トピック
データ捜査で従業員の「不正行為」を暴く!警察の「犯罪捜査」協力もする“デジタル鑑識”事業とは
社内PCでダークウェブ接続やマイニング……原因特定に活躍する「フォレンジック」調査の実情
- 提供:
- デジタルデータソリューション株式会社
2021年3月8日 06:55
サイバー攻撃やマルウェア感染による被害を受けた場合は、感染源を特定して被害拡大を防ぐための「フォレンジック」が有効だ。フォレンジックは、法的証拠にかかわる情報を発見するための調査で、調査対象には電子データも含まれる。
こうしたセキュリティにかかわるフォレンジックのサービスを新たに展開するようになったのは、「世界中のデータトラブルを解決する」を企業理念に掲げるデジタルデータソリューション株式会社だ。同社はこれまでデータ復旧を中心に事業を行ってきたが、2017年に株式会社ラックと資本・業務提携を行い、フォレンジクス事業とセキュリティ事業にも進出した。
同社取締役COOの上谷宗久氏によれば、退職者による社内データの不正な持ち出しや横領、従業員による人為的なセキュリティリスクへの対応にもフォレンジック調査が有効だという。
そこで、企業インシデント対応時におけるフォレンジック調査の実情や、従来のセキュリティ対策製品が想定していなかった人為的なセキュリティ課題に対応できるフォレンジックについて話をおうかがいした。
実際は「泥臭い調査が多い」――未払い残業代をめぐる企業と退職者の争い
――企業での調査エピソードがあれば、差し支えない範囲で紹介してください
[上谷氏]情報遺失・漏えいなどのトラブルを「日本一見ている会社」と前回お話ししたように、当社には多くの依頼が寄せられています。
2020年、新型コロナウイルス感染症(COVID-19)の拡大による緊急事態宣言の発令時に、在宅勤務による従業員の勤怠管理が話題になったのを覚えている人も多いと思います。これに関連して、PCを調査して過去の勤怠状況をチェックしてほしいという依頼があります。
また、退職者から未払い残業代の請求があり、反証のための証拠が欲しいといった依頼も企業側からありました。実際に調査してみると、勤務時間中は日常的にゲームをしていた記録や業務と関係ないウェブサイトへアクセスしていた痕跡が出てきたというケースがありました。
逆に従業員側が時間外労働について労働審判を起こすこともあります。労働時間を記録した証拠として手帳を提出したものの会社から虚偽報告と答弁され、追加証拠となる客観的な情報が欲しいという依頼がありました。
このケースでは会社のPCを証拠保全したのち、起動ログや作業履歴を抽出してまとめています。
――データが消された場合は調査ができるのでしょうか?
[上谷氏]送信済みの過去のメールを全部消していたり、ファイルを部分的に消去していることが多いのですが、おおむね復元できます。ログを精査すれば、データ持ち出しのためのUSBメモリを接続していたことや、特定のキーワード検索をしていたという状況も確認できます。
意外と思われるかもしれませんが、華々しい内容よりも泥臭い調査が多いのです。
このようにフォレンジック調査は過去に遡って行えるため、退職した人がどうも怪しいことをしていたかもしれないと疑っている場合は、PCをしばらく後任者に渡さずに保管していただいたほうが解析に役立ちます。現状は多くの会社が工場出荷状態で後任者にPCを渡していることが多く、この場合は調査の障害になります。
壊されたスマートフォンのデータ解析が必要な場面も官公庁の依頼の多くは殺人や麻薬・薬物犯罪にかかわる問題
――官公庁についてはどのような依頼があるのでしょうか?
[上谷氏]警察や税関からの依頼でパスワードを解除して内部のデータを取り出すことが多いのですが、これらは殺人や麻薬・薬物犯罪に関連するものが多く、センシティブな問題になります。
犯罪者は逮捕直前に証拠を隠滅するためにスマートフォンを壊すため、タッチパネルも使えないような状態のスマートフォンが届くこともあります。そのような状態でも我々は対応ができますし、必要ならば内部のメモリを剥がして解析することも可能です。
復旧から解析までをワンストップでできることが強みです。スマートフォンの復旧を行っている会社はデータ復旧会社の中でも限られていて、さらにここに解析が加わると、どちらにも対応できる会社はかなり限られます。
当社は官公庁から調査依頼をいただいたり、全国各地の警察署から感謝状をいただくなど、実績も出せています。
――個人ではどのような相談がありますか?
