フォレンジックにおける証拠収集と解析・調査の詳細 ― データの「選別」と「再構成」のポイント―

先日の記事『フォレンジックにおける証拠保全の詳細 ―主要な4つの保全手法を解説―』ではフォレンジック調査における証拠保全の詳細について解説しました。

証拠保全を終えた後はフォレンジック調査の中心である「証拠収集」と「解析・調査」のフェーズに進みます。便宜上、「証拠収集」と「解析・調査」に分けて記載していますが、実際は「証拠収集」と「解析・調査」は一連のサイクルとなっています。収集したデータを解析し、そこから判明した手がかりをもとにさらにデータを収集するという連鎖的なプロセスで進められます。

本記事では、どのような観点で保全された証拠から必要なデータを収集して解析を進めるか、また、その注意点について詳しく解説します。

フォレンジック調査における「証拠収集」とは、保全された証拠から解析に必要なデータを収集することを指します。単に端末に残されたファイルを収集するだけでなく、削除されたデータを復元することも「証拠収集」に含まれます。

保全した端末上にはアーティファクトが無数に存在し、それらを手あたり次第調査しようと思うとリソースがいくらあっても足りません。特にセキュリティインシデント発生時のフォレンジック調査の場合、被害拡大防止や業務復旧に向けて迅速な対応が求められます。

そこで必要となるのがフォレンジック調査を行う目的の明確化です。目的を明確にすることで、収集するアーティファクトが限定され、より効率的に解析を進めることができます。

ここでは「サイバー攻撃」と「内部不正」という2つのケースを例に、それぞれの「証拠収集」のポイントを解説します。なお、調査端末は主にWindowsを想定しています。

サイバー攻撃発生時にフォレンジック調査を行う目的は、被害の全容を明らかにし、再発防止につなげることです。そのため、サイバー攻撃の種類によって若干異なりますが、基本的に「侵入経路」「侵害範囲」「被害内容」の3点に関連するアーティファクトを収集することになります。それぞれについて収集する主要なアーティファクトを紹介します。

• 侵入経路の特定:
  攻撃者がどのような手法（脆弱性の悪用、VPNの認証突破、フィッシングメール等）で侵害したのかを突き止めます。Webサーバーのアクセスログ、VPNの認証ログ、および端末上のブラウザ履歴や受信メールなど攻撃の起点となる箇所のアーティファクトが収集対象になります。
• 侵害範囲の特定:
  攻撃者は侵入に成功すると侵入したネットワーク内で他の端末への横展開を試みます。組織内のどのサーバー・端末まで侵害されたかを特定するため、ログインやリモートデスクトップ（RDP）に関連するWindowsイベントログなどを収集します。
• 被害内容の特定：
  マルウェア感染について確認する場合は、PrefetchやAmcache、Shimcache（レジストリ内に存在）といった実行履歴に関わるアーティファクトを重点的に収集します。マルウェアは定期的に実行されるケースがあるため、タスクスケジューラや自動実行に関わるレジストリやイベントログなどのアーティファクトを収集することも有効です。また、「解析・調査」の過程で見つかったマルウェアも収集対象と言えます。
  攻撃者による外部への情報持ち出しについては、侵害された日時において不審なファイル圧縮ツールの使用（WinRARや7zipなど）やサイズの大きい圧縮ファイルの作成が存在しないか確認します。

内部不正についてフォレンジック調査を行う目的は、不正行為（内部情報の持ち出し・消去、横領、コンプライアンス違反など）の有無を明らかにすることです。サイバー攻撃とは異なり、正規のユーザーが調査対象となるため、ログ上では一見すると通常の業務操作と区別がつきにくいという特徴があります。

