フォレンジックとは？調査内容など基礎から解説

フォレンジックという言葉を聞いたことはあるでしょうか？
近年、サイバー攻撃の報道や警察の事件の報道、各機関の不正発覚の報道や芸能人のスキャンダルの報道などで耳にする機会が増えてきていますので、もしかしたらそのようなきっかけで、この記事をお読みになっている方も多いかもしれません。
そんなフォレンジックについて解説します。

フォレンジック・セキュリティインシデント対応支援サービスの詳細はこちら

フォレンジック（Forensics）とは

フォレンジック（Forensics）は、もともと「法廷の」という意味を持つラテン語「forensis」に由来していて、『犯罪捜査において証拠を収集、分析するための科学的手法』を意味する言葉です。
その中でも、コンピュータやサーバー、ネットワーク機器、近年ではスマートフォンなどを含むデジタルデバイスから証拠を抽出する技術がデジタル・フォレンジックと呼ばれます。分かりやすい例としては、PCやスマートフォンに特化した警察の鑑識をイメージしてもらえれば大きくは外れないでしょう。

日本国内においてはこのデジタル・フォレンジックを指してフォレンジックという言葉が使われることが多いように思われますので、この記事でも以降デジタル・フォレンジックの意味でフォレンジックと表記します。

犯罪捜査とフォレンジック

パソコンやスマートフォン、カーナビや監視カメラ、人感センサー付きの家電などのデジタルデバイスが仕事や私生活に不可欠となる現代社会の中で、犯罪捜査においてもフォレンジックは必要不可欠な技術となっています。

例えば、令和5年の日本における“刑法犯の認知件数”の約半数を占める“窃盗”ですが、そのような身近な犯罪であっても、「監視カメラに容疑者(窃盗の瞬間)が映っているか」「窃盗のやり方に関してスマホで調べたりメモなどをしていないか」「犯行時刻に容疑者のアリバイはあるのか」などを調査するにあたり、デジタルデバイスの情報、例えば監視カメラの録画履歴や、スマートフォン上のデータ(削除データ含む)の解析等を行えば、事件の解明に繋がる“証拠”や次の調査に繋がる“情報”が発見できる可能性があります。

また、近年社会的な問題となっている「匿名・流動型犯罪」等では、通信ネットワークは活動の中心を担っていると言っても良く、その中で利用される通信端末の調査はより重要なものとなっていると想像できます。

このように、フォレンジックは、デジタルデバイスに残された痕跡から真実を解明し、犯罪捜査に不可欠な役割を担っています。

訴訟とフォレンジック

海外、特に米国における訴訟とデジタル証拠の関連で重要な概念であるeDiscovery（電子情報開示）ではデジタルフォレンジックの手法が活用されています。
eDiscoveryとは、民事訴訟において、電子的に保存された情報（ESI: Electronically Stored Information）を特定し、保全、収集、処理、レビュー、そして提出するまでの一連のプロセスを指しますが、現代の訴訟においてデジタルデータが膨大であることから、このプロセスは極めて複雑であり、この過程で、電子データの収集、分析、およびその真正性（改ざんされていないこと）や完全性（全てが揃っていること）の確保のために不可欠な技術として、デジタルフォレンジックの手法が使われています。

日本の民事訴訟でも、民事訴訟法に基づき裁判所から証拠となる文書の提出が求められますが、PCやスマホの電子データも証拠品として扱われます。しかし、電子データは偽造や改ざんが容易であり、意図せず上書きされる特性があるため、その証拠性の担保は非常に重要です。ここでも、デジタル証拠の専門的な取り扱いを支える基盤として、フォレンジックの手法が必要とされます。

（適切な証拠保全がなければ証拠品として認められない恐れがあるため、裁判を視野に入れる際は弁護士に相談し、適切な手続きを行いましょう）

サイバー攻撃とフォレンジック

近年、企業や個人を問わず、サイバー攻撃の被害は増加しており、ニュースでも頻繁に報道されていますので、現在の日本において“フォレンジック”という言葉を一番耳にするのは、この分野かもしれません。

皆さんも耳にしたことがあるかもしれない「ランサムウェア」「不正アクセス」「情報漏えい」などがサイバー攻撃の代表例になりますが、では、サイバー攻撃の被害とは具体的にどのようなものでしょうか？

