コンピュータフォレンジックとは何ですか?
コンピュータフォレンジックは、裁判所での提示に適した方法で、特定のコンピューティングデバイスから証拠を収集し、保存するための調査および分析技術の適用です。 コンピュータフォレンジックの目的は、構造化された調査を実行し、コンピューティングデバイスで何が起こったのか、誰がそれを担当したのかを正確に
Computer forensics–computer forensic scienceと呼ばれることもあります–基本的には、法的手続において情報を許容できるようにするための法令遵守ガイドラインによるデータ デジタルフォレンジックとサイバーフォレンジックという用語は、コンピュータフォレンジックの同義語としてよく使用されます。
デジタルフォレンジックは、その完全性を維持する方法で情報を収集することから始まります。 その後、調査員はデータまたはシステムを分析して、データが変更されたかどうか、変更された方法、および変更を行った人を判断します。 コンピュータ法医学の使用は常に犯罪に結びついているわけではありません。 フォレンジックプロセスは、クラッシュしたサーバー、故障したドライブ、再フォーマットされたオペレーティングシステム(OS)、またはシステムが予期せず
なぜコンピュータフォレンジックが重要なのですか?
民事および刑事司法制度では、コンピュータフォレンジックは、裁判で提示されたデジタル証拠の完全性を保証するのに役立ちます。 コンピュータやその他のデータ収集装置が生活のあらゆる面でより頻繁に使用されるように、デジタル証拠とそれを収集、保存、調査するために使用される法医学的プロセスは、犯罪やその他の法的問題を解決する上でより重要になってきています。
平均的な人は、現代のデバイスが収集する情報の多くを見ることはありません。 例えば、車のコンピュータは絶えず運転者が気づいていないでいつ運転者のブレーキ、転位および変更の速度の情報を集める。 しかし、この情報は法的問題や犯罪を解決する上で重要であることが証明され、コンピュータフォレンジックはその情報を識別して保存する役割を
デジタル証拠は、データ盗難、ネットワーク違反、違法なオンライン取引などのデジタル世界の犯罪を解決するだけではありません。 また、強盗、暴行、ひき逃げ事故、殺人などの物理的な世界の犯罪を解決するためにも使用されます。
企業は、多くの場合、機密情報を安全に保つために、多層のデータ管理、データガバナンス、およびネットワークセキュリティ戦略を使用しています。 十分に管理され、安全なデータを持つことは、そのデータが調査中になった場合に法医学プロセスを合理化するのに役立ちます。
企業はまた、コンピュータフォレンジックを使用して、システムまたはネットワークの侵害に関連する情報を追跡し、サイバー攻撃者を特定して起訴する また、デジタルフォレンジックの専門家やプロセスを使用して、自然災害やその他の災害によってシステムやネットワークに障害が発生した場合のデータ復旧を支援することもできます。
世界が生命の中核機能のためにデジタル技術に依存するようになるにつれて、サイバー犯罪が増加しています。 このように、コンピュータ法医学の専門家は、もはやフィールド上の独占を持っていません。 英国の警察がサイバー犯罪の増加率に追いつくためにコンピュータ法医学技術を採用している方法を参照してください。
コンピュータフォレンジックの種類
コンピュータフォレンジック検査には様々な種類があります。 それぞれが情報技術の特定の側面を扱っています。 主なタイプには、次のものがあります:
- データベース-フォレンジック データと関連メタデータの両方のデータベースに含まれる情報の検査。
- スケジュールや連絡先などの電子メールプラットフォームに含まれる電子メールやその他の情報の回復と分析。
- 可能性のある悪意のあるプログラムを識別し、そのペイロードを分析するためにコードをふるい分けます。 このようなプログラムには、トロイの木馬、ランサムウェア、または様々なウイルスが含まれる可能性があります。
- メモリフォレンジック。 コンピュータのランダムアクセスメモリ(RAM)とキャッシュに格納されている情報を収集します。
- モバイルフォレンジック。 連絡先、着信および発信テキストメッセージ、写真やビデオファイルを含む、彼らが含まれている情報を取得し、分析するためのモバイルデバイスの検査。
- ネットワークフォレンジック。 ファイアウォールや侵入検知システムなどのツールを使用して、ネットワークトラフィックを監視して証拠を探します。
コンピュータフォレンジックはどのように機能しますか?
