ますます多くのユーザーがモバイルに行き、相互接続されたデバイスを利用するにつれて、コンピュータはしばしば事件と調査の中心にあります。 法廷での議論の証拠は、影響を受けた当事者に属する電子機器から重要なデータを抽出できるデジタル法医学の専門家のスキルのおかげで、しばしば集 これらの専門家は、警察官や探偵と直接協力して、犯罪事件を解決するためのデジタル証拠の特定、保存、分析、提示を支援するよう求められています。
この記事の目的は、コンピュータフォレンジックの概要と、犯罪捜査に関わる情報の分析のためのコンピュータシステムとモバイルデバイスからのデジタ また、最新の鑑識の課題にも触れています: モバイルフォレンジック、クラウドフォレンジック、およびアンチフォレンジック。
コンピュータ法医学の専門家
法医学の専門家の仕事は、「犯罪者を特定し、それらに対する証拠を分析するのを助ける」ことである、とHall Dillon氏は米国労働統計局のキャリア・アウトルックの投稿で述べている。
訓練を受けた熟練した個人は、デジタル証拠の収集と分析に関連するタスクを実行するために、公的法執行機関または民間部門で働いています。 彼らはまた、調査や法的な設定で使用するための意味のあるレポートを書く責任があります。 ラボでの作業に加えて、法医学の専門家は、法廷で重要性を保持しているメタデータを明らかにする分野でデジタル調査技術を適用します。
今日のコンピュータ法医学アナリストは、削除された、暗号化された、またはモバイルデバイス技術のひだに隠されたデータを回復することができます。 彼らは、犯罪者のアリバイの検証、インターネット乱用の検査、コンピューティングリソースの誤用、コンピュータ関連の脅威を作る際のネットワーク使用を含む、挑戦的なケースに関与することができます。 法医学の専門家は、データ侵害、侵入、またはその他の種類の事件を含む主要なケースをサポートするために呼び出すことができます。 システムデバイスやプラットフォームを調べるために技術と独自のソフトウェア法医学アプリケーションを適用することにより、彼らは調査された犯罪
コンピュータフォレンジックの急速に成長している規律は、それに付随する訓練と認定(CCFE、CHFI)とともに、科学的専門知識の独自の領域となっています。 コンピュータフォレンジックの世界、デジタルフォレンジック業界に関わる専門家のコミュニティによると、この分野の認定された個人は、識別、収集、取得、認証、保存、検査、分析、および起訴の目的のための証拠の提示を担当しています。
コンピュータ法医学プロセス
コンピュータ法医学検査の目的は、犯罪捜査の証拠として押収されたコンピュータからデータを回復することです。 専門家は、手続中に裁判所に提示される可能性のある証拠を調べるために体系的なアプローチを使用します。 法医学の専門家の関与は、彼らが適切にその整合性に損傷を与えることなく、コンテンツを復元することができます方法で技術的な材料を収集す
法医学調査の取り組みには、以下の手順の多く(またはすべて)が関与する可能性があります:
- 収集–デジタル証拠の検索と押収、およびデータの取得
- 検査–データの識別と抽出技術の適用
- 分析–データとリソースを使用してケースを証明する
- レポー)
ビル-ネルソン、コンピュータフォレンジックと調査へのガイド(第三編。)本は、コンピュータフォレンジックの三つのaの重要性を強調しています:取得、認証、分析します。 彼は、コンピュータ法医学プロセスは、実際には、ケースレポートを完了するために、最初の評価、証拠を取得し、それを分析することを含む体系的なアプローチを取ることを含むと言います(2008,pp.32-33)。
法医学的なケースは大きく異なり、データを盗むコンピュータの侵入者に対処するものもあれば、webサイトに侵入してDDoS攻撃を開始するハッカーを含むものもあれば、不正な意図で個人情報の盗難のためにユーザー名とパスワードにアクセスしようとするものもあるとFBIは述べている。 禁止されているサイト(児童ポルノサイトなど)を訪問するサイバーストーキングや不正行為を伴うケースもあります。 法医学審査官は、犯罪者が残したサイバートレイルを探索することができます。
調査の理由が何であれ、アナリストは調査結果が健全であることを確認するために段階的な手順に従います。 刑事事件が開かれると、コンピュータ、およびその他のデジタルメディア機器およびソフトウェアは、証拠のために押収および/または調査されます。 検索プロセスの間に、すべての必要な項目はs/heが裁判所の証言を与える必要があるものを法医学の分析者に与えるために集められる。
次はデータを抽出して分析する時です。 コンピュータ法医学調査官は、5ws(誰が、何を、いつ、どこで、なぜ)とどのようにコンピュータ犯罪や事件が発生したかを考慮に入れます。 標準的な評価基準を使用して、審査官は、不審なトラフィックやあらゆる種類の侵入を探してネットワーク環境内のセキュリティ関連の経過を特定したり、ケースに関与する特定のユーザーに一意に帰属するメッセージ、データ、画像、およびその他の情報を収集したりすることができます。
鑑識プロセスには報告書の作成も含まれています。 コンピュータ法医学審査官は、利用可能な事実上の証拠を議論するために弁護士のためのそのようなレポートを作成する必要があります。 証言のための法医学的証拠を準備することが重要です,ケースは裁判に行くと審査官は、技術/科学的証人や専門家証人として呼ばれている場合は特に.
