EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
不正・不祥事等における調査やビジネスメール詐欺に代表されるサイバー犯罪被害の事実関係の調査などの場面において、モバイルデバイスや同デバイスで利用中のクラウドサービスを対象にしたデジタルフォレンジック(以下「モバイルフォレンジック」)の実施が必要不可欠となっています。モバイルデバイスの各種OSは開発元やサードパーティー製のクラウドサービスとのデータ連携を前提とした設計となっており、パソコンのSSDやハードディスクなどの記憶媒体の保全・分析を中心とするレガシーなデジタルフォレンジックとは調査アプローチや留意すべき点も異なります。
本稿では、デジタルフォレンジックやモバイルフォレンジックの概説に加えて、モバイルデバイスからのデータ取得手法を紹介するとともに、モバイルフォレンジック実施時に留意が必要な点について解説します。
特定非営利活動法人デジタル・フォレンジック研究会(以下「IDF」)によると、デジタルフォレンジックとは、以下のように定義づけられています。
インシデントレスポンス*や法的紛争・訴訟に際し、電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術を言います。
*インシデントレスポンス=コンピュータやネットワーク等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等を言う。
出典:IDF「デジタル・フォレンジックとは」
digitalforensic.jp/home/what-df/(2024年4月30日アクセス)
デジタルフォレンジックには、上記のようにセキュリティインシデント発生時や法的紛争時などにおける証拠保全や調査技術・手法※としての側面がある一方で、最近では事故抑止や事故の予兆検知などの領域でも広く利用されています。
※デジタルフォレンジックとインシデント対応の2つの分野を組み合わせてDFIR(Digital Forensics and Incident Response)と呼称する場合もあります。
調査対象となるデータの証拠能力を確保し証拠性を高めるために、一般的にデジタルフォレンジックは以下のプロセスで実施されます。
デジタルフォレンジックでは、主に下記のデバイスに記録されたデータが調査対象となります。また、昨今では調査対象者が保有するデバイス上だけではなく、利用するアカウントにひも付くウェブサービスやクラウドサービス上にも重要な情報が保存されている可能性がある点に留意が必要です。
現代社会において、スマートフォンをはじめとするモバイルデバイスは日常生活において必要な情報にアクセスするための中心的な役割を担う傾向にあります。デバイス所有者のさまざまな情報がモバイルデバイスだけではなく、連携するクラウドサービスやパソコンなどにも保存されます。モバイルデバイスやクラウドサービスに記録される情報は、写真・動画、SNSやメッセージングアプリを通じたやり取り、通話記録や位置情報などのアクティビティ、利用中のクラウドサービスのアカウント情報など多岐にわたります。そのため、サイバー犯罪や不正・不祥事においては、事案に関連する情報がモバイルデバイスや連携するクラウドサービスに残存している可能性があり、調査上の重要な証拠となる場合があります。
モバイルデバイスとクラウドサービスの関係性として、一般的にOSの開発元やモバイルデバイスのメーカーが提供するクラウドストレージサービスへデバイスのバックアップが可能なことに加え、利用するアプリの設定や履歴などさまざまなデータを保存し、同一のアカウントにひも付く複数のデバイス間でそれらのデータを同期できます。なお、クラウドサービスに保存するデータの範囲や同期の有無についてユーザーが個別に選択可能である点など、モバイルフォレンジック実施時に留意する必要があります。
インシデント発生後のモバイルフォレンジックの初動対応フェーズでは、発生したインシデントの概要把握、調査対象者・デバイスの選定、デバイス所有者などへの協力要請、調査対象モバイルデバイスの入手およびデータ取得作業などを実施します。このフェーズにおけるデータ取得に関係する留意事項の一例として、モバイルデバイスのネットワーク遮断やパスコードなどの認証情報の入手が挙げられます。前者に関しては、キャリア回線などを通じて常にデータの更新が発生してしまうことに加えて、セキュリティ機能として遠隔消去やロックが可能であることから、ネットワークを遮断しなければ解析対象となるデータが更新されてしまったり、遠隔消去により失われてしまったりする可能性があります。
後者に関して、モバイルデバイスやOSの開発元はユーザーによるプライバシー保護意識の高まりを受けて、セキュリティ機能を埋め込んだチップの搭載やOSレベルでの暗号化などの対策を強化しています。加えて、データを復号するための鍵情報はユーザーが設定したパスコードなどが使われ、ほとんどの開発元がそれらの情報を保持しない方針を採用しています。したがって、モバイルデバイスはパスコードなどの認証情報をユーザーから適法に入手しなければフォレンジックツールを使用したとしてもデータ取得範囲が限定され、調査において期待されるデータが得られない場合があります。
そのため、モバイルフォレンジックを実施する作業者には取得対象のデータに影響を与えないよう、モバイルデバイスに備わるセキュリティ機能の理解やデジタルフォレンジックに関する専門的な知識に加えて、デバイス所有者の協力を得られるようにするためのコミュニケーションススキルも必要です。
次にモバイルデバイスとそのデバイスで利用していたクラウドサービスからのデータ取得について紹介します。
基本的には、モバイルデバイスやクラウドサービスに関連するパスコードや認証情報などをデバイス所有者などから事前に入手した上でフォレンジックツールなどを使用してデータを取得しますが、それぞれのデータ取得の特徴について以下に補足します。
