デジタルフォレンジックの研究同区尾

1. デジタル・フォレンジックの研究動向
立命館大学
情報理工学部
情報システム学科
サイバーセキュリティ研究
室
上原哲太郎
http://www.cysec.cs.ritsumei.ac.jp/

2. デジタル・フォレンジック形容詞が Forensic
発音は
用語上の定義
fə-ˈren-sik(s) の方が
 フォレンジック（ス） Forensics
一般的
 Webster によると
“ the application of scientific knowledge
to legal problems; especially : scientific analysis
of physical evidence (as from a crime scene)”
 Forensic Science は「法科学」と訳される
Forensic Medicine: 法医学
Forensic Chemistry: 法化学・・・
 日本では日本法医学会 日本法科学技術学会などが活
動
 デジタルフォレンジックスはこれのデジタル版
 Computer Forensics の拡大版

3. 01011101
10101101
111101 ・・・

4. NPO デジタル・フォレンジック研
究会
（ IDF ）による定義
 インシデント・レスポンス※や法的紛争・訴
訟に対し、電磁的記録の証拠保全及び調
査・分析を行うとともに、電磁的記録の改
ざん・毀損等についての分析・情報収集等
を行う一連の科学的調査手法・技術を言う
。

コンピュータやネットワーク等の資源及び環
境の不正使用、サービス妨害行為、データの
破壊、意図しない情報の開示等、並びにそれ
らへ至るための行為（事象）等への対応等を
言う。
※

5. デジタル・フォレンジックは
「電磁的証跡」の取扱いに関する技
術
 電磁的記録（電磁的証跡，電子証拠）
(digital evidence / e-evidence) は：
 削除がとても簡単
 捏造が比較的簡単
 データが大量→部分的に切り取れば恣意的解釈が可
能
 技術的に高度なので法曹関係者には評価しにくい
民事だと原告被告間のコンセンサスも必要
 必要なのは「信頼できる収集・分析技術」と
「標準的運用プロセス＋客観的確認手段」の確
立
 単なる技術だけでなく「法曹から受け入れ可能」で

6. システム管理者にとっての
デジタルフォレンジック
平時の対応
従来のインシデント
レスポンス
緊急時の対応
事件・事故の
発生
インシデントや訴訟係
争の発生／情報漏え
い・
内部不正の発覚など
情報システム
管理者
信頼できる認証基盤の確立
通信や操作記録の収集・保
管
記録やログの消去改竄抑止
ログや記録の定常的検査に
よるインシデント発見 な
ど…
分析・
整理
された
証拠
システム管理者
又は外部の専門家
電磁的証拠の保全と収集・解析
収集過程と解析結果の文書化
証拠改竄・毀損の有無の確認・立証
証拠保全後のシステムの速やかな回
復
など…
管理者や
専門家へ：
原因究明と
再発防止
被害拡大抑止
弁護士等へ：
法的交渉や
民事訴訟
捜査機関へ：
刑事訴訟
法的対応

7. 用語の広がり
 「システム管理手法」という文脈での用法
 証跡になる可能性のあるログ保全技術
 インシデント発生時の証拠保全と収集技術
 「電磁的証跡の解析技法」という文脈での用
法
 消去ファイルの復活・パスワードリカバリ
 改ざん画像、映像、音声や文書の検出…
 「従来の証拠分析技法のデジタル化」での用
法
 大量の文書からの事件関連文書の高速検出
 大量画像からの事件関連画像の高速検出

8. 海外のデジタルフォレンジック
研究の歴史
 1995 ～ 7 年あたりにかけて“ Computer
Forensics” “ Network Forensics” という
言葉が使われ始める
 “Computer Forensics: An Approach to Evidence
in Cyberspace,” Mark Pollitt, 1995
 “Network forensics and traffic monitoring,”
Ranum, M J, 1997
 今でも Wikipedia は Computer Forensics
 こちらはシステム屋に好まれる用語
 2000 年前後には Digital Forensics という
概念が生まれる
 Information Forensics とも言う
 メディア処理研究者が多く参入

9. 研究コミュニティの形成
 2001 年 Digital Forensics Research Workshop
(DFRWS) 開始 http://www.dfrws.org/
 最古で今も一番活発
 「実学的」 “ Forensic Challenge” などのコンテストも主
催
 HDD イメージの規格 CDESF の提案 WG なども
 論文誌 Digital Investigation とタイアップ
 来年から米欧で各年 1 回に
 2004 年 IFIP （情報処理連合）の TC11 （技術委員
会）に WG11.9 として Digital Forensics が発足
 毎年 1 月頃学会を主催（米国、米国外交互） 60 ～ 100 名
規模
 DFRWS に比べると学術的
 Springer から Advances in Digital Forensics を毎年発行

10. その他の学会
 2006 年 Association on Digital Forensics,
Security and Law (ADFSL)
 米国で Conference on ～（ CDFSL ）を開催
50 人規模
 論文誌を年 4 回発行 Journal on ～（ JDFSL ）
 2006 年 IEEE Int’l Workshop on
Information Forensics and Security
（ WIFS ）
 IEEE Trans. on ～と連携
 2002 年 International Workshop on
Digital-forensics and Watermarking
（ IWDW)
 LNCS に毎回収録
 2006 年 IEEE Systematic Approaches to
Digital Forensic Engineering (IEEE/SADFE)

11. 現在の状況
 ForensicsWiki (www.forensicswiki.org)
によると 2014 年に開かれるイベントは
22 ！
 アジア地区でも毎年開かれる学会が
 Int’l Symposium on Digital Forensics and
Information Security (DFIS)
 International Conference on Digital
Forensics and Investigation （ ICDFI)
 Asian International Conference on
Availability, Reliability and Security
(AsiaARES)

