フォレンジック調査の事例紹介。迅速な対応が費用と被害を抑えます。

ネットエージェント

フォレンジック想定調査事例

すべてを見通す情報漏えい調査

想定事例と調査内容

内部不正

ケース1:情報漏えい

依頼内容

A社では、資産管理ソフトを導入していたが、利便性を重視してUSBメモリの使用そのものは使用可能な状態にしていた。ただし、監視ログは残していた。退職した山田さんのログをシステム管理者が確認していたところ、不審なログ痕跡を発見した。会社のファイルがUSBメモリで持ち出された疑いがある。ファイルへのアクセス履歴からは、USBメモリで実際に持ち出したのか、どのファイルを持ち出したのかは不明であった。山田さんは、情報を持ち出したのだろうか?

調査内容

山田さんの使用していたPCを調査することで、USBメモリの最終使用日時、ファイルの作成・削除履歴ファイルのアクセス痕跡などから、データの持ち出しの有無を調べられます。

ケース2:紛失・盗難

依頼内容

B社の鈴木さんの第三営業部は、取引先C社へのプレゼンの準備で連日資料作りに追われていた。プレゼン当日、プレゼン自体はうまくいき好感触であった。プレゼンからの帰り道、極度に疲労していたため、会社へは戻らず直帰した電車の中で、鈴木さんは睡眠不足によりうとうとしていたが、降りる駅を乗り越している事に気が付き、急いで電車をとび降りた。降りてすぐカバンを電車の中に置き忘れたことに気が付き、駅で忘れ物をしたことを駅員に告げたが、カバンは、すでに電車のあるべき位置から無くなっており、見つからなかった。カバンの中には、プレゼンで使用したPCが入っており、取引先C社の非公開情報が入っていた。ここで、取り返しのつかない事をしてしまったことに鈴木さんは気が付いた。会社に報告したのち数日がたって紛失したPCが警察を経由してもどってきた。このPCの中のデータは無事なのか?

調査内容

鈴木さんの紛失したPCを調査することにより、電源のオン・オフ、ログオン・ログオフ、スリープ移行・解除、USBの接続履歴、ファイルの作成・削除履歴などから最終利用日時からのPCの操作が無かったことが調べられます。

ケース3:素行調査

依頼内容

佐藤さんは、営業で外回りに出かけている事が多い。しかし実際の営業成績が上がらなかった。そのうちに、社内で佐藤さんは、訪問先に行っていないのではないか?と噂されるようになった。佐藤さんの会社では、営業に細かい訪問の報告を求めておらず、実際に訪問しているのか不明であった。もちろん訪問先に対して佐藤さんが来たかどうか聞ければよいのだが訪問先から疑問視されるような事は慎みたい。佐藤さんは、実際に営業訪問しているのだろうか?

調査内容

佐藤さんの持ち歩いているノートPCを調査することにより訪問先に伺っている時間帯、どのような操作をしているかが調べられます。実際に訪問していれば、業務で使用するプレゼンテーション用のアプリケーションの起動などが痕跡として残っているはずです。例えば、訪問時間帯に、業務に関係のないWeb検索が行われている痕跡がみつかれば、佐藤さんの報告に虚偽があったことになります。同様に、持ち歩いているスマートフォンからも行動痕跡を調べられます。

マルウェア感染

ケース1:ランサムウェア

依頼内容

小林さんが、仕事をしているとファイルサーバのファイルが開けなくなってるのを発見した。つい1時間くらい前までは、アクセスできていたファイルだった。ファイルのアイコンが変なものに変わっていた。そもそも、拡張子が変更され、ドキュメントファイルでもなくなっていたが、ファイル名からしてファイルサーバに置かれていた業務ファイルに違いない。システム管理者に報告すると、社内のパソコンを使用しての業務が停止され詳細を調査することになった。システム管理者がしばらく調査すると、PCのローカルファイルも変更されているPCを発見した。 残されたファイルを開くと、データを元に戻すには、BitCoinで金銭を支払えという内容の脅迫メッセージが見つかった。そして、これが世間で騒がれているランサムウェアへの感染であることを確信した。 幸い、ファイルについては、前日のバックアップがあって元に戻せたため、大きな被害にはならなった。しかし、当日のファイル更新を行った作業とトラブル調査のための時間が失われた。再発防止のために感染経路が知りたい、ランサムウェアにどこで感染したのだろうか?