ここでは内部不正の調査において注目すべきポイントと主要なアーティファクトを紹介します。

• 持ち出し経路の特定：
  情報の持ち出しには、外部記憶媒体やクラウドストレージがよく利用されます。外部機器接続履歴が保存されているレジストリとWindowsイベントログ、クラウドストレージへのアクセスが記録されているブラウザ履歴などを収集します。また、メールの添付ファイルという形で情報を持ち出している可能性もあるため、メーラーを使用している場合は送信メールも収集対象となります。メーラーを使用していない場合は、メールサーバーのログなどを調査する必要があります。
• 内部不正行為があったことを示すファイルの確認：
  調査対象者が何らかのファイルに内部不正を行っていた事実を記録している可能性があります。そのため、端末内に残存しているファイルをキーワードで網羅的にチェックし、該当したファイルを収集します。また、このようなファイルは調査対象者によって削除されている場合があるため、必要に応じて削除ファイルの復元（カービング）を行います。

OSやアプリケーションごとに記録されているデータや記録場所・記録方法が異なるため、「証拠収集」のフェーズには高度な専門性と幅広い知識が必要となります。

フォレンジック調査における「解析・調査」とは、「証拠収集」のフェーズで集めたアーティファクトを解析することです。収集した証拠の中から調査目的に沿った痕跡を抽出し、時系列や因果関係を整理していきます。この工程を経て、経営判断や法的措置に活用可能な情報になります。

フォレンジック調査の目的は、サイバー攻撃や内部不正などのインシデントの全容を解明することです。「解析・調査」のフェーズで行うのは、収集した証拠からデータを抽出するだけではありません。それらのデータを適切に組み合わせて事実を再構成していくことも「解析・調査」に含まれます。

ここでは「解析・調査」のフェーズで実施する主な作業内容を紹介します。

• タイムライン分析による事象の時系列整理：
  証拠から抽出したデータを時系列整理することでインシデントの全体像を可視化することができます。サイバー攻撃の場合であれば、攻撃の起点はどこであったか、どのようにして侵害が広がったかなどを把握することができ、得られた知見は復旧や再発防止に役立ちます。
• マルウェア解析と攻撃手法の特定：
  収集した証拠には攻撃者が設置したマルウェアが含まれる場合があります。検体を解析することでマルウェアの機能を特定するとともに、攻撃キャンペーンとの関連性を評価します。また、マルウェアを解析して得られたIoC（Indicators of Compromise）をセキュリティ製品に展開することで、他の端末への侵害を未然に防ぐことにつながります。
• 情報流出範囲の特定：
  攻撃者は、目当てのファイルを即座に外部へ送信するのではなく、ファイルを圧縮する工程を踏むことが一般的です。侵害を受けた時間帯に不自然なアーカイブファイルの作成痕跡がないかを確認します。これは内部不正の場合も同様で、外部機器が接続された前後でアーカイブファイルが作成されていればその情報が持ち出された可能性があります。

「解析・調査」は最も時間と専門知識・思考力を要するフェーズです。また、不自然な点を見逃さないよう、最新の攻撃手法に関する知識を常にアップデートしておく必要があります。

ここで強調したいのは、インシデント対応はシステムの復旧のみで完結するものではない、という点です。インシデント対応の完遂には、ステークホルダーへの説明責任の履行と再発防止策の策定が不可欠です。

これらを実現するための客観的な根拠を与えるのが、フォレンジック調査の結果に他なりません。「証拠収集」、「解析・調査」による正確な現状把握がなければ、適切な報告も根本的な対策も不可能なため、フォレンジック調査はインシデント対応における要といえるでしょう。

また、組織のセキュリティ担当者の方には、平時からフォレンジック調査に必要なツールを準備しておくことをお勧めします。技術的に難しい場合は外部の調査会社や専門家に相談することも視野に入れておきましょう。状況に応じて外部リソースを活用することで、より迅速かつ的確な問題解決が期待できます。

デジタルフォレンジックサービス

フォレンジック基礎講座

X-Ways Forensics

X-Ways Forensics プロダクトトレーニングコース