SSブログ

「デジタル証拠の法律実務Q&A」に追加 [法律]

デジタル証拠の法律実務Q&A

第一東京弁護士会から,かなり濃厚な本が出ました。
11231812_771667609609292_1680786786496818333_o.jpg


盛りだくさんな内容で情報量も多く,技術的にも法律的にも網羅性があり,非常に濃く,とても良い本だと思います。もう少し出るのが遅ければ,私も関わりたかったですね。

せっかくなので,この本をもっと良い内容にするため,技術的視点で気が付いた点をどんどん書いていきます。

※以下の内容は変更される可能性があります。変更した箇所は日付を記載していますので,確認してください。
※また,フォレンジック技術自体を否定するものではなく,信頼し過ぎることも危険であることをご理解していただくために記述しています。


Q8(10/3記述,10/5修正,10/13第2段落修正)
メタデータとは何か

P60
「特定のデジタルデータに関するメタデータを漏れなく整合的に改ざんすることはしばしば困難でもあり」ますが,アンチフォレンジックと呼ばれるツール(Anti-Forensic Tools:AFT)が開発されたりしており,このツールを用いれば,フォレンジック技術を用いても整合的になってしまうように改ざんすることが容易にできてしまいます。

そもそも,通常のPC上で改ざんされていないことの証明は容易では無く,改ざんされていない合理的な可能性,蓋然性に留まると考えられます。また,ファイル等を削除されてしまえば,メタデータその他のデータにより,そのファイルの存在の有無を証明することはできても内容の確認すらできない場合が多々あり,ファイルの存在だけで要証事実を立証できることは極めて稀(例えばファイル名から強い推認力が働く場合など)だと思われます。

アンチフォレンジック技術は,多岐にわたり,ハードディスク上のデータの改変,消去,追記に加え,ライブフォレンジックとして取得するメモリ上からネットワークやレジストリデータ,プロセス情報等のデータを抽出することができますが,これを虚偽のデータに改変するような機能を持ったツール等も登場してきています。

(10/5記述,10/13第1段落,第5段落修正)
ファイルやログ等をタイムライン上に並べて,不自然なファイル(改ざんされた可能性のあるファイル)や改ざんされた時間帯を統計的に検知/検出するという技術が以前Black Hatで紹介されていました。ただ,この手の技術は,統計的処理であり,合理的な疑いを差し挟む余地がある証明になる可能性が多々あります。

また,AFT群をリスト化しておき,PCを調査した際に,当該ツールを使用した痕跡が発見された場合には,データの改ざんを疑うことができると思われます。しかし,この場合,改ざんされたファイルがどれなのかは容易に判明しないため,そもそも当該PCから抽出されたデータ全ての信用性が失われる可能性もありえます。そうなれば,攻撃者は,AFTをPCに蔵置しておけば実際にそれを使用しなくてもデータの信用性が失われるとして,保険になると考えるかもしれません。

この点は,マルウェアに感染しているPC全般に言えることかもしれません。マルウェアに感染しているPCは,そもそも信頼できないということになる可能性も否定できません。

証拠より量の問題という,少し観点が異なりますが,私も聴講者として参加した1年前のAV Tokyoでも興味深い対談がありました。
http://www.atmarkit.co.jp/ait/articles/1403/12/news135.html

(たぶん無いとは思いますが…)なお,ライブフォレンジック(ネットワークフォレンジックも含まれるかも?)の結果を提出する場合には,鑑定結果という扱いになるかとは思いますが,証拠としての価値は低いのではないかなと思っています。自然的関連性の点から証拠能力自体が否定されるかもしれませんし,(たぶん)汚染されたPCのメモリ上に残っていたデータですから,そこから出てきたものの(証拠価値としての)信用性は低いとも考えられます。汚染されていないデータであれば,ある程度の証明力(刑事)/証拠力(民事)にはなるかもしれません。


Q11(10/3記述,10/5修正)
消去されたデータ復元のプロセス

P81
ハードディスクの物理コピーを行う装置は,コピー後にハッシュ値を計算して液晶画面に表示するのが一般的です。そのため,液晶画面をカメラで撮影して,印刷した写真を添付するか,ハッシュ値を手作業で報告書に記述するかしなければなりません。後者の場合は写し間違いが生じるため,カメラで撮影する方が確実でしょうけど,中々面倒です。

また,ハードディスク内のディスクエラー等により,ハッシュ値が異なる場合は,再度コピーを行うか,ハッシュ値が異なる理由を検討しなければならないため,刑事手続きによる時間が無い場合には(勾留期間の10日間ないし20日間の間に解析まで行う必要がある場合),ハッシュ値が異なるまま解析をせざるを得ないでしょう。

機器を用いたハードディスクのコピーには最速で約8GB/分ですので,昨今の大容量化したハードディスクではかなりの時間を要します。例えば,2TBであれば,2000GB/8(GB/分)ですから,計算上250分であり4時間以上掛かります。1ビットずつ比較するコンペアをしながら,ハッシュ値計算を行えばさらに時間はかかります。

以前250GBのハードディスクをコピーした際,計算上は30分ちょっとですが,コンペアとハッシュ値の計算を行わせると,なぜか6時間ほど掛かりました。これをもう一度行えば,その日の作業は何もできずに終わってしまうということになります。

物理コピーしたハードディスクは直接解析を行わず,ライトブロッカーなどの書込み防止装置を用いてUSB接続を行い,解析を行うのが通常です。また,EnCaseを用いた解析では,イメージファイルを解析用PCに取り込み解析を行いますが,イメージファイルにするかは,選択することが可能です。


