽物の自称専門家”なのかを判断できますので、ひいては優良な調査サービスなのかどうかが分かります。
アナリストの資格や経歴が確かなものの場合は、優良業者であると判断してほぼ間違いないです。

ここから逆説的に、ダメな例を次で説明します。

要注意①

【例1】
もしアナリストの情報を提供してもらえない場合、例えば「社員のプライバシー保護のためお教えできません。」というように情報提供を断られた場合は注意が必要です。
アナリストは調査サービスの“核”です。
そして調査会社にとってアナリストは、とても有効な“アピールポイント”です。
優秀なアナリストが調査を担うとアピールすることで、自社の調査サービスが如何に優れているかを示すことができます。
つまり優良調査会社ならばどんどんアピールしていきたい要素ですので、それを隠すというのは何だか変なことなのです。

例外としてセキュリティ専門の大企業(大企業子会社の専門業者も含める)の場合は、過度に警戒しないでも良いです。
その理由は、セキュリティ専門の大企業にはアナリストが複数名在籍していて、事案の性質や調査時期によって適宜にアナリストを専任するため、具体的な調査計画を立ててからでないと担当を決められないことも多いからです。
そのためセキュリティ専門の大企業の場合は、アナリストの情報提供がなくても問題はないかと思います。
しかしそうではない企業、例えば探偵や興信所とか、小規模なセキュリティ専門企業などの場合は、最大の警戒が必要です。
大企業でもないのにアナリストを公開しないというのは、もしかしたら本物の専門家など在籍していないのかも知れません。
ホームページや広告などの外見は立派でも、中身は粗末な“ハリボテ”の調査サービスなのかも知れないです。
だから、最大の警戒が必要です。

また、悪徳業者かどうかよりも前の話しで、パソコンやスマホという機密情報や機微情報が含まれるものを、小企業の名前も素性も分からない社員(言い換えると得体の知れない者)が根掘り葉掘りほじくり返すというのは、非常に気持ちが悪いです。
ですのでこのような業者は検討の対象から除外した方が無難だと言えます。

要注意②

【例2】
プロフィールは情報提供されたが、その氏名をインターネットで検索しても何も出てこない、という場合にも注意が必要です。
優秀なアナリストは必ず何らかのセキュリティ業界団体、研究会、講演会などに関連する活動をしていますので、氏名でWeb検索すれば活動実態が見える情報が出てくるものです。
検索しても何も無いのであれば、プロフィールが出鱈目に誇張や詐称された“偽物の自称専門家”なのかもしれません。
その業者は除外して検討したほうが無難です。

ただしこの場合も、例外としてセキュリティ専門の大企業の場合は、過度に警戒しないでも良いです。
その理由は、セキュリティ専門の大企業では、これから経験を積んでいく若手のアナリストが担当することもあるからです。
その場合でも必ず熟練のアナリストが若手をサポートすることになりますので、重大な失敗が起こることはまず無いと思います。
そのためセキュリティ専門の大企業の場合は、アナリストの情報がWebに無くても問題はないかと思います。
しかしそうではない企業、例えば探偵や興信所とか、小規模なセキュリティ専門企業などの場合は、最大の警戒が必要です。
これは前項の【要注意①】と同じです。
立派な外見、でっちあげの専門家、ハリボテの調査サービスなのかも知れません。
あえてリスクをとることもないので、検討の対象から除外した方が良いと言えます。

アナリストとは?

ここまで何度も「アナリスト」という言葉を書きましたが、それが何なのかを説明しておりませんでした。
アナリストとは、デジタル・フォレンジックの仕事の内で、調査で集められたデータの分析や解析を担当する技術者のことを言います。

一言に「デジタル・フォレンジック」や「ハッキング調査」などと言っても、その内容は次に挙げるような複数の仕事が1セットになったものです。

① 作業的な仕事 :データ収集や証拠保全などの仕事。
② 解析の仕事 :ウイルスやサイバー攻撃などを調べる仕事。
③ 事故対応の仕事 :初動対応、対処計画、管理・監督などの仕事。
④ 事故後の仕事 :セキュリティ改善、法的措置などの仕事。
この他にも色々と挙げられますが、長くなるので省略します。