法医学的に証拠を得る方法
従来、コンピュータ法医学的調査は、ハードドライブの内容を探索するなど、保存されているデータに対して行われていました。 法医学の科学者がさらなる分析を必要とするたびに(例えば、イメージングを実行するために—ハードドライブ、フラッシュドライブ、ディスクなどのコピ)、それは制御された実験室の環境で普通されました。 デッド分析(デッドフォレンジック取得または単に静的取得とも呼ばれます)は、電源がオフになっているコンピュータ上で実行されるデータ所有です。 言い換えれば、それは安静時(死んだ)のシステム(およびその一部)の検査を含む。 代わりに、ライブ分析手法では、システムをシャットダウンする前にシステムからデータを収集します。 死んだ分析は、DNA(機器上の指紋)のような物的証拠を取得するためにも時間を持つ必要があると考えられていますが、現在、法医学の専門家の注目の焦点
現場で”ライブ分析”を実行すると、迅速かつ事前の証拠が得られます。
法医学審査官は、さらなる分析のため、または反復的なプロセス(ライブ取得では不可能なもの)を実行するために犯罪ラボを必要とするかもしれませんが、すべてのケースがそれを必要とするわけではありません。 それにもかかわらず、法医学審査官が調査の次の適切なステップを決定するのに十分な情報を収集することが重要です。 このアプローチは、デジタル証拠の損失や損傷、揮発性データの損失、または機器の押収のための令状を必要としないことを保証します。
ライブ調査はすでに何年も行われています。 今日のデジタル時代とコンピュータ犯罪の増加では、デジタル証拠(コンピュータシステム、記憶媒体、デバイスなど)の分析と解釈のために法医学アナリ 2006年のCyber Forensic Field Triage Process Model(CFFTPM)に関する記事では、「CFFTPMは、システム/メディアをラボに戻して詳細な検査を行ったり、完全なフォレンジック画像を取得したりする必要なく、短時間でデジタル証拠の識別、分析、解釈を提供するためのオンサイトまたはフィールドアプローチを提案しています。”
いくつかのコンピュータ法医学ツール
包括的な法医学ソフトウェアツール(Encase Forensic Edition、X-Ways Forensic Addition、Paraben、Forensic ToolKit(FTK)、Linux DDなど)。)犯罪現場の調査官がコレクション、索引作成および詳細分析を提供するのに使用されています。
フォレンジック調査は、コンピュータのフォレンジック情報を収集することで構成されています;プロセスは、パケットアナライザまたはWiresharkのようなスニッファーツールを使用してネットワークトラフィックを分析することから始めることができます。 別のネットワークフォレンジック分析ツール(NFAT)であるNetworkMinerは、すべてのファイルを抽出または回復するためのWiresharkの代替品です。 Snortは、代わりに、リアルタイムでネットワーク侵入者を追跡する上で貴重なツールです。
NFATソフトウェアには、その名前が示すように、保存されたネットワークトラフィックの分析を実行することによるフォレンジック機能も含まれています。 Incident Response and Identificationに関しては、Forensic Toolkit(FTK)を使用して削除されたファイルを識別して回復することができますが、EnCaseはforensic、cyber-security、およびe-discoveryの使用に適しています。
新しいフォレンジックツールの必要性
新しい技術の実装と急速な成長は、現在、パーソナルコンピュータやラップトップだけでなく、(そしてより頻繁に)タブレッ
“モバイルデバイスフォレンジックは、受け入れられた方法を使用して法医学的に健全な条件の下でモバイルデバイスからデジタル証拠を回復する科学である”とNISTは”モバイルデバイスフォレンジックに関するガイドライン”の中で述べている。”このガイドでは、法医学アナリストが、モバイルの世界の独自性について、今日、しっかりと理解し、犯罪現場で見つけることができるデバイスのモデ
Nokia、Samsung、LG、Huawei、Appleなどのスマートフォン企業が開発した独自のオペレーティングシステム、暗号化技術、保護ツールの普及は、アナリストにこれまで以上に速い速度で最新の開発に追いつくことを義務付けています。 今日の新しい先進的なデバイスは、より高いレートで生産され、それらを保護する明白なセキュリティ機能をバイパスした後でさえ、それらから情報を抽出することは、固有の課題を提供します。