ここではランサムウェアを例にとって考えてみましょう。
ランサムウェアは、あなたのパソコン（PC）上の大切なファイルを次々と暗号化してしまうコンピュータウイルスの一種です。これにより、メモ帳やWord、Excelといった業務で使うファイルが一切開けなくなり、インターネットブラウザやメールソフトなどのアプリケーションも使えなくなってしまいます。これは非常に深刻な被害であり、さらにランサムウェアは1台のPCだけでなく、社内の他のPCやサーバーにまで広がり、会社全体のデータが使えなくなり、事業の継続が不可能になるケースも珍しくありません。加えて、攻撃者は暗号化したファイルを元に戻すことと引き換えに、金銭（身代金）を要求してきます。

このようなサイバー攻撃の被害に遭った時、「フォレンジック」が非常に重要な役割を果たします。

関連記事：デジタルフォレンジックとは？目的や調査内容を解説

フォレンジック調査がなぜ必要か、その主な理由は以下の通りです。

原因究明と再発防止

ランサムウェアに感染したPCやサーバーにはマルウェアが残っているため、新しくシステムを構築し直して事業を再開することが多いです。しかし、そのまま再構築しただけでは、新しく作った環境でも再び攻撃される可能性があります。これは、急いで構築した環境でセキュリティ対策が不十分だったり、マルウェアが潜んでいるバックアップデータからファイルをコピーしてしまったりするためです。

フォレンジック調査では、「なぜサイバー攻撃が発生してしまったのか？」、「攻撃者はどのようにシステムに侵入（不正アクセス）してきたのか？」、「どのようにランサムウェアの被害を発生させたのか？」といった原因を徹底的に調べます。この原因を特定することで、二度と同じ被害に遭わないための適切なセキュリティ対策を実施できるようになります。

被害影響の正確な調査

ランサムウェアはファイルの多くを暗号化するため、どのPCが感染したかは比較的わかりやすいですが、ランサムウェアとは別の種類のマルウェアがシステムに仕込まれている場合があります。

例えば、「バックドア」と呼ばれる、攻撃者が後から密かにシステムに再侵入するための仕掛けがどこかに残されていると、たとえランサムウェアの被害から復旧しても、再び攻撃者が侵入してきて新たなサイバー攻撃を実行する可能性があります。
フォレンジック調査では、このような隠されたマルウェアがないか、被害がどの範囲に及んでいるかを調査します。

このように、サイバー攻撃におけるフォレンジックは、単に被害からの復旧だけでなく、攻撃の真の原因を突き止め、将来的なリスクを防ぐための、まさに「守りの要」となる技術なのです。

内部不正とフォレンジック

例えば、『退職した元社員が、会社の機密情報を転職先に持ち出した』『従業員が会社の金を横領した』『職場でハラスメントが発生した』といった、企業内で起こる不正行為（内部不正）の調査でも、フォレンジックは非常に重要な役割を果たします。

内部不正の調査には、その特性上、サイバー攻撃等の調査とは違う難しさがあります。
社員は業務上の必要から正当な機密情報へのアクセス権限を持っているため、不正の発覚が遅れたり、アクセスしただけでは持ち出しの証拠と断定できないことがあります。また、私物のスマートフォンやUSBメモリが使われた場合、プライバシーの問題から調査が進まず、証拠が掴めないといったこともあります。

その場合、会社から貸与されたパソコン（PC）の調査は非常に有効です。
PCには実は非常に多くの「痕跡」が残されており、たとえPCに詳しい人が証拠を消そうとしたり、削除しようとしたりしても、専門家から見れば何らかの証拠が残っている可能性が高いのです。
例えば、機密情報を私物のUSBメモリで持ち出そうとした人がいたとします。
PCには、そのUSBメモリが接続された履歴や、機密情報へのアクセス履歴などが残ります。これらの履歴を削除しようと試みても、簡単ではなく、仮に消せたとしても意味がないとされています。それどころか、証拠隠滅として別の刑事罰に問われる可能性すらあります。
なぜなら、PCには「利用者が簡単にアクセスできる領域」と「専門家しかアクセスできない領域」があるからです。フォレンジックの専門家は、後者の領域に残された証拠を見つけ出すための特別なツール、知識、そして経験を持っています。

さらに、仮にすべての痕跡が消されたとしても、PC上には「空白の時間」が残ります。これは、「なぜその時間、業務をしていないのか？」「サーバーには情報アクセス履歴があるのにPCには痕跡がないのはなぜか？」といった疑問を生み、別の労務違反に該当する可能性につながるのです。

このように、フォレンジック調査は、内部不正の真実を解明し、適切な対応を行う上でも不可欠な技術といえます。

セキュリティ部門向け支援サービスの詳細はこちら

セキュリティ事故対応支援ならご相談ください

GMOサイバーセキュリティ byイエラエでは、インシデント発生時の証拠保全、データ解析、関連情報の抽出、報告まで専門家がご支援するセキュリティ事故の事後調査サービスをご提供しています。