デジタルフォレンジックとは?目的や調査内容を解説

ディフェンシブセキュリティ部フォレンジック課
2017年にセキュリティベンダに新卒で入社し、デジタルフォレンジック調査業務とIoTペネトレーションテスト業務を経て、2020年から現職。現職ではデジタルフォレンジック調査やインシデントレスポンス支援業務を担当。社内のフォレンジックツールの開発や、IoTデバイスなどのフォレンジック検証研究も行っている。
- GIAC Certified Forensic Analyst (GCFA)
- GIAC Reverse Engineering Malware (GREM)
- Member, GIAC Advisory Board
- Certificated ISO/IEC 27001, Lead Implementer
- Certificated ISO/IEC 27001, Internal Auditor
目次
デジタルフォレンジック調査とは
デジタルフォレンジックは、サイバー攻撃被害を受けた場合に、原因や被害範囲の特定などを目的として、デジタルデータを扱うPCやサーバ、クラウド、オンプレミスのネットワーク機器、スマートフォン、USBメモリやSDカードなどの記憶媒体を対象に調査を行い、サイバー犯罪や被害に関連する証拠を収集することです。
フォレンジックは「法的に有効な」という意味を持ち、IT分野では主にコンピュータ犯罪におけるデジタルデバイスに記録された情報の回収と分析調査を行うことを指します。
デジタルフォレンジックは「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも行われる正式な捜査手法です。

フォレンジック・セキュリティインシデント対応支援サービスの詳細はこちら
デジタルフォレンジック調査の目的と必要な理由
サイバー攻撃の被害状況把握と原因究明・再発防止策の策定のため
マルウェア感染や不正アクセス、Webサイトの改ざん、在職中の社員や退職者による不正な情報持ち出しなど、セキュリティインシデントにはいくつか種類があります。どのインシデントも被害拡大防止や再発防止のために被害状況や被害原因の調査は欠かせません。
特にランサムウェアなどのマルウェアに感染させられた場合は、感染経路の特定に加えて内部ネットワークへ侵入された痕跡がないか、侵入された可能性がある場合は横展開され被害範囲が拡大していないか調査することを推奨します。
法的措置・訴訟準備のため
情報セキュリティに関わる事故により自社が責任を問われることになった場合や、内部不正者を訴えたい場合にもデジタルフォレンジックが必要です。
例えば従業員による内部不正や不正アクセスによって大量の個人情報が企業から漏えいする事案が度々ニュースになっていますが、企業はこの時に漏えい経路やどの程度の規模の情報が漏えいしたか、また不正者や責任の所在は誰にあるのか説明する責任あります。
内部不正者を民事訴訟で訴えたい場合は、不正行為の証拠としてデジタルフォレンジックの調査結果を裁判所に提出します。
顧客や株主、取引先への対外発表のため
情報漏えいや不正アクセスなどのインシデントが発生した際、企業には顧客・取引先・株主などのステークホルダに対して説明責任が生じるケースがあります。被害の範囲や原因を曖昧な状態で発表した場合、さらなる信用失墜を招く可能性があります。デジタルフォレンジック調査を通じて、事実に基づいた原因の特定と再発防止策を明確にすることで、誠実な対外的説明が可能になります。
信頼回復とブランド毀損の抑制を図る上でも、デジタルフォレンジック調査に基づく客観的な情報の発信は重要になります。
フォレンジック調査で重要なポイント
証拠隠蔽や、ログが流れてしまう前の証拠保全
重要な痕跡を残しているログの大半は、保存期間が設定されています。インシデントの発覚や証拠保全までに時間がかかってしまうと、事故当時のログが流れてしまい、十分な調査が実施できない場合があります。
また、攻撃者は自身の攻撃の痕跡を消す場合が多く、時間経過とともに証拠が消されやすくなります。加えて、不用意な社内での確認作業により、攻撃者の痕跡が上書きされてしまい、調査が十分に実施できないことも少なくありません。
そのため、迅速かつ適切な証拠保全が重要です。
症状が現れていない領域も含めた、根本的な原因調査
Web改ざんやランサムウェアなどは気づきやすいインシデントのため、迅速な復旧対応を実施する企業も多いですが、システム再稼働のための対応を実施するだけでは不十分です。一度攻撃者に侵入を許してしまった環境では、原因の対策がされていない場合、同じ侵害経路から二度目の侵入も容易に行われます。また、原因は対策したが、攻撃者によってバックドアが仕掛けられているケースでは、後日バックドア経由で侵入されてしまう場合もあります。