調査内容

ローカルファイルまで暗号化されているPCが感染元である可能性が高いので最初の調査対象とします。調査することで、感染原因(感染元)が明らかになります。例えば感染元がメールであり、同じメールが他の人へも送られているなど感染脅威にさらされている場合は、速報としてお伝えします。また、感染活動の内容などを明らかにし、再発防止に役立てて頂けます。

ケース2:情報漏えい

依頼内容

システム管理者の渡辺さんのところに外線電話のとりつぎがあった。警察の方からの電話らしい。緊張したおもむきで電話に出ると、当社のPCがマルウェアに感染してると言われた。どのPCであるかは、ホスト名を教えてもらえたので、PCの確保は容易であった。 ただし、アンチウイルスソフトもインストールされているがマルウェアの検出は無い。本当に、マルウェアに感染しているのだろうか?

調査内容

感染していると指摘されたPCを調査することにより、感染原因や感染活動の経緯を調べられます。警察の方が他の被害者の調査からC2サーバまでたどり着き、C2サーバが回収した情報から他の感染者に対して連絡して頂けるケースがあるようです。 この場合、C2サーバと通信していた事になりますので、PCそのものでだけではなく、ネットワークのログがあれば、PCの証跡と照らしあわせることにより、より詳細な調査が可能です。

サイバー攻撃による不正侵入

依頼内容

吉田さんの会社のD社は、自社製品のサポートサイトを立ち上げており、吉田さんはその管理者であった。ある日、 お客様から、クレームの電話があり、"不審なところから電話があった。最近、新規に取得した電話番号でほとんど使用しておらず、思い当たるのがD社のサポートサイトしか無く、そこから漏えいしているのではないか?"と言われた。このサイトから情報が漏えいしているのだろうか?

調査内容

製品サポートサイトのサーバを調べ、不正侵入により情報漏えいがあったのか明らかにします。まず、サーバ環境を調べ、既知の脆弱性がないか調べます。侵入経路が、脆弱性を利用しての侵入の場合が多いからです。サーバに残りうる痕跡を調べ侵入があったのか、情報の盗難があったのかを調べます。また、ネットワークのログも侵入痕跡として調べていきます。

P2Pネットワークにおける情報漏えい

依頼内容

その一挙手一投足が話題となるITベンチャー企業B社では、型にはまったワークスタイルを好まない社風から多様なワークスタイルを推奨し、 自分の好きな時間に自宅からのリモート接続を行い、仕事をする社員も多く在籍していた。

半年前に大手広告会社からヘッドハンティングされたKさんも、 B社の一大プロジェクトの広報・マーケティングの責任者として日々取引先、協力会社との打ち合わせに奔走していた。

ある日、匿名の第三者からB社代表あてに不審な添付資料のあるメールが届いた。 通常は、そのようなメールが届いた際は、すぐに廃棄していたがメールに書かれた内容がB社のプロジェクトに関することが示唆されたものであったため、 念のため担当者が情報システム部門に相談し、添付ファイルを調べてみることにした。

調査の結果、添付ファイルはKさんが携わるプロジェクトに関する機密資料であった。 すぐさま、プロジェクトの関係者を招集し当該ファイルの所有者を洗い出した。 その結果、その内容のファイルを所有しているのはKさんを含め数人のプロジェクトメンバーだけであることが判明した。

当初、Kさんはいつも持ち歩くノートPCやUSBメモリの紛失もないため、情報流出については心あたりがないと証言していた。 そして匿名のメールが届いてから3日後、社員の一人が巨大匿名掲示板内にB社とKさんの個人情報の流出をうかがわせる内容の書き込みを発見し、情報流出がP2Pネットワークからであることが判明した。