法医学調査官は通常、法医学調査の文脈、調査されているデバイス、または調査官が探している情報によって異なる標準的な手順に従います。 一般的に、これらの手順には次の3つの手順が含まれます。:
- データ収集。 電子的に保存された情報は、その完全性を維持する方法で収集する必要があります。 これには、多くの場合、調査中のデバイスを物理的に隔離して、誤って汚染されたり改ざんされたりしないようにする必要があります。 審査官は、デバイスの記憶媒体のデジタルコピー(法医学画像とも呼ばれる)を作成し、元のデバイスを安全またはその他の安全な施設にロックして元の状態を維持します。 調査はデジタルコピーで行われます。 その他の場合には、公開されている情報は、Facebookの投稿やVicemoのウェブサイトに表示されている違法な製品やサービスを購入したための公共Venmo料金など、法医学的な目的のために使用されることがあります。
- 調査官は、ケースの情報を収集するために、滅菌環境で記憶媒体のデジタルコピーを分析します。 このプロセスを支援するために、Basis Technologyのハードドライブ調査のための剖検やWireshark network protocol analyzerなど、さまざまなツールが使用されています。 マウスジグラーは、コンピュータが眠りに落ちると、コンピュータがスリープ状態になるか、電源を失ったときに失われた揮発性メモリデータを失うことからそ
- 法医学の調査官は裁判官か陪審が訴訟の結果を定めるのを助けるのにそれらを使用する法的手続きの彼らの調査結果を示す。 データ復旧の状況では、法医学調査官は、侵害されたシステムから回復することができたものを提示します。
多くの場合、複数のツールは、彼らが生成する結果を検証するために、コンピュータ法医学調査に使用されています。 Kaspersky Lab In Asiaの研究者が、システムの整合性を損なうことなくマルウェアの証拠をリモートで収集するためのオープンソースのフォレンジックツールを作
技術法医学調査官が使用する
調査官は、侵害されたデバイスから作成したコピーを調べるために、さまざまな技術と独自の法医学アプリケー 彼らは、削除された暗号化または破損したファイルのコピーのための隠しフォルダと未割り当てのディスク領域を検索します。 デジタルコピーで見つかった証拠は、発見報告書に慎重に文書化され、発見、預託、または実際の訴訟を伴う法的手続きに備えて、元のデバイスで検証され
コンピュータ法医学調査は、技術と専門知識の組み合わせを使用します。 一般的な手法には、次のものがあります:
- 逆ステガノグラフィー。 ステガノグラフィーは、あらゆる種類のデジタルファイル、メッセージ、またはデータストリーム内のデータを非表示にするために使用される一般的な戦術です。 コンピュータ法医学の専門家は、問題のファイルが含まれているデータハッシュを分析することにより、ステガノグラフィーの試みを逆にします。 サイバー犯罪者が画像やその他のデジタルファイル内の重要な情報を隠した場合、訓練されていない目には前後に同じように見えるかもしれませんが、画像を表す基礎となるハッシュまたはデータ文字列が変更されます。
- ここでは、研究者は、デジタル成果物を使用せずにデジタル活動を分析し、再構築する。 アーティファクトは、デジタルプロセスから発生するデータの意図しない変更です。 成果物には、データ盗難時のファイル属性の変更など、デジタル犯罪に関連する手がかりが含まれます。 確率的フォレンジックは、攻撃者がデジタル成果物を残さない可能性のあるインサイダーであると考えられるデータ侵害調査で頻繁に使用されます。
- クロスドライブ解析。 この手法は、複数のコンピュータドライブで見つかった情報を相関させ、相互参照して、調査に関連する情報を検索、分析、および保存します。 疑惑を提起するイベントは、類似点を探し、文脈を提供するために、他のドライブに関する情報と比較されます。 これは異常検出とも呼ばれます。
- ライブ分析。 この手法では、コンピュータまたはデバイスの実行中に、コンピュータ上のシステムツールを使用して、OS内からコンピュータを分析します。 分析では、多くの場合、キャッシュまたはRAMに格納されている揮発性データを調べます。 揮発性データを抽出するために使用される多くのツールは、証拠のチェーンの正当性を維持するために、法医学研究室にいるコンピュータを必要とします。
- 削除されたファイルの回復。 この手法は、コンピュータシステムとメモリを検索して、部分的に削除されたファイルの断片を一箇所で検索しますが、マシン上の他の場所に痕跡を残 これは、ファイル彫刻またはデータ彫刻と呼ばれることもあります。
コンピュータフォレンジック分析の詳細については、Chet Hosmerの著書”Python Forensics:A Workbench for Inventing and Sharing Digital Forensic Technology”からこの章を参照してください。 これは、デジタル証拠を保存するためにPythonとサイバーセキュリティ技術を使用する方法を示しています。
コンピュータ-フォレンジックは証拠としてどのように使われていますか?