そのため、侵害原因や被害影響を調査することにより、再発防止策を実施する必要があります。
セキュリティ事故対応支援サービス紹介資料

セキュリティ事故発生前後のご支援内容を紹介します。自社のセキュリティ体制に不安がある方や、何から対応すれば良いか分からないという方に向けたサービスも提供しておりますので、是非ご覧ください。
資料ダウンロードフォレンジック調査の種類
各種セキュリティインシデントにおける調査のポイントをご紹介します。
マルウェア感染調査(不正アクセス)
ランサムウェアなどのマルウェア感染におけるフォレンジック調査では、PCやサーバなどのログを解析し、コンピュータウィルスに感染した原因や感染の影響範囲を調査します。 Emotetなど特定のマルウェアは流行り病のように定期的に感染拡大することがあります。
マルウェア感染の兆候が一見見られない場合でも、アンチウイルスソフトやEDRなどのセキュリティ製品では検知出来ていない潜伏型のマルウェアが存在するケースもあり注意が必要です。
現在マルウェアに感染している兆候が見られなくても、アンチウイルスウィルスソフトやEDRなどのセキュリティ製品で検知できていないだけで、実はマルウェアウイルスに感染していたということもあります。
スレットハンティングという調査方法は、既にランサムウェア感染が判明している場合に、同じネットワーク内に同一のランサムウェア感染端末がないか確認する方法としても有効です。ネットワーク全体を対象に広範囲にフォレンジック調査を希望をされる場合は、スレットハンティング(広域ファストフォレンジック)の実施を検討ください。
また、マルウェア感染が明らかになっている端末以外にも、同一ネットワーク内にマルウェアが展開していないかを調査する方法として、「スレットハンティング」が有効なケースがあります。ネットワーク全体を対象に、広範囲かつ迅速に確認を行うことが可能で、被害拡大のリスクを早期に把握・封じ込めの対処が可能になります。
Webサイト改ざん調査
攻撃者によって改ざんされたWebページは、閲覧したユーザに損害を与える仕掛けが仕込まれていることや、他のサイバー攻撃の一部として利用される場合があります。特に、正規のJavaScriptが攻撃者によって書き換えられ、ユーザが気づかないまま個人情報やクレジットカード情報を入力すると、それらの情報が外部の攻撃者に送信されてしまうケースも確認されています。
また、早急に復旧しようとバックアップから改ざん前のデータに復元しても、侵害原因が判明していない場合、同じ侵害経路ですぐに改ざんされてしまうということが多々あります。
被害を封じ込め、復旧させるために、まずは一時的な公開の停止やネットワーク遮断等を実施し、 Webページの改ざんを引き起こしている事象を把握した上で原因を排除していく必要があります。
社員や退職者による情報持ち出しの調査
企業の情報漏洩はサイバー攻撃によるものだけではありません。
例えば営業秘密情報の漏洩は、2~3割は社員によるものとの報告があり、退職者が転職先への手土産として、会社の重要情報を持ち出すというケースが多くあります。
他社に派遣していた社員に情報持ち出しの疑いがかかるというケースもあり、 派遣先への説明責任が発生するなど、社内だけの問題に留まらなくなります。
社員による情報漏洩が疑われる場合は、情報の共有をできるだけ小さく押さえ、痕跡が残りそうな機器を推測し、 迅速に調査対象となる情報を確保する必要があります。
弁護士や警察への連絡、本人からのヒアリング等は適切なタイミングで段階を踏んで行動する事が重要です。
ハラスメントやコンプライアンス違反調査
社内のハラスメント行為やコンプライアンス違反に対する調査もデジタルフォレンジック調査で実施するケースがあります。
例えば、上司による部下へのパワーハラスメントや、社員同士での不適切なチャットでのやり取り、あるいは取引先との癒着や社内規定違反行為などが報告されたケースでは、ハラスメントやコンプライアンス違反の疑いが生じます。
このようなケースでは、当事者の証言だけでなく、調査による客観的な証拠の有無が企業の対応の信頼性を高めます。デジタルフォレンジック調査では、メールやチャットの履歴、ファイルの編集や閲覧履歴などの証跡を収集し解析することで事実関係を明らかにします。
デジタルフォレンジック調査では証拠の改ざんや削除痕跡の調査も実施し、公平で透明性のある社内調査が可能となり、再発防止策の策定や社内外への説明責任を果たす上でも重要な役割になります。
ビジネスメール詐欺(BEC)調査
ビジネスメール詐欺は上司や部下、同僚、取引先や顧客へのなりすまし、あるいは乗っ取ったメールアカウントからメールを送ることで、 メールの受信者を騙す犯罪行為です。
ビジネスメール詐欺の多くは金銭目的です。例えば、経営者を騙り社内の経理担当者を偽の振込み先に誘導して振り込ませる、 あるいは自社の経理担当者を騙り取引先に偽の請求書と振込先を送って入金させるといった被害が報告されています。