12. 日本の論文を探してみる
 Web of Science で
“ Digital forensics”
or “Computer ～”
を検索すると…
 CiNii で
“フォレンジック”を検
索
 文献は 138 件！
 総数 36.8 万件
 J-Global で
2000 年以降は
“デジタル・フォレン
毎年 1.5 ～ 1.8 万件
ジック”“コンピュータ
フォレンジック”およ
び類語を全て検索
 日本語の文献は 7 ！

13. 他の Forensics 的な分野は？
 CiNii で検索
 J-Global で検索
 「法医学」 6423
 「法科学」 2620
 「鑑識」
1077
 「科学捜査」801
 「法化学」 299
 「法医学」 20882
 「法科学」 5238
 「鑑識」
1426
 「科学捜査」2940
 「法化学」 57
 「インシデント
レスポンス」6
 「インシデント
レスポンス」3

14. 情報科学の研究者にとっての
デジタルフォレンジック
 「犯罪や不正抑止のための
電磁的記録の取り扱い」という視点で
既存の技術を見直したもの
 要素技術の新規開発テーマは少ないが
応用技術の方向性で勝負できる
 なので論文になりにくいというジレンマ
 しかし社会的要求は確実に上がった

15. 研究分野を分類してみる
システム研究と
証拠保全技術
メディア研究の
 事前処理（ログ記録・保管技術・・・）
2 つの軸
 事後処理（正しい「証拠保全」のあり方）
今メディア優勢
 技術分野

 証拠収集技術
 データ収集技術そのもの（含むファイル復活）
 データ分析技術、検索技術
 （場合によっては）暗号化解除技術
 証拠分析技術
 文書マイニング・画像映像解析・フォーマット解析
 法曹分野
 技術の評価と法的位置づけの確立
 電子証拠収集プロセスの確立と評価

16. システム寄りの
主な研究（１）
 データ収集・保全技術関連
 伝統的外部記憶デバイスからの
データ取りだし
 主記憶からのデータ取り出し
 高度化・大容量化する RAID への対応
 SSD などフラッシュメモリへの対応
 スマートフォン・タブレットのデータ取り出し
 クラウドの取り扱い
 データ中の証跡の取り出し・検索関連
 ファイルシステム・システムファイルの解析
 消去データ復元・破損データ修復・ Carving
 パスワード解析・暗号の解読・データハイディング対
抗
 証跡の検索・マイニング関連（特に機械学習の応用）

17. 米国で大流行の
Predictive Coding
 E-Discovery のコストを劇的に削減
 機械学習技術を使って、事件に関連する文
書を効率よく高精度で絞り込む
 企業内の大量の文書から、当該事案に関係す
る文書をいくつかピックアップして学習
 その学習結果を基に、残りの文書中から類似
度の高い文書を検索

18. システム寄りの主な研究（２）
 ネットワークフォレンジック関連
 Web ・メール・ VoIP ・ P2P の検出・監視・分
析・・・
 IDS ／ IPS 関連技術
 インターネットトレースバック
 Bot の検出・ C&C サーバ等の検出
 匿名性強化技術への対抗（ P2P 、 Tor など）
 SNS 、クラウドストレージなど
サービスに特化した分析
 マルウェアの解析関連技術
 解析の効率化

19. メディア処理関係技術
 画像の分析，音声の分析
 大量データからの人の顔・音声の同定と抽出
 さらに個人の同定
 デジカメ画像からのカメラ機種推定・個体同
定
（ Toolmarking)
 改竄の検知
 電子メールや文書の分析
 筆者の推定（ Authorship Attribution ）
 文書作成に使ったソフトウェア・ツールの同
定

20. 今の流行は？
 主な学会の最近の論文を調べてみると…
 DFRWS
 「モバイル対応」「メモリフォレンジック」「多言語対
応」
 IFIP WG11.9
 「モバイル対応」「プロファイリング・著者推定」
「データマイニング」
 CDFSL
 「法的フレームワークとの関係」「事例紹介」「クラウ
ド対応・ネットワーク分析」
 WIFS
 「マルチメディアデータの解析」「バイオメトリクス」
「プライバシー保護」
 意外と現場で聞かれる「クラウド対応」「新デバ
イス対応」「匿名性技術対抗」が少ない

21. 今後求められそうな研究
 より高度なアノマリ解析
 フォレンジック対応のための証跡の活用
インシデントに関わる機器を早期検出
 電子文書関連の研究
 機械学習を利用した関連文書絞り込み
 筆者推定、改ざん検出など
 マルチメディアデータの改ざん検出
 画像・音声等の改ざん
 新しいメディア・システムへの対応
 SSD などのリカバリ RAID 対応
 クラウドへの対応
 ネットワーク上での追跡の新技法
 P2P, Tor 対抗、 LSN/CGN 対応 IPv6 対応

22. 画像の改ざんハードルが下がる
 Photoshop などの
「コンテンツに応じた塗り」により
被写体の「自然な」改ざんが楽に
 どうやって見つけるか？
 周波数成分の解析で不連続性を検出など
 音声に関しても同様

23. 社会的ニーズは
インシデントレスポンス
 2011 年あたりが転機
 ゲーム会社への侵入事件
 防衛産業へのサイバー攻撃
 衆参両院・各省庁…
 インシデントレスポンス人材の不足
 運用負荷軽減技術
 人材育成

24. 終わりに
 デジタルフォレンジック研究のありかた
 なぜか情報科学の研究者は実学が苦手
この壁をいかに乗り越えるか
 学際的研究に対する障壁をどうするか
 司法機関との関係をどうするか
 大学関係者は人材育成のありかたも
問われそう