デジタルフォレンジック調査の実態と今後の抱負

※コロナウィルスの予防対策として、初めて座談会をオンラインにて実施しました。

イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第10回をお送りします。

川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。

イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました（川口洋の座談会シリーズ)。

前回に引き続き、今回もイエラエセキュリティのフォレンジックチーム3名が集結。顧問・川口洋がこれまでのフォレンジック調査経験について詳しく聞きました。どうぞお楽しみください！

 

iPhone100台にMacbook100台、OSヴァージョンやファイルシステム複数混在での調査

川口洋（以下、川口）：前回は、フォレンジックサービスの立ち上げに際してサービスの内容についてご説明いただきました。今回は内部不正対策について話を聞いていきます。内部不正対応の経験が豊富な会川さんに話を伺いたいのですが、過去に対応した事案の中から印象に残っているものをご紹介頂けますか。

会川尚太郎（以下、会川）：実際に前職で調査した案件で、「社員のPCを全部厳密に調査して欲しい」という依頼がありました。調べた端末は会社単位でiPhone100台位、MacBookも100台程度あり、プロキシログ等も含めて調査して欲しいという依頼でした。

川口：数を聞くとぞっとしますね。

会川：更にゾッとすることに、この時期はちょうどMacの新しいOS、Mojaveが出始めた時期でもあり、Appleのファイルシステム、APFSをリリースし始めた時期でもあったんです。OSはHigh SierraとMojaveが混在していて、ファイルシステムはAPFSであったりなかったり。更にはFileVaultが掛かってるものと掛かってないものがあって、鍵がどうなってるか分からないものが入り混じっていました。

同時期に、いくつかのフォレンジックベンダーが「APFSの新ファイルシステムのデータの保全・解析ができますよ」という謳い文句でツールを出していたのですが、どうしてもAPFSのデータが扱えなかったりしました。どういった条件のデータなら抽出・保全ができるのかが全く分からない状態だったのですが、営業があまりエンジニアに相談せずGOサイン出してしまった案件だったんですよね…。

川口：ちょっと恨み辛みが入ってませんか？（笑）

会川：「やってみないと分からない」ということをやってみるのは、楽しいことでもあったりはするんですが（笑）。新しいファイルシステムや新しいOSのバージョン、ディストリビューションが出たときは、隙間時間に一通りテストをしておくのが癖になりましたね。学ぶところは多かった案件です。

川口：ユーザーさんのパソコンを沢山調べないといけない時に、環境が統一されていない技術的な困難さは結構ありますね。

会川：ありますね。例えば傾向として、Windowsユーザーは古いシステムに固執する人が多いと思うんですよ。「Windows 10が出たけどデザインが嫌いだからアップデートしない」とか「作業環境をなるべく変えたくない」みたいな。私もどちらかというとそっちのタイプなのでわかるんですが、一方でMacユーザーって新しいOSが出ると「とりあえずアップデートしてみる」みたいなところがあるように思います。Catalinaが今だと一番新しいOSのバージョンではあるんですけど、一番やっかいですね。ハードウェアの暗号化機能と組み合わせた時の妙でやりづらくなる時はありますね。

川口：会川さんがいままで調べてきたパソコンの中で、WindowsとMacの割合ってどんな内訳ですか。

会川：8:2か9:1位で、Macが少ない感じですね。ただ、割合は少ないんですが、Macが解析できないとクリティカルな要因になり得るんです。

内部不正系の調査依頼って、第三者委員会が立ち上がって大規模な調査が始まるような事態のことがままあるんですが、一番情報を握っている、重要参考人である偉い人に限って、Macを使っていたりするんですね。ですから、その人のMacのデータを的確に回収できないと調査会社としての信頼がガタ落ちしてしまうので、戦々恐々としながら対応していました。

川口：自分は特別だと思っている偉い人は、会社標準PCではないもの使いたがりますよね（笑）。

会川：チラホラいますね。社長だけゲーミングPC使っていたり、ストレージが4TBで数ドライブあるとか。得てして、そういう会社ほど不正が多い印象があります。

川口：それは重要な判断項目ですね。「御社の役員が使ってるPCは何ですか？　それは標準パソコンですか？」っていうチェック項目は必要かもしれませんね。そういう無駄なことをするから運用コストも上がるんですよね。

会川：管理コストが跳ね上がってしまって、誰も監査できなくなるという話は充分あり得ますよね。

川口：スマートフォンの調査はどのように行うんですか。

会川：基本的にはデータの保全をして、内部にどういうコンテンツがあったのか、アプリやコミュニケーションの履歴などを見ていきます。スマホの依頼は多いのですが、自動アップデートや各社組み込みの機能などで出力が安定しなくて難しいので、“やるだけやってみます”という形で請け負いたい、というのが本音です。

