Page 1
証券取引等監視委員会におけるデジタル・フォレンジックへの取り組みデジタル・フォレンジックへの取り組み
金融庁証券取引等監視委員会事務局金融庁証券取引等監視委員会事務局
特別調査課 情報技術専門官 皆山 寛之
目次
1.SESCデジタル・フォレンジックチームのご紹介
1.1. Member
1 2 History1.2. History
2. デジタル・フォレンジックへの取り組み
2.1. 第一次・第二次デジタル・フォレンジック整備計画2.1. 第 次 第二次デジタル フォレンジック整備計画
2.2. データ保全、収集手法
2.3. フォレンジックソフトウェアの活用
2.4. DDイメージの仮想PC化イ ジの仮想 化
2.5. 大量データ分析 (ビデオデモ)
2.6. Chain of Custody
3. 人材育成
3.1. 人材
3.2. 研修
1
Page 2
1.SESCデジタル・フォレンジックチームのご紹介
1.1 Member皆山 寛之
– 情報技術専門官、証券取引特別調査官、証券検査官
– 平成20年4月採用 任期付職員
前職メリルリンチ日本証券株式会社のシステム部– 前職メリルリンチ日本証券株式会社のシステム部
深山 治
– 情報技術専門官、証券取引特別調査官、証券調査官
– 平成21年11月採用 任期付職員
KPMG FASより出向中– KPMG FASより出向中
山本 清子山本 清子
– 証券取引特別調査官、証券検査官
– 平成22年10月採用 任期付職員
あらた監査法人 り出向
2
– あらた監査法人より出向
1.SESCデジタル・フォレンジックチームのご紹介
1.2 History
金融庁検査局審議官佐 木清隆氏が 特別調査課長 あ た当時 イブド 事件が– 金融庁検査局審議官佐々木清隆氏がSESC特別調査課長であった当時、ライブドア事件が発生し、メール調査に非常に苦労された経験(永田議員偽メール事件など)から、SESC総務課長時代にSESCの取り組み最優先事項としてプロジェクトを立ち上げました(2009年前半)。
– 現在はSESC特別調査課にDFT(Digital Forensic Team)を設置し、また平成22年度予算で調達した機材を設置したDFR(Digital Forensic Room)にて日々の業務を行って
成 年度 算 さ な 査能 向 を ますおり、平成23年度予算で、さらなる調査能力の向上を図っています。
– 特別調査課は最終的に検察庁へ告発することから、いわゆる厳格な証明が求められ、Digital forensic技術についても、厳格な証明を行える程度の機材を調達し運用しています。また、特に調査過程において嫌疑者や、参考人、企業などから大量のデータを収集する必要があり、大量データのReviewについて特に注力をしています。
– 平成22年6月には、SESCのデジタル・フォレンジックがNHKのニュース9で紹介されました。
3
Page 3
2.デジタル・フォレンジックへの取り組み
2.1. 第一次・第二次デジタル・フォレンジック整備計画
コアインフラストラクチャ–コアインフラストラクチャー HP社製 Z800 Workstation x3 with 16GB RAM & Quad Core Xeon Processor x2
– デジタル・フォレンジックに必要なソフトウェアが求めるハードウェアスペックが非常に高いため 映画のCG作成などにも使用される高性能ワークステーションを導入ため、映画のCG作成などにも使用される高性能ワ クステ ションを導入
– http://h50146.www5.hp.com/products/workstations/personal_ws/z800ct/
–ハードディスクデュプリケーター
押収 たパ 内蔵され る ドデ ク 完全な ピ を作成 証拠化するため 押収したパソコンに内蔵されているハードディスクの完全なコピーを作成し、証拠化するための機材で、証拠ハードディスクと全く同じものを作成することができる。
ICS社製 SOLO4 YEC社製 DEMI2020 YEC社製 DEMI2020 TABLEAU社製 TD1
– http://www.ubic.co.jp/marketing/service/ev_imageMASSter_solo4_forensic.html– http://www.kk-yec.co.jp/products/duplicator/http://www.kk yec.co.jp/products/duplicator/– http://www.focus-s.com/focus-
s/product/forensicsecurity/hard_td1forensicduplicator.html
4
2.デジタル・フォレンジックへの取り組み