昨今のビジネスメール詐欺では、メールの内容に不自然さがなく、普段やり取りしている相手ではないことに気が付きにくくなっています。 また、実在するドメインと一文字違いのドメインを取得するなどその手口は巧妙化しています。 被害者が頻繁にメールでのやりとりをする立場の場合は調査用のログが流れやすいため、気が付いた時点で早急に保全作業を開始する必要があります。
主なデジタルフォレンジックの対象
コンピュータフォレンジック
コンピュータフォレンジックは、パソコンやサーバなどのコンピュータを対象にして行う調査です。主に、不正アクセスやマルウェア感染、内部不正による情報漏えいなどが疑われる場合に実施されます。
調査では、コンピュータのHDDやSSDのディスクやメモリのデータを証拠保全し解析を実施します。
調査目的次第ですが、ディスク上のWebアクセス履歴やプログラム実行履歴などの痕跡を分析し、インシデントの発生原因や被害範囲を明らかにします。
モバイルデバイスフォレンジック
モバイルデバイスフォレンジックは、スマートフォンやタブレットなどのモバイル端末を対象とした調査です。主な調査対象OSとしては、iOSとAndroid OSになります。
社員や退職者による業務データの持ち出しや、社外との不適切なやり取り、ハラスメントやコンプライアンス違反の証拠確認などが必要な場合に実施されます。
通話履歴やSMS、チャットアプリケーションやSNSアプリケーションのデータを解析し、端末内の操作履歴などを明らかにします。
ネットワークフォレンジック
ネットワークフォレンジックは、ネットワーク上を流れる通信データ(トラフィック)を解析し、不正アクセスや情報漏えいの痕跡を調査する手法です。外部からのサイバー攻撃や内部不正による機密情報の送信、マルウェアのC2サーバとの通信などが疑われる場合に用いられます。
パケットキャプチャやログ解析を通じて、通信先や通信内容の特定を実施します。昨今ではIDSやIPS、Firewallログなどのネットワークに関連するログを調査対象にするケースが多いです。
データベースフォレンジック
データベースフォレンジックは、データベース内の情報やデータベースログを解析し、操作履歴を調査する手法です。顧客情報や業務データが意図せずに削除・変更された場合や、攻撃者によって不正にデータベースサーバが侵害された際に実施されます。
実運用環境ではパフォーマンスやデータ容量の都合から、クエリログなどの詳細な操作履歴が記録されていないケースも少なくありません。そのため、既存のログやバックアップ、他のシステムとの突合など、多角的な視点での調査が求められます。
フォレンジック調査の費用
JNSA(NPO法人日本ネットワークセキュリティ協会)が公開しているインシデント損害額に関する調査レポートには次のように概ね300~400万円という記載があります。
PCとサーバー数台程度の調査であれば、初動対応およびフォレンジック調査を合わせて概ね300~400万程度の金額が必要となります。しかし、マルウェア感染の範囲が拡大した場合など、大規模な被害を受けたときは、フォレンジック調査の対象となる端末数が増加し、ネットワーク内の挙動等の調査も必要になるため、その費用は数千万円~に及ぶ場合もあります
JNSA(NPO法人日本ネットワークセキュリティ協会) 「インシデント損害額調査レポート 2021年版 」から引用
GMOサイバーセキュリティ byイエラエでは、法人向けにフォレンジック調査のお見積り、お問い合わせの緊急窓口を設けております。お急ぎの場合は以下よりお問い合わせください。
デジタルフォレンジック調査を依頼する時の注意点
デジタルフォレンジック調査を、自社調査または弊社のようなセキュリティベンダに依頼する際には、いくつかの注意点があります。
まず、調査対象となる機器は速やかにインターネットや社内ネットワークから切断し、これ以上のログの上書きや外部との通信を防ぐことが必要です。また、対象機器の電源の切断に関しては状況次第では証跡が消失する可能性があります。
なお、社内で市販ツールを使用して独自に調査を進めることは、証拠の改変や消失につながるリスクがあります。さらに、対象機器を初期化したり、OSを再インストールするなどを行うと、重要な証拠が完全に失われてしまう可能性があります。
デジタルフォレンジック調査では、証拠性を保った状態での保全が極めて重要であり、初動対応を誤らないことが、その後の調査制度や法的有効性に大きくかかわってきます。
証拠保全については、IDFの証拠保全ガイドラインを参照ください。
デジタルフォレンジック調査の事例
過去に対応したランサムウェア感染の事例では、社内ネットワークに攻撃者が侵入し、社内端末やサーバが暗号化され業務が全面停止する深刻な被害が発生しました。