スタンドアロンコンピュータで作業すると、アナリストはデータ(RAM、BIOS、HHD…)を探す場所を知っていました。 モバイルデバイスストレージでは、それは明確ではなく、関連する情報は、NANDからNORフラッシュメモリ、SIMカードのRAMなど、いくつかの場所で見つけることがで
デバイス上のプログラム実行に関する重要な情報を明らかにする可能性のあるデバイスの揮発性メモリに対する電力排液の影響などの問題 さらに、”閉じたオペレーティングシステムは、関連するファイルシステムと構造を解釈することを困難にします。 同じオペレーティングシステムを持つ多くのモバイルデバイスは、その実装が大きく異なる可能性があり、その結果、無数のファイルシステムと構造 これらの順列は移動式法廷用具の製造業者および審査官のための重要な挑戦を作成する。”(NIST Special Publication800-101,Revision1)
国立標準技術研究所(NIST)が説明しているように、多くは、侵入の少ない手動抽出から侵襲的で洗練された高価なマイクロ読み取りまで、モバ 手動抽出とは、デバイスのユーザーインターフェイスとディスプレイを使用するだけで情報を取得することを意味します。 第二のステップは、まだ基本的であり、論理的な抽出を含みます。 第三のレベルは、Hexダンピング/JTAG抽出方法を含みます;それはより困難なデータ収集アプローチを必要とします–デバイスメモリの物理的な取得を経て実 第四のレベルは、メモリの実際の除去を含むチップオフ法であり、第五の、最も困難で洗練された方法は、アナリストがすべてのゲートの物理的状態を
NISTは、モバイルフォレンジックへの共通のアプローチに取り組んでいるだけでなく、クラウドフォレンジックに関するアイデアを収集するためのフォー クラウドコンピューティングは、現在、ほとんどのモバイルデバイスユーザーや多くの企業で使用されている急速に成長している技術です。 その柔軟性および拡張性はそれにほとんどのユーザーのための魅力的な選択をするが、また独特な法廷の挑戦を提起する。
技術的な課題に加えて、実際には、クラウドコンピューティングは、管轄権と法的問題を提起します。 データは、実際には、どこにでも保存してアクセスすることができ、研究者が異なる国のデータにアクセスするか、他のクラウドユーザーのプライバシー権を保
また、データやアクションを特定のユーザーに帰属させることは難しい場合があります。 データの回復は、クラウド環境でのスペースの上書きと再利用のために問題になる可能性もあります。
研究者は、特にクラウド環境でフォレンジック分析を決定的にすることができるアンチフォレンジック技術、ツール、および実践にも注意する必要があ 特定の種類のマルウェアや難読化技術は、収集された証拠の完全性を損なう可能性があり、結論を法廷で提示するのが難しい可能性があります。
結論
インフォセックはウェブサイトで説明しているように、”ハッカー攻撃の根本原因を特定し、法廷で法的に認められる証拠を収集し、企業の資産と評判を保護するために、今日の企業にとってコンピュータフォレンジックの専門家が必要とされている。”
とサイバー犯罪(すなわち コンピュータやネットワークを扱う犯罪行為)増加し、組織データを脅かすだけでなく、一般集団によるデジタル機器の使用の増加に伴い、デジタル証拠の分析は、多くの犯罪現場で重要な要素となっている。
法医学コンピューティングは、人間の要素に重点を置くだけでなく、刻々と変化する環境でデジタル証拠を明らかにする必要性のために課題を提起す 技術の進歩と、アンチフォレンジック手法が容易に使用できるネットワーク環境やクラウド環境への移行により、現場の専門家は最新の状態を維持し、継続的に標準的な運用手順を改訂することが義務付けられています。
レベッカT.Mercuri、Notable Software,Inc.の創設者。”この分野の継続的な成熟は、常にベストプラクティス、トレーニング、認定、およびツールセットのいくつかの安定化をもたらすだろうが、新しい課題は、そのルートにある技術の動的な性質のために常に出てくるだろう”と法医学コンピューティングの課題に関する学術的な記事で指摘されている。「それにもかかわらず、FBIがそのwebサイトで述べているように、「この新たな法医学的規律は、刑事司法制度において効果的で信頼できるツールであり続けることです。”
ソース
モバイルデバイスフォレンジックに関するガイドライン
コンピュータフォレンジックとE-Discoveryの違いを切り分ける
デジタルフォレンジックワークフローの合理化:パート3
より安全なライブフォレンジック取得
セキュリティウォッチ–フォレンジックコンピューティングにおける課題
コンピュータフォレンジックと調査。 (第3回ed.). マサチューセッツ州ボストン
コンピュータ-フォレンジック-フィールド-トリアージ-プロセス-モデル。
革新ブログ:ライブフォレンジックのためのプッシュ。
デジタルフォレンジックは、どのようにだけでなく、なぜ