2.1. 第一次・第二次デジタル・フォレンジック整備計画
イ ブ カ–ライトブロッカー TABLEAU社製 TK35es ハードディスクライトブロッカー x2
TABLEAU社製 TK8 USBライトブロッカー x1
社製 ブ TABLEAU社製 TK9 FireWireライトブロッカー x1
YEC社製 USB Write Protector x2
YEC社製 ハードディスクライトブロッカー x2
押収した メ リ などを改変する となく保全 分析するために使用する– 押収したUSBメモリーなどを改変することなく保全・分析するために使用する
– http://www.focus-s.com/focus-s/product/forensicsecurity/product_hard.html#writeblock
携帯電話電波遮断装置–携帯電話電波遮断装置 森田テック社製
– 押収した携帯電話の電波を遮断することで、望まない着信を防ぎ、リモートワイプ(iPhoneなどのスマートフォンに搭載された機能) 大量の着信をさせることによる通話記録の削除などをのスマートフォンに搭載された機能)、大量の着信をさせることによる通話記録の削除などを防ぐことができる。
– http://www.morita-tech.co.jp/rf-technology.html
5
Page 4
2.デジタル・フォレンジックへの取り組み
2.1. 第一次・第二次デジタル・フォレンジック整備計画
ウ–ソフトウェア FTKやEnCaseなどフォレンジック専門ソフトウェアの活用
– Accessdata社製 FTK3.2 x2
G f 社製 C 6 19 1– Guidance software社製 EnCase6.19x1
– Guidance software社製 EnCase7 x1
大量データレビュー環境
– HP製デスクトップPC Windows7 Professional 64Bit, Core-i, 4GB RAM x5
DELL製デスクトップPC Wi d 7 Pf f i l 64Bit C i7 4GB RAM USB3 0 8– DELL製デスクトップPC Windows7 Pfofessional 64Bit, Core-i7, 4GB RAM, USB3.0 x8
– NUIX社製 NUIX Forensic Desktop x1
NUIX Forensic Reviewer x2
NUIX ARX Reviewer x3NUIX ARX Reviewer x3
NUIX Forensic Desktop (50GB) x8
6
2.デジタル・フォレンジックへの取り組み
2.1. 第一次・第二次デジタル・フォレンジック整備計画
携帯電話デ タ 抽出と分析–携帯電話データの抽出と分析– SESCでは、嫌疑者や参考人、企業などから押収した携帯電話のデータを以下の方法にて「抽出」して
います。iOSデバイス(iPhone, iPadなど)については、データの「復元」にも取り組んでいます。
セレブライト社製UFED Physical Pro① NTTドコモ、ソフトバンクのいわゆるガラパゴス携帯電話や、iPhoneやアンドロイドOS携帯の
データ抽出が可能ですデータ抽出が可能です。
Katana Forensic社製 LANTERN2.09① iOSデバイス(iPhone、iPadなど)のデータ取得と解析は専門ソフトウエアであるLANTERNにて
行っています行っています。
LANTERNは、押収したPCに残っているiPhoneのバックアップファイルを分析することも可能で、また上述のUFEDで取得したイメージファイルの分析を行うことや、次期バージョンでは、LANTERN自体がパスコードで保護されたiPhoneの完全コピーを行い、パスコードを無効化して分析することができるようになります。(米国商務省の輸出許可待ち)
また、 iOSデバイスで多用されるSQLiteというデータベースの内容を解析し、削除されたデータの復元にも取り組んでいます。
7
Page 5
2.デジタル・フォレンジックへの取り組み
2.1. 第一次・第二次デジタル・フォレンジック整備計画
調査デ タ 視化–調査データの可視化– SESCにおける調査では、銀行口座の入出金記録、株式取引記録、発行体の適時開示情報、
クレジットカードの使用履歴、スイカ・PASMOなどの交通系カード使用履歴、UFEDやLANTERNなどから抽出した通話記録など 様々な時系列情報を収集・分析を行っていますから抽出した通話記録など、様々な時系列情報を収集・分析を行っています。