モバイルデバイスの保全については、パスワードの入力によりロックを解除したり、信頼済みのデバイスに残されたキーを利用したりして画面ロックを迂回(うかい)して標準のバックアップ機能を利用する方法に加えて、フォレンジックツールを使用してモバイルデバイスのセキュリティチップやSoCなどのハードウェアの脆弱(ぜいじゃく)性を利用し、標準のバックアップ機能では取得できない保護された領域のデータをコピーする手法などを採用します。
クラウドサービス上のデータの保全については、当該サービスへのサインイン後(多要素認証含む)、標準の機能を利用したり、認証情報とクラウドサービスに対応したフォレンジックツールを利用したりすることでデータを取得します。データ取得の前提として、認証情報の取得やデバイスでの設定の確認などの対応が必要となりますが、クラウドサービス上のデータは調査対象のモバイルデバイスそのものが何らかの理由で入手できない場合、あるいは故障して使用できない場合などの状況下において有効なデータ取得方法の1つとなります。
前述の通り、クラウドサービスからのデータ取得はモバイルデバイスにて利用していたアカウントにひも付いたデータを取得する手段として有効なアプローチの1つとなります。しかしながら、モバイルデバイスの設定次第では、正しい認証情報を使用したとしてもクラウドサービスからのデータ取得が困難なケースがあります。
クラウドサービスのデータ取得に影響を与える主な設定の一例としては、クラウドサービス上のデータを高度に保護する設定や指定のデバイスのみにアクセス権を与える設定が挙げられます。前者の設定が有効な場合、クラウドサービス上のデータが暗号化され、デバイス所有者が許可したデバイスでのみデータの復号が許可されます。後者の設定が有効な場合、指定したデバイスのみにクラウドサービスへのアクセスが許可され、それ以外のデバイスからのアクセスは拒否されます。いずれの設定もクラウドサービス上のデータの機密性を向上させ、デバイス所有者には有益なセキュリティ機能です。その一方で、モバイルフォレンジックにおいては、これらの設定がモバイルデバイスで有効となっている場合、フォレンジックツールを利用したとしてもクラウドサービスの認証エラーが発生してデータ取得に失敗したり、信頼された端末上での操作が必要となったりするなど、データ取得作業に影響が生じることがあります。
フォレンジックツールを用いて前述の高度なデータ保護等の設定が有効なクラウドサービス上のデータを取得するには、デバイス所有者が当該保護機能を設定した際に指定したモバイルデバイスでの設定変更が必要となります。
高度なデータ保護機能の設定をオフに変更する際は一般的に設定解除に必要となる鍵情報(例:パスコード、数十文字の英数字など)が必要となります。鍵情報はモバイルデバイスの開発会社やクラウドサービス事業者側には保管されないため、鍵情報を保有するデバイス所有者の協力が得られない、鍵情報を消失しているなどの理由によりこの情報が入手できない場合は設定をオフに変更できません。そのため、クラウドサービス上のデータの大部分は取得不可となり、フォレンジック調査の対象から除外せざるを得ません。
モバイルフォレンジックを成功に導くには、調査対象となるモバイルデバイスや関連するクラウドサービスなどの機能理解に加えて、フォレンジックの障壁となり得るセキュリティ機能について、日頃から情報収集および機能変更等による影響分析を行い、その分析結果を踏まえて複数のデータ取得アプローチの検討を定期的に行うことが望まれます。また、実際の有事への備えとして、デバイス所有者などとのコミュニケーションにおいて確認すべき情報(認証情報や主に利用するクラウドサービスなど)や適切な初動対応、データ取得アプローチなどの整理が重要となります。
また、本稿では、モバイルフォレンジックの概説およびクラウドサービスのデータ取得時に留意すべきモバイルデバイスの設定例について触れましたが、実際の対応において考慮すべき設定は多数存在しており、その内容は日々変化していることに留意が必要です。EY では、このようなデジタルフォレンジック実施時における留意点や解決のアプローチについて日々研究を重ねており、その成果をデジタルフォレンジック調査サービスや捜査機関・CSIRT向けのセキュリティ・フォレンジック研修に役立てています。
EY Japan Forensic & Integrity Services
柳 裕二、清水 裕子、高見 智之
※所属は記事公開当時のものです。
EYの関連サービス
企業の不正行為に対する規制当局の法執行やそれを許さない世間の風潮が強まる今、EYのプロフェッショナルは、企業によるインテグリティやコンプライアンスのフレームワークの強化をサポートします。実際に違反行為があったり、不正や贈賄の疑いが生じたりした場合には、EYのForensicsチームが速やかに対応し、会社を守る支援をします。
続きを読むEY Forensics & Integrity Servicesでは、「各種不正」に対応したサービスを提供しています。
続きを読む【EY Japan】組織で発生する不正・不祥事や訴訟において、事案の全容を解明するために活用する組織内の電子データがますます重要になっています。EYの日本チームでは、デジタルフォレンジック調査で豊富な経験を有する多数のメンバーが、各国のEYのメンバーと連携して高品質なサービスを提供します。
続きを読むインフォメーションガバナンスから事後のデータ消去まで、EYは、eDiscovery(電子証拠開示手続)のライフサイクル全体を通じたサービスを提供します。
続きを読むEY Forensics & Integrity Servicesでは、「サイバーセキュリティ・デジタルフォレンジックトレーニング」を提供しています。
続きを読むモバイルフォレンジックはサイバー犯罪や企業の不祥事に係る調査などにおいて必要不可欠です。EY Forensicsでは数多くのモバイルフォレンジックに係る実務経験を有しており、状況に応じた柔軟な対応が可能です。また、捜査機関等に対するさまざまなフォレンジックトレーニングの提供実績も豊富であり、信頼に足るサービスを提供します。