川口：Windowsパソコンの解析と違って一筋縄ではいかないんですね。

会川：そうですね。セキュリティ的にはiPhoneが難しいんですが、Androidは機種が様々、メーカーも様々、ファームウェアも様々、Android OSのバージョンも様々、アプリバージョンも入り乱れているという状態で大変です。データの抽出はできても、アプリのデータベースの展開が出来ないとか、暗号化がうまく解除できない、ということがあったりしますね。

リモートワーク時代のインシデント回避の為、今すぐ確認して欲しいこと

川口：お客さんからフォレンジックのお声がかかる時って、お客さんはどういう形で「変だな」と気付いてお願いしてくるんですか。

会川：一番典型的なのは、「転職した社員や辞めた社員が、顧客名簿等を持ち出した可能性が高い」と気付くパターンです。該当社員が顧客データをダウンロードしたり、USBメモリに保存したりして持ち出していないか、Webストレージにアップしてないかを調べます。

ただ、EDRとかで管理してくれていればいいんですが、「全く何も管理してなくて分からないんですけど、どこまで何のデータが流れたか特定して欲しい」ということも多くありますね。特定のログが無い場合は、Windowsの標準のログとか、ブラウザの標準のログから履歴を引っ張り出して、ネットワーク構成図が無い場合にはマッピングもして、といったことまでやります。

川口：「退職した社員」っていうキーワードはヤバいですね。退職社員のアカウントが残っていてそれが悪用されていた、なんて事件はよく聞きます。アカウント消してないことも多いですもんね。内部不正だと分かって調査することもあれば、「内部不正だと思うけどよくわからない」ってこともあるでしょうし。

会川：内部不正だと聞いて調査してみたら、たしかに漏洩したきっかけは内部不正なんですが、他のデータもマルウェア経由で流れてた、というようなこともあります。

川口：具合が悪いってことで入院したら、色んな病気が見つかりました、って感じですね。「あなた胸が痛いって言ってますけど、肝臓も悪いじゃないですか」ってことですよね。自分でも区別がついていない状態。

神崎智敬（以下、神崎）：
めちゃくちゃ分かりやすい例えですね（笑）。

会川：内部不正というよりは不注意に近い例ですが、社用のストレージ端末を自宅に持って帰って、ネットワークに脆弱な状態で繋いでいた為に会社のデータが流出する状況になっていて「どれくらい漏れたか分からないけど、データを抽出して調査して欲しい」という依頼があったこともあります。

その時はストレージの中にマルウェアが数百個あって、ストレージにログ機能もなければ、EDR等も導入されていなくて何が原因か特定するのが非常に困難でした。家庭内に存在する端末のマッピングをして、「外部に出ていく設定になっていたのがこれ」「設定されてるIPがこれ」「この端末内にあったデータがこれ」「遠隔操作の可能性があるのがこのIP」等の指摘をさせて頂きました。

川口：家庭のネットワークやPC環境のことになるので、対策するのも難しそうですね。

会川：そうですね。ちょうど今、コロナ関係でリモートワークが推奨されていると思いますが、先ほど話したようなインシデントはけっこう起こるのかなと思っています。家庭のネットワークや持ち帰った端末にストレージを意識せずに挿してしまって、そこを起点に汚染されていく、というケースもありそうです。

川口：コロナの影響でリモートワークを導入する企業が増えているという観点から、何を意識したり気を付けたりするといいと思いますか。三人のアイデアを頂けると嬉しいです。

会川：基本的には、システムでちゃんとログを取るようにしておいて欲しいですね。EDR等入れてログの管理をしっかりするとか、拾ってくるイベントをしっかりチューニングしておくとか、ポリシー管理をしっかりしておくとか、基本的な事の見直しになるかなと思います。

川口：神崎さんがまとめる資料に、「今すぐできる、あなたのログ設定確認」があるといいですね。

神崎：いつの間にか僕がまとめることになってますね（笑）。

川口：資料、期待しています！！

でも、「EDRを入れよう」っていうのはもっともな指摘だと思いますが、今すぐは入れられないよ、って人も多いと思うんです。今使ってるパソコンやスマホの設定をちょっと変えるだけで、状況が改善されるのに…ということって、無いんですか。

会川：最も基本的なことのひとつですが、「共用アカウントを止めましょう」ということですね。部署とか課の単位でアカウントを作っていると、ログを追うのが本当に大変で、誰が何やってるか全く分かりません。少なくとも1ユーザーに1アカウント割り振って仕事をしてほしいです。本当に初歩の初歩な話なんですけど、まだまだ結構あるんですよ。