i2社製アナリストノートブック今までは これらの情報は バラバラに存在し 疑わしき取引情報 インサイダ 取引事案において– 今までは、これらの情報は、バラバラに存在し、疑わしき取引情報、インサイダー取引事案において、嫌疑者の株取引履歴、発行体の適時開示情報、UFEDやLANTERNで抽出した通話記録、銀行口座の動きなどを、時系列で整理することで、人の動き、お金の動き、情報の動きを可視化することが可能となりました。。
8
2.デジタル・フォレンジックへの取り組み
2.2. データ保全、収集手法
デ タ収集専用 ( bl )を利用 たデ タ収集– データ収集専用ツール(Nuix Portable)を利用したデータ収集
大容量ですべてのデータを収集することが困難なファイルサーバなどから、データを収集するソフトウェアで 予め収集するべきデータの種類や作成・変更日時を指定したプログラムをソフトウェアで、予め収集するべきデータの種類や作成・変更日時を指定したプログラムを
ハードウェア暗号化されたUSBメモリなどに配布し、調査官がプログラムを現場で操作することにより、誰にでもデータを確実に、かつデータの証拠性を担保しながら、必要なデータのみ収集を行うことができます。
収集元を指定し 保全先を指定 必要なデータを自動保全
9
Page 6
2.デジタル・フォレンジックへの取り組み
2.2. データ保全、収集手法
–ハードディスクデュプリケータを利用した保全 ハードディスクを物理的にPCから取り出せることが前提
物理的HDDを、物理的HDDと全く同じクローンファイルとして保全
削除されたデータを含めて保全可能
保全元HDD、保全先ファイルのハッシュ値を比較し同一であることを確認
作業ログも別途保存
–デジタル・フォレンジック1CD Linuxを利用した保全 ハードディスクを物理的にPCから取り出せない場合
PCに本来インスト ルされているウインドウズOSとは異なるLi をCDドライブなどから起動 PCに本来インストールされているウインドウズOSとは異なるLinuxをCDドライブなどから起動
DD_RESCUEコマンド、DCFLDDコマンドなどで証拠保全
10
2.デジタル・フォレンジックへの取り組み
2.3 フォレンジックソフトウェアの活用
FTK3 2– FTK3.2FTK (Forensic Toolkit)DDイメージや、E01イメージを分析し、ファイルの仕分け、ファイル
シグネチャからのデータ復元、String Searchからのデータ復元を行います。
Registry ViewerDDイメージや E01イメージに含まれるレジストリファイルを分析し OSのDDイメ ジや、E01イメ ジに含まれるレジストリファイルを分析し、OSの
インストール日、USBメモリの最終接続日など、PC上のユーザ行動が記録されたファイルを分析することができます。
PRTK (Password Recovery Toolkit)PRTK (Password Recovery Toolkit)レジストリファイルなどから、パスワード総当たり攻撃用の辞書を作成し、
パスワードで保護されたオフィスファイルのパスワード無効化を行うことができますできます。
DNA (Distributed Network Attack)PRTKで行う総当たり攻撃を、分散化させることで、効率化をはかることが
きます
11
できます。
Page 7
2.デジタル・フォレンジックへの取り組み
2.3 フォレンジックソフトウェアの活用
FTK3 2の使用例– FTK3.2の使用例
FTK3.2で
パスワードで保護されたパスワ ドで保護されたファイルの一覧を表示
したところ。
ファイルシグネチャ分析を行 イ 仕分を行い、ファイルの仕分けを行っています。
ファイルシグネチャ
ベースの復元、スの復元、
String searchを
利用した復元なども
行っています。
12
2.デジタル・フォレンジックへの取り組み
2.3 フォレンジックソフトウェアの活用
E C– EnCaseEnCase 6.18 or 6.19
– 特に、強制調査直後の嫌疑者が使用していたPCの解析を行う際に使用
しています。
– 削除データの復元やインターネット使用履歴の可視化などに強みを持ち、すぐに解析結果を調査官が知る必要のある作業に使用しています。すぐに解析結果を調査官が知る必要のある作業に使用しています。
EnCase 7今年度に調達したフォレンジックソフトウェアで 上述EnCase6 18の後継版– 今年度に調達したフォレンジックソフトウェアで、上述EnCase6.18の後継版です。
– EnCase6からの変更点が多く、なれるのに苦労しています。(正直なところ)
13
Page 8
2.デジタル・フォレンジックへの取り組み
2.3 フォレンジックソフトウェアの活用
– EnCase6.18によるインターネット使用履歴調査
Yahooで両国 中学などを検索していたことがわかる
14
2.デジタル・フォレンジックへの取り組み