アナリストとは、上記の②番を担当する技術者のこと、または②番を含めて複合的・総合的に事案に対応する技術者のことを言います。

上記の内の①番、データ収集や証拠保全などの作業的な仕事については、短期間のトレーニングをすれば実務レベルの技術を身につけられます。
全くの初級者でも1年ぐらいみっちりと学習&トレーニングをすれば、大半の人は身につくかと思います。
初級者ではなく、既にITの仕事で活躍しているプロ、例えば現役のSEやプログラマーなどであれば数週間だけトレーニングをすれば身につくかと思います。
しかし①番と違い②③④の仕事は、そうは行きません。
普通のプロのレベルではダメで、スペシャリストでなければ務まらない仕事です。
学者や研究者のように相当に広く深い知識、見識、経験が必要になりますので、何年もの研究活動を積み重ねなければ務まらない仕事なのです。
だから、本物の専門家であるならば、その氏名でWeb検索すれば活動実態に関する情報が出てくるのです。

悪徳業者に騙されないで!

デジタル・フォレンジックはコンピュータの深層を分析・解析する科学調査であり、研究所や専門機関においてトレーニングや実務を積み重ねた技術者にしかできないことです。
その技術者の育成には何年もの歳月が必要であり、短期間で付け焼刃的に学習できるようなことではありません。
さらに、コンピュータを取り巻く環境は目まぐるしく発展するものなので、最新テクノロジーの研究活動を継続する必要もあります。
また、調査用の機材やシステム等の製品は非常に高価かつ保守管理コストも高額なものであり、しかも一般には販売されていません。
なぜならばそれらの製品の主なターゲットは、国家や地方自治体などの行政、軍事機関、法執行機関、研究機関などだからです。一般企業や民間人が簡単に導入できるようなものではありません。
これらのような理由によりデジタル・フォレンジックは、情報セキュリティの専門企業でなければ新規参入が極めて難しい分野なのです。

しかしどういうわけか近年では、探偵や興信所などといった完全に門外漢の業者がデジタル・フォレンジックの名をかたったり、「ハッキング調査」などと言って広告宣伝しているのを見かけます。
冷静に考えれば、そのような門外漢の非専門業者が本格のデジタル・フォレンジックを実施できるわけがないことは、説明するまでもなくご理解頂けるかと思います。
にも関わらず悪質な調査会社が実際に存在している事実をみますと、もしかしたらですが、サイバー犯罪の被害を受けて慌ててしまった被害者が、不安とパニックから正常な判断力を欠いた状態で、誤って悪徳業者に相談してしまうのかもしれません。 調査会社をご選択の際は、慌てず一旦落ち着いて、業者が情報セキュリティの専門企業かどうかを十分にご確認ください。
そして、本物の専門家が担当するのかどうかを確かめるために、このページに記載したテクニックをぜひご活用下さい。

【補足】
誤解の無いよう念の為に補足します。
小さな業者や探偵・興信所の全てが悪徳業者だというわけではなく、まともな調査会社も存在します。
このページに記載したテクニックを用いればそれを見分ける事ができます。
しかし、もしこのテクニックを試してみても良く分からない場合や、そもそも時間的猶予がない場合などは、業者探しで遠回りをして無駄に時間を費やすよりも、素直に大きな情報セキュリティ会社に依頼した方が無難です。

また、極端に安い業者は避けたほうが良いです。
例えば数万円とか十数万円とかの安い調査サービスの場合ですと、それは本格のデジタル・フォレンジックではないと断言できます。
もし希望しているのが簡易のウイルスチェックだというならば安価な調査サービスでも良いですが、本格のデジタル・フォレンジックを希望しているのであれば、費用が高くてもしっかりした業者を選ぶべきです。
本格のデジタル・フォレンジックは低価格で実施できるわけがない調査サービスです。
相場の費用感として、通常は100万円以上かかります。
安い場合(調査内容を絞り込んで費用を抑える場合)でも数十万円は必ずかかります。
この相場よりも極端に安い調査サービスは、安物買いの銭失いになってしまう恐れが強くありますので、避けたほうが無難です。
(費用については下記リンク先もご一読下さい)
【 → デジタル・フォレンジックの費用が高額になる理由】
元のページに戻る
サイバー犯罪調査 - 必読
【無料アプリで調査】ホワイトハッカーが教える、スマホのハッキング/乗っ取りの確認方法
スマホ・PCの検査サービス