川口：共用のIDとパスワードを書いたポストイットが、ディスプレイに貼ってあったりするやつですね。

会川：実際に現場に行って見てみたらポストイットが貼られてるケースは、ままありますね。

川口：「オフィスにパスワードを書いたポストイットがどれくらい貼ってあるか」も一つの指標ですよね。偉い人の個室には、油断して貼ってあったりしますよね。

寺岡良真（以下、寺岡）：
パスワードポリシーを強制するのはいいかもしれませんね。

会川：システム的にできれば、一番いいですけどね。

川口：リモートワークの基本となるVPNアカウントが全社員分無い会社は多いと思いますよ。全ユーザーの1割しか用意されていないとか。VPNアカウント共有してないかなっていうのは、気になります。これでVPNで不正ログインされても気づかないわけじゃないですか。これだけリモートワーク増えてるとVPNサーバーへの依存が高くて止められないですし。

今VPNで不正ログインされたら、企業が死んじゃいかねないですよね。そういうインシデントの種が、他にもどこかに眠ってないか心配です。USBメモリでデータ持ち出してやらかす人がいたりしないかなって。

会川：それは本当によくあると思います。以前からよくある話ではあるので。USBの書き込み制御している会社は割と多いんですが、社用のUSB持ち帰りをブロックしていない会社はままあるので、家庭のパソコンに社用USBの接続履歴があるという話はよくありますね。

川口：会社で接続するUSBやHDDは制限してるけど、それを持ち帰っちゃうんですね。やっかいですね。今時、USBメモリの管理ってどうするといいんでしょうね。

寺岡：フォレンジック調査をすることによって「持ち出したかどうか」を洗い出せるので、その時に適用される会社全体としてのセキュリティポリシーや罰則などを社員が理解しておくことは大事かなと思います。

会川：中長期的には再発防止のポリシー整備の形になると思いますね。

川口：ちなみに「USBメモリを持ち出されて事故が起こったので、体制や運用の仕組み作りを協力して欲しい」とお願いされたらどう対応するんですか。

神崎：中身のデータの管理だけではなく、物理的な管理の話もお伝えしていきたいと思います。

川口：フォレンジックチームはそういうコンサルティングもしていくわけですね。フォレンジックで課題を洗い出すだけじゃなくて、対策も手伝ってくれっていう会社も多いと思います。

神崎：はい、どこまでできるかは案件によりますが、再発防止等の助言は出来る限りしたいと思います。場合によっては対策ツールを提案して導入して頂いたりということもしていきたいと思います。

クラウド環境での内部不正、消された後でも調査できる？

川口：今、感染症対策の為に多くの会社では出勤することは自粛されていますけど、フォレンジック依頼が来たらどう対応するんですか？　フォレンジック調査は現地に行かないといけないことが多いと思うんですが。

会川：マルウェア等による侵害などの即時対応が必要なインシデント系じゃない場合は、怪しい社員の端末は既に回収されていて、シャットダウンされている事が多いと思うので、郵送でも対応できると思います。なるべくPCのシャットダウンはして欲しくないですし、現地に行きたいところではあるんですが。

寺岡：クラウド環境などの場合ですと、そもそもネットワーク越しにしか対応できないですから、リモートで問題なく対応できると思います。そういう点では現地に行くかどうかは、あまり関係がないですね。

川口：クラウドで事件が起こるケースは増えたと思うんですが、クラウド環境を使っていて気を付けて欲しいことって何でしょうか。

寺岡：クラウドサービスは制御が難しいところがあって、ひとつの設定ミスやアクセスキーの漏洩、アカウント共有していたことで不正侵入されてしまうケースなどが多々あります。他にも、環境構築をアウトソーシングしている場合にはアウトソーシングしてるベンダーの設定依存になってしまうため、そこが起点となって侵入されるなどのケースもあります。

他にも「ネットワークは閉じてるから大丈夫」という意識がある場合も注意が必要です。閉じたネットワークでも、他部署や関連会社がクラウドのシステムを導入したことで、そこが入口になってしまって、閉じていたはずのネットワークがある意味開放されてしまうケースはあります。

川口：使えば非常に便利ですけど、従来の常識のままで適当に使ってるとやられちゃうわけですね。

寺岡：そうですね。

川口：以前相談されて悩ましかったのは、「クラウドの中で不正アクセスがあったんだけど、そのサーバーがもう消されちゃって無いんだけど、フォレンジックできるの？」というケース。クラウドサービスの上にマシンが作られていたけれど、気付いた時点でマシンが消えていたら、ディスク保全ってできないですよね？

寺岡：一応、出来ます。スナップショットや自動バックアップを取ってるケースが多いので、そのバックアップから復元して調べたりもできますし、バーチャルHDDを保全してローカルで解析したりということも勿論できます。あとはクラウド環境にフォレンジック環境を作って調査することもあります。