2.4. DDイメージの仮想PC化
– LiveView LEおよびVMware WorkstationもしくはVMware PlayerPoint!仮想化技術導入したことにより
調査官は証拠品そのものを
起動することなく、嫌疑者などと
同じ環境を再現することが出来る
ようになりました。
LiveView Law Enforcementバージョンでは、ローカル
アカウントのパスワードを
無効化します。
15
Page 9
2.デジタル・フォレンジックへの取り組み
2.5. 大量データ分析
ビデオデモ
16
2.デジタル・フォレンジックへの取り組み
2.6. Chain of Custody
Chain of Custody–Chain of Custody 押収したデジタル証拠が、押収→保全→解析→証拠化といった調査の過程において、調査
機関などによる意図的な変更がなされなかったという証明をするために、調査過程における作業を正確に記録し 必要であればハッシュ値などを取得して その正当性を保証すること作業を正確に記録し、必要であればハッシュ値などを取得して、その正当性を保証すること。
ハードディスク→保全時に原本及び保全データ両方ハッシュ値を取得、比較し値が同一であることを確認。
携帯電話→ハッシュ値の取得は可能であるが、原本を起動する必要があるため、正確な携帯電話→ ッシ 値 取得は可能 ある 、原本を起動する必要 あるた 、 確なハッシュ値の算出は困難、故に報告書に保全経緯を正確に記載する。
ファイルサーバデータ→ハッシュ値を算出しながらデータを保全する。
大切なのは、押収の現場、保全、解析、証拠化などの段階において、
Repetable、Tracable、 Accountableな作業及び報告がなされ
が がることであり。ハッシュ値があるからといって、作業の正当性が確保され
たと言うわけではない。DF担当者が作成する作業報告書の質が重要。
17
Page 10
3. 人材育成
3.1 人材
–現状– 中途採用の任期付職員もしくは民間からの出向者による運用
コア技術 経験は最終的にSESC外へ– コア技術、経験は最終的にSESC外へ
– 緊急で重要なDFニーズを満たすためには最適な人材構成
あるべき姿–あるべき姿– 中途採用者や出向者の数を減らし、プロパー職員での運用
– DF技術は確立、最も重要な人材育成に焦点を当てた運用を始める技術 確 、最 要 材育成 焦点を 用を始
– プロパー職員のDFチームへの編入
– DF技術は、コンピュータ技術の基礎であり、DFを出発点として、金融庁のシステム人材を育成するとの観点から、若手職員の積極的なチームへのシステム人材を育成するとの観点から、若手職員の積極的なチ ムへの参画を来年度より推進
– 常勤職員を中心とした体制を構築
18
3. 予算・研修について
3.2 研修
–庁内研修– 8月期基礎研修
特別調査課員に対して デジタル調査の基礎(IPアドレス調査 ファイル– 特別調査課員に対して、デジタル調査の基礎(IPアドレス調査、ファイル情報調査手法)などについての基礎研修を全員が受講
– 9月期Digital Forensic Associate(DFA)研修
DFTと調査担当班の橋渡しをする人材を育成する目的で 各調査班から– DFTと調査担当班の橋渡しをする人材を育成する目的で、各調査班から1名選抜し、DFA研修を行います。 Nuixの使い方や調査手法について徹底した訓練を行います。
1月期専科研修– 1月期専科研修
– 特別調査課員に対して、最近のIT事情や新たな調査手法について研修を行います。
19
Page 11
3. 予算・研修について
3.2 研修
–他省庁向け研修
東京地検特捜部 大阪地検特捜部 名古屋地検特捜部 東京国税局– 東京地検特捜部、大阪地検特捜部、名古屋地検特捜部、東京国税局査察部、大阪国税局査察部、公正取引委員会などに対してNUIXの使用方法や、データ収集手法、FTKの効果的な使用方法などについて、SESCでの経験をもとに、研修を行いました。SESCでの経験をもとに、研修を行いました。
20
3. 予算・研修について
3.2 研修
–庁外研修– 関東管区警察学校情報技術解析専科
特別調査課より1名 開示検査課より1名 毎年警察庁関東管区警察学校– 特別調査課より1名、開示検査課より1名、毎年警察庁関東管区警察学校にて行われる、情報技術解析専科に人員を派遣しています。
– 警察大学校付属警察情報通信学校情報通信技術専科(情報技術解析)
過去に特別調査課より1名 取引調査課より1名参加しました– 過去に特別調査課より1名、取引調査課より1名参加しました。
– Ji2やその他ベンダーが開催するトレーニング
– 年末をめどに、各種デジタル・フォレンジック調査会社が提供するトレーニングに参加を予定しています。
21