[上谷氏]リーガルテック領域のフォレンジックに関するご相談は個人の方からいただくことも多くあります。
今伸びているのが「デジタル遺品調査」でして、これは個人のPCやスマートフォンに遺されたデータを収集・解析する作業になります。
サイバー攻撃関連では「夜中に多くのデータ通信が発生して不安なので調べてほしい」といった依頼もあります。個人もハッキングや不正アクセスの被害に遭う時代になっています。また、出口対策として当社が開発したDDHBOXを個人で導入している方もいらっしゃいます。
社内PCでダークウェブ接続やマイニング……、従業員による人為的なセキュリティリスクへの対応にも追われることに
――このほかに、どのような問題への対応を行うことがあるのでしょうか?
[上谷氏]従業員による人為的なセキュリティリスクへの対応になります。
一例ですが、とある企業からマルウェア「Emotet」による感染被害について連絡を受けてヒアリングしたところ、従業員の1人が「感染の原因になった添付メールを開いた」と回答しました。ところが、不審な通信や挙動のある端末、ファイルを特定する全容解明の調査(ファストフォレンジック)を行ったところ、感染PCは12台ありました。
残りの11人は黙ってごまかしたか、全く気付いていないわけです。黙ったままだとしても、Emotetの入口となる添付ファイルを開いたことはファストフォレンジックで分かります。詳細分析(ディープフォレンジック)の台数が増えるとスケジュールや費用が変わるため、なるべく初期の段階で正確に回答していただきたいです。
ディープフォレンジックの結果、会社のPCからダークウェブに接続している端末を発見したこともあります。通常の会社ならば業務でダークウェブに接続することはありませんのでこれは問題です。
また、従業員のPCが仮想通貨のマイニングに使われていたことがあります。マイニングでは高い計算能力を必要とするため、PCが異常に遅かったり、熱い状態であればすぐに気付くと思うのですが、ある1社からマイニングに利用されている端末が3台見つかったこともありました。
――ほかにはどのような事例があったのでしょうか?
[上谷氏]数百人規模のインシデントが発生したものの、予算の関係で全数調査が行えないという依頼があり、先方が一番怪しいと指定したPCだけを調査しましたが、かなりのマルウェアに感染していました。ほかのPCにも問題があると思いますが、予算がないということで調査はここで終了しています。全数調査を行わないと、組織内でマルウェアが蔓延しないかと心配になります。
マルウェア感染による迷惑メールの大量送信などが起こり、それが取引先からのクレームで発覚すると、社内問題だけにとどまらなくなります。実際、マルウェアに感染した企業の端末から迷惑メールが大量に送信され、取引先の大手企業や研究所からのクレームを受けてフォレンジック調査に至るケースがよくあります。
また、とある企業を調査したところ、1台のPCからマルウェアが300個見つかったことがありました。業務委託の方のPCがWindows Updateを行っておらず、既知の脆弱性を利用したと思われるマルウェア感染が見受けられました。そのPCからなりすまし迷惑メールが送信されており、誰の責任になるのかという論点に発展してしまったことがあります。
日本は世界的に見てもこのように社内のインシデントが発覚してから対応を検討する企業が多いのが現状です。いくつか事例をご紹介しましたが、フォレンジック調査を行うことで見過ごされていた問題の発見につながることが分かると思います。
必要なのは「未然に防ぐ」こと、データトラブルをゼロにするために
――データ復旧事業に加えて、フォレンジックやセキュリティの三本柱で事業を行っているのが強みということでしたが、今後のビジョンとしてはどのようなものをお持ちでしょうか?
[上谷氏]そうですね、「トラブルが起こってから動く」のが現在の取り組みになっていますが、これは本来あるべき姿ではありません。「トラブルを未然に防ぐ」ことの方が良いと考えています。
そのため、今後はトラブルを発生させないためのサービスを手掛けていきたいと思っております。例えば、標的型メールの訓練サービスを定期的に実施して企業のセキュリティに対するリテラシーを向上させるのもその一つです。
これまでにも海外への人材派遣や技術投資、積極的な資本・業務提携を行ってきましたが、今後もその動きを緩めずに行っていきたいと思っています。海外展開を見据えた商社との提携や、新規サービス開発にはソフトウェアエンジニアが必要になります。足りない技術やサービスは補っていきたいですね。
当社の企業理念は、困った人を助け、困った人を生み出さず、「世界中のデータトラブルを解決する」ことです。そのため、今後の方針としては、データトラブルを起こさないようにアシストして、トラブルをゼロにしたいと考えています。これからも世の中のためになることを手掛けていき、その目標を達成できるように取り組んでまいります。