川口：そんな選択肢があるんですね。

寺岡：ただ、スナップショットも何も残ってないとなるとかなり厳しい状態ではあるんですが、その時は他のシステム、例えばCDNとか使ってるのであればそのログを使って調べたりするアプローチをとることになりますね。バックアップ面ですと、例えば Microsoft Azure の仮想マシンの場合は30日くらいは標準でバックアップを取るようになってるので、何もしてなくても30日以内であれば調べることはできます。メモリは無理ですけど。ですから、クラウドで何か問題が起きた時は早めにご依頼いただくのが良いと思います。

川口：何にせよ、早くご相談をしてもらいたい、ってことですね。

寺岡：時間が経てば経つほど追えなくなって、厳しい状態になってしまいますから。

川口：お金がかかるかどうかもありますが、今、迷っているなら、すぐ電話してくださいって感じですね。

寺岡：調査対象の情報を、とにかく、ダウンロードだけでもしておくと良いかと思います。

川口：調べるモノが無くなってしまうのが一番厳しいですもんね。「ここだけは保全しておいて欲しい」リストがあるといいかもしれませんね。社内で調整してる間に何も調べられなくなるくらいなら、難しいことはできなくても、「イベントログのファイルだけでもコピーしておいてください！」とか。

寺岡：それはすごく有効だと思いますね。「このファイルだけ」「このフォルダだけ」という限定的な内容であっても、それは重要な証拠になるので。マルウェアも、削除したくなる気持ちは分かるんですけど、暗号化 zip などで保存しておいてもらえるとだいぶ状況が変わってきます。他にも、例えば Microsoft の Autoruns というツールを使うと、網羅的に情報を拾ってくれるので使ってみて欲しいですね。

川口：皆がすぐ使えそうなツールの紹介があるのは、いいですね。

寺岡：ツールを使うことで時間短縮にも繋がるので、平時からある程度用意しておくといいですね。すぐに使えない場合は仮想環境の利点を使って、スナップショットをとりあえず取ってダウンロードしておくだけでも効果が高いと思います。

川口：世の中の1人情シスの人たちって、まずはそういうレベルのものを求めてると思います。

寺岡：1人情シスの方は、本当に相当大変だと思います。見ている台数も多いと思うので、ツールや対応などはいくつか紹介できそうな気がします。

川口：楽しみですね。神崎さんよろしくお願いします。

神崎：みんなで役割分担してリストを作れればいいですね。フォレンジックってどこに調査したらいいか分からないお客様も多いと思うので、「とりあえずイエラエに相談するか」となるのが理想ですね。

川口：ドキュメントの認知度が上がれば、そうなりそうですね。これは楽しみですね。

寺岡：随時アップデートする形で出してもいいですね。

川口：随時更新してるのは面白いですね。

寺岡：案件が増えたら、項目も増えたりするかもしれませんね。

川口：リストの更新内容を随時紹介していくのも良さそうですね。ネタは沢山貯めておいて、適切なタイミングで出していけばいいと思います。

会川：四半期に一回くらいのイメージでいきたいですね。

不安を抱えずにIT利活用できるように、お客様の手助けをしていく

川口：最後に3人から、今後の抱負をお願いします。

寺岡：フォレンジックは、内部不正も含めて「お客さんを救うこと」だと思っています。すごく困っているお客さんの状況を、とにかく何とかしていくこと。いろんなケースあると思いますが、そこに信念を持って全力でやっていきたいです。

会川：脆弱性診断とかペネトレーションテストとか、イエラエが元々強みとして持ってる技術を我々も習得して、フォレンジックに活かしていきたいですね。あとは、フォレンジックの認知度を上げる、というのは1つの課題なのかなと思っています。というのも、「フォレンジック」って、まだまだ知られていないですよね。不正調査する人が民間にも公共にも結構いるんだ、ということを知る人が増えれば、不正を働いている一定数の人達に対する抑止力となるのではないかと思っているんです。これによって、不正で困っているお客様が1人でも減ればと思います。

川口：頼もしいですね。では最後に神崎課長、お願いします。

神崎：まずは何か起きてしまって不安に思っている人を助けていきたいですね。ITは楽しいもの、便利なもの、という前提が自分の中にはありますので、セキュリティ面の不安を抱えずにITを活用してもらえるようにお客さんのお手伝いできたらなと思います。

フォレンジックチームの課長としての抱負としては、フォレンジックエンジニアに長くフォレンジックの業界で働いてもらえるように工夫していきたいと思います。この業界は3年くらいで離れてしまう人が多いので、今後入社してくるメンバーも含めて、楽しいチームにしていきたいですね。

川口：楽しく働けるって、エンジニアにとってはすごく大事なことですよね。皆さん、ありがとうございました。