B社では改めて、Kさんを呼び出し事情について再聴取した。その結果、KさんはP2Pの利用を認め、自宅PCの提出に応じた。 情報システム部門がPCを調べた結果、P2Pの利用痕跡はあるものの、当該流出ファイルは確認できなかった。

状況を重く見たB社上層部は、流出発覚から1週間が経過したところで、過去調査サービスの実施を決定した。 調査の結果、Kさんが流出したと思われるファイルは、日を追うごとに所有者が増加。 流出から5日目には、B社の社名がファイル名として付与された情報がP2Pネットワーク上で拡散していることが確認された。

その後、流出したファイルを調査したところPCのデバイス情報についての痕跡が含まれていたため、 B社情報システム部門が調査したKさんの自宅PCの内容と照らし合わせたところ、不審な点が判明した。

この点ついて、Kさんに再々度確認をしたところ、今度は別の自宅PCの存在を告白した。 新たに提出された自宅PCをフォレンジック調査サービスで解析したところ、 当該ファイルが発見され、暴露ウイルス(Antinny)の感染痕跡も P2Pネットワーク上で情報が流出した日と符合した。

流出した原因・経緯については、判明したもののP2Pネットワーク上ではファイルはすでに取り返しがつかないほど蔓延し、 プロジェクトの内容は公然と知られるものとなり、B社は不名誉な形でマスメディアにも流出事故を取り上げられ、プロジェクトは仕切り直しとなった。

調査内容

B社には、業務情報の取扱いについて、社内規定の不備が見受けられました。 具体的には、業務情報の私用PC・USBメモリ等への移動・コピーの禁止、私用PCを含めたP2P利用の禁止、SNS等での業務情報に関する内容の発言の禁止、 実際に以上の禁止要項に違反し、損害を発生させた場合の賠償請求などを盛り込んだ誓約書の締結が社員との間でなされていませんでした。

特に多様なワークスタイルを推奨するB社では、通常のセキュリティ対策に加えて、どうしてもセキュリティ意識も低くなる自宅での業務を考慮すると、 このような誓約書を入社時に締結しておくことは必要なことだといえます。

実際のところ誓約書を締結する目的は、罰則をあたえることではなく、会社の情報漏えいに対する厳しい姿勢を社員に対し示すことで、 P2Pなどの利用を控えさせるという抑止力にこそ狙いがあります。

また、多くのP2P流出事故の場合、当事者は会社に流出の事実を気づかれたとわかった段階で、証拠を消そうとして隠ぺい工作を行います。PCのフォーマット、再インストールはもちろん物理的に破壊・廃棄してしまう場合も少なくありません。

そして、多くのP2P利用者はダウンロードしたファイルを大量に保持しているため、一台のPCでは収まらず、複数台のPCを所有することはもちろん、 外付けHDDを何台も所持していることがほとんどです。

今回の場合も、社員に対する聞き取り段階において情報が不十分なため曖昧な内容しか確認できず、 逆に流出しているという事実をKさんに教えてしまったために、自宅PCに対して隠ぺい工作する時間を与えてしまう結果となりました。

さらに言えば、最初のPCに対する調査を自社で行ってしまったため、隠ぺい工作を見抜けず、適切な証拠保全も行われていませんでした。これは大変危険な行為であり、仮に調査対象のPCから証拠となるファイルが発見された場合でも、Kさんから「会社が改ざんして、証拠をねつ造したんだ。」と言われれば、それを覆すことは非常に難しくなります。

その為にも、PCのフォレンジック調査は専門の知識を有する人物、できれば外部の業者に委託することが望ましいと言えます。フォレンジック調査サービスでは、証拠保全の作業記録と同一性の確認を行うため、上記のような事態が起きた場合でも、適切に証拠を確保し、 調査を行ったことを立証することができます。

情報流出が疑われた場合は、自社で対応することは間違いではありませんが、専門の知識を有し、適切なサービスを提供できる業者にいち早く相談できるように、 日頃から情報収集をすることも必要となります。