コンピュータフォレンジックは、1980年代から法執行機関や刑事法および民事法で証拠として使用されてきました。:
- アップルの企業秘密の盗難。 Appleの自動運転車部門のXiaolang Zhangというエンジニアは、引退を発表し、高齢の母親の世話をするために中国に戻ると述べた。 彼は彼が疑いを上げ、中国の電子自動車メーカーで働くことを計画し、彼のマネージャーに語りました。 連邦捜査局(FBI)の宣誓供述書によると、Appleのセキュリティチームは、会社のネットワーク上の張の活動を見直し、彼の辞任の前の日に、彼がアクセスしていた 彼は2018年にFBIによって起訴されました。
- エンロン 最も一般的に引用された会計詐欺のスキャンダルの一つでは、エンロン、米国 エネルギー、商品、サービス会社は、誤って多くの従業員や会社に投資していた他の人々に金融害を引き起こし、2001年に倒産する前に収入の数十億ドルを報告し コンピュータ法医学アナリストは、複雑な詐欺スキームを理解するためにテラバイトのデータを調べました。 このスキャンダルは、公開企業の新しい会計コンプライアンス要件を設定した2002年のSarbanes-Oxley法の通過における重要な要因でした。 同社は2001年に破産を宣言した。
- Googleの企業秘密の盗難。 UberとGoogleの両方の元幹部であるAnthony Scott Levandowskiは、2019年に33件の企業秘密の盗難で起訴されました。 2009年から2016年まで、LevandowskiはGoogleの自動運転車プログラムで働き、パスワードで保護された企業のサーバーからプログラムに関連する何千ものファイルをダウンロー ニューヨーク-タイムズによると、彼はGoogleから出発し、Uberが2016年に買収した自動運転トラック会社であるOttoを作成しました。 レヴァンドフスキは、企業秘密の盗難の一つのカウントに有罪を認め、懲役18ヶ月と罰金と返還で$851,499を宣告されました。 レヴァンドフスキは2021年1月に大統領恩赦を受けた。
- ラリー-トーマス トーマスは2016年にリト-ラマ=フアレスを射殺し、トーマスは後にSlaughtaboi Larroの偽の名前で作った何百ものFacebookの投稿の助けを借りて有罪判決を受けた。 記事の一つは、犯罪現場で発見されたブレスレットを身に着けている彼の写真が含まれていました。
- マイケル-ジャクソン 捜査官は、マイケル-ジャクソンの医師のiPhoneからのメタデータと医療文書を使用して、医師、コンラッド-マレーが2009年に死亡したジャクソンに致死量の薬を処方したことを示した。
- マンは2016年にマンチェスター大学の寮の浴槽で生まれたばかりの赤ちゃんを溺死させた。 調査官は、彼女のコンピュータ上のGoogle検索で、彼女を有罪にするために使用された”自宅での中絶”というフレーズを含むものを発見しました。
殺人は、コンピュータ法医学が戦うのを助けることができる多くの種類の犯罪の一つに過ぎません。 法医学的財務分析ソフトウェアが詐欺と戦うためにどのように使用されているかを学びます。
コンピュータフォレンジックのキャリアと認定
コンピュータフォレンジックは、コースワークと認定を伴う科学的専門知識の独自の領域となっています。 によると、エントリーレベルのコンピュータ法医学アナリストの平均年収は約6 65,000ですSalary.comサイバー法医学のキャリアパスのいくつかの例は、次のとおりです。:
- 法医学技術者だ これらの専門家は、データを収集し、分析のためにそれを準備し、コンピュータ法医学プロセスの収集段階に対処します。 デバイスがどのように失敗したかを判断するのに役立ちます。
- このポジションは、マネーロンダリングや違法行為を隠蔽するために行われたその他の取引を含む犯罪を扱っています。
- このポジションは、収集されたデータを分析し、後で組織のサイバーセキュリティ戦略を改善するために使用できる洞察を描くことを扱っています。
コンピュータ科学、サイバーセキュリティ、または関連分野の学士号、時には修士号がコンピュータ法医学の専門家に必要です。 この分野には、次のようないくつかの認定があります:
- サイバーセキュリティ研究所のサイバーセキュリティ法医学アナリスト。 この資格情報は、少なくとも二年間の経験を持つセキュリティ専門家のために設計されています。 テストシナリオは、実際のケースに基づいています。
- International Association of Computer Investigative Specialists’Certified Forensic Computer Examiner. このプログラムは、ビジネスが確立されたコンピュータ法医学ガイドラインに従うことを確認するために必要なスキルを検証することに主に焦点を当てています。
- EC-Councilのコンピュータハッキング法医学捜査官。 この認定は、侵入者を特定し、裁判所で使用できる証拠を収集する申請者の能力を評価します。 これは、デジタル証拠やその他のサイバーフォレンジックのスキルを使用して、情報システムの検索と発作をカバーしています。
- International Society of Forensic Computer Examiners'(ISFCE)Certified Computer Examiner. この法医学審査官プログラムは、認定されたbootcampトレーニングセンターでの訓練を必要とし、申請者は倫理と専門的責任のISFCEコードに署名する必要があります。
サイバーフォレンジックのキャリアについての詳細は、国防総省サイバー犯罪センターでコンピュータフォレンジック調査を行うキャリアを始めたEndgame(現Facebook)のシニアマルウェア研究者であるAmanda Rousseauとのインタビューから学ぶ。