調査の結果、VPN装置の既知の脆弱性が放置されており、その脆弱性を悪用し攻撃者に侵入され、ドメイン管理者権限を奪取されたことが判明しました。フォレンジック調査では、侵入経路や内部での攻撃活動を詳細に特定し、被害範囲や影響端末を洗い出しました。
この調査結果をもとに、影響範囲の特定から封じ込め、復旧計画の策定の支援を実施しました。
調査により、今後同様の被害が発生しないような運用や体制の見直しを提案いたしました。
フォレンジック調査の流れ
前述の通り、フォレンジック調査は初動対応が重要になります。
ここでは、当社のフォレンジック調査の流れをご紹介します。
1.インシデント発生時の状況をヒアリング
インシデント対応支援やフォレンジック調査は緊急を要することが多く、時間がたつとデータの改変が発生する恐れがあります。 システムの状態など極力短時間でヒアリングし、早急に調査対象の把握を行います。
2.データ収集・証拠保全作業
パソコン、スマートフォン、各種サーバ等のデジタルデータの証拠能力を失わないよう収集し、保全します。GMOサイバーセキュリティbyイエラエでは、エンジニアの現地派遣によるオンサイト保全作業も対応しており、緊急対応が求められる現場でも確実な対応が可能です。
3.保全したデータの調査・解析
保全したデータや関連ログを詳細に解析、インシデントの原因や攻撃手法、影響範囲を明らかにします。必要に応じて、調査対象端末だけではなくネットワーク機器のログやクラウドサービスのログなど、周辺情報も含めた包括的な調査を行います。
4.報告
調査対象となった端末やシステム、調査に使用した製品・ソフトウェア、 実施した調査手続きの内容、分析結果から得られた情報等を正確に記載し、 調査結果だけでなく、再発防止に向けた推奨施策・対策なども含めた報告書をご提供します。
セキュリティインシデント防止のために必要なこと
セキュリティインシデント防止のために、以下の3つの観点で社内の管理、教育体制を整える必要があります。
情報セキュリティ体制の構築
- セキュリティポリシーを策定し、それに基づいたガイドラインに準拠しているかを監査する
- セキュリティ対策の効果を確認するために、定期的な監査や評価を行い、必要に応じて改善する
- Webサイトやアプリケーション、ネットワークの脆弱性を定期的にチェックし、必要なパッチやアップデートを適用する体制を構築する
情報資産の管理
- 従業員に貸与している資産を管理し、誰が何を使っているかを把握する
- 必要な人のみが情報資産にアクセスできるように制御する
セキュリティインシデントが発生してしまったら
万が一セキュリティインシデントが発生してしまったら、以下のような対応を迅速に行う必要があります。
- CSIRT担当者の任命と責任範囲を明確にする
- 報告体制を整備し、迅速な対応ができる環境を構築する
- 事故があった際の証拠保全のため、バックアップと復旧体制を整える
当社では、法人によるサイバーセキュリティインシデントの初期対応から、コンサルティング、脆弱性診断、対策まで一貫したご対応が可能です。お困りの際は、ぜひご相談ください。
当社で行う初期調査の一例
- 緊急で対応する必要がある対策の助言
- 対外的発表のためのインシデント調査指針のご提案
- インシデントの個別事象の一部を調査
- 不審なプログラムの実行痕跡調査
- 不審なログイン履歴調査
- 不審なリモートデスクトップ接続履歴調査
- 特定の調査項目のいずれかを実施
- Webブラウザアクセス履歴の抽出
- USB接続履歴
- リモートデスクトップ接続履歴
- Wi-Fi接続履歴
セキュリティ事故対応支援サービス紹介資料

セキュリティ事故発生前後のご支援内容を紹介します。自社のセキュリティ体制に不安がある方や、何から対応すれば良いか分からないという方に向けたサービスも提供しておりますので、是非ご覧ください。
資料ダウンロードディフェンシブセキュリティ部フォレンジック課
2017年にセキュリティベンダに新卒で入社し、デジタルフォレンジック調査業務とIoTペネトレーションテスト業務を経て、2020年から現職。現職ではデジタルフォレンジック調査やインシデントレスポンス支援業務を担当。社内のフォレンジックツールの開発や、IoTデバイスなどのフォレンジック検証研究も行っている。
- GIAC Certified Forensic Analyst (GCFA)
- GIAC Reverse Engineering Malware (GREM)
- Member, GIAC Advisory Board
- Certificated ISO/IEC 27001, Lead Implementer
- Certificated ISO/IEC 27001, Internal Auditor