P82
削除されたデータの一部を復元することができる場合があります。しかし,削除されたデータの一部を復元したが,メタデータが残っていない場合は,いつの時点のファイルか,どこのフォルダに存在していたのかなどの情報が欠落しているため,証明力/証拠力としての価値は著しく低くなることは否定できないでしょう。


USBメモリ内に残っているデータから削除データを復元する方法があります。

USBメモリを上述したライトブロッカー等による書込み防止装置によってUSB接続し,ddコマンド等を用いてUSBメモリ内のデータを丸ごとダンプします。その後,ダンプファイルを論理ドライブとしてマウントできれば良いのですが,パーティションテーブルが破壊されるなどしてマウントができない場合には,ダンプデータからファイルを抽出する必要があります。
JPEGやZIP,PDFファイルはまだ先頭と終端に特徴があるため,抽出しやすいですが,WordファイルやExcelファイルはバージョンによって異なるため,手作業や解析用プログラムを独自に作成して,抽出する必要があります。これには非常に時間が掛かり,急を要する場合などには,前述した特徴的なファイルのみになってしまいます。

ファイルの同一性を確認するには,ハッシュ値を比較するのが良いですが,ファイルの類似性を判定する場合には,ssdeepなどのツールのようなFuzzy Hash技術が用いられます。特にマルウェアの類似性にはこの比較結果が用いられる場合もあります。

http://ssdeep.sourceforge.net/
http://www.forensicswiki.org/wiki/Ssdeep


Q12(10/3記述,10/5修正)
携帯電話・スマートフォンのデータ復元

P92
ファクトリーモードは,デバッグモードとも呼ばれたりします。

また,機器によっては,SDカードにダンプデータをバックアップする機能があるものもあります。これができれば,SDカードにダンプされたファイルを解析することにより,モバイル端末のデータを抽出することが可能になります。
参考


破損されたモバイル端末の場合は,同一のモバイル端末を用いて,チップの載せ替えを行い,用意したモバイル端末上で表示させることが可能になります。


捜査機関では,携帯電話会社にモバイル端末を持ち込み,上記のファクトリーモード/デバッグモードを用いて,ダンプデータを出力し,CD-R等に書き込まれたものを渡され,これを捜査機関が独自に解析を行い,モバイル端末のデータを抽出したりします。昔の携帯電話などは,独自のファイルシステムや特殊なファイルシステムが用いられており,これらは公開されていないため,独自で解析を行い,データを組み立てて抽出する必要があります。

さらに,最近のスマートフォンは,AndroidやiOSが使用されており,構造が一般化されています。そのため,UFED等を用いて,解析を行うことが一般的になってきています。



Q15(10/2記述)
データを暗号化した場合

本では,Windows上におけるファイル暗号化の話のみに触れていますが,データの暗号化といえば,ソフトウェアを用いてファイルを暗号化された場合も多々あるかと思います。

例えば,
アタッシュケースというソフトウェア
http://hibara.org/software/attachecase/

ZIPファイルにパスワードを掛けたもの,WordやExcelにパスワードを掛けて保存したものなどがあるかと思います。

まずWindowsの暗号化ファイルシステムですが,ログオンしなければ当該ファイルは復号されません。そのためSAMファイルを入手して,ログオンパスワードを解析する必要があります。ここで注意しなければならないのは,このSAMファイルを書き換えてパスワードを無効化にした後,ログオンした場合,ログオンはできてもファイル暗号化されたものは,復号されないため注意が必要です。

また,暗号化ファイルシステムを使用した証明書をバックアップする際は,ログオンパスワードとは異なるパスワードを設定することができるため,当該証明書を発見したとしてもこれを用いて復号するには注意が必要です。


次に,アタッシュケースなどのソフトウェアやZIPファイルにパスワードを設定していた場合は,特殊な方法が必要です。
アタッシュケースなどのソフトウェアの場合には,そのソフトウェアがどのような暗号化アルゴリズムを用いて復号しているかを確認し,これに特化した総当たりパスワード解析プログラムを作成しなければ,総当たり攻撃をすることはできません(P112)。ZIPファイルにパスワードを付与していた場合も同様です。

P113にある,Rainbow TablesによるRainbow Attackも同様です。暗号化アルゴリズムの方式が判明していなければ,攻撃することは不可能です。


最後にWordやExcelファイルにパスワードが付与されていた場合です。これは世界中のHackerたちが解析を行い,パスワードの総当たりのための手法を編み出しているようですので,これを基に攻撃プログラムを作成すれば,可能となります。検索キーワードにword password crackerなどと入力すれば出てきます。

一太郎のような日本独自のソフトウェアの場合は,解析プログラムを作成しなければ,総当たり攻撃すらできません。ある機関ではそれを解析し,独自プログラムを作成し,解析を行っています。


復元業者がパスワード解析をしてくれるところは,皆無だとは思われます。GPUなどの高速チップを使ってパスワード解析を行うためにはかなりの電力が掛かります。パスワードが判明するかどうかは不確定なのに,例えば,4,000台をフル稼働させるために数百万円の電気代は払えないでしょう。

もっとも,簡単なパスワードを使用している場合はそれほど時間が掛からないため,解析担当者が復号ソフトウェアなどを入手してパスワード解析をしてみる方が現実的ではないかと思われます。


Q24(10/2記述)
P182
文書の成立の真正性の立証に際して,「特定人の意思内容であることを立証するために,メタデータや電子メールのヘッダ情報等を証拠提出したり」
とあります。

もちろんその次の4項で改ざん可能性に触れていますが,メタデータや電子メールヘッダの改ざん可能性ではなく,証拠として提出された電子データに関するもののみに読めてしまいます。

なので,メタデータや電子メールヘッダも当然改ざん可能ですから,補助証拠として当該証拠の真正性を立証するための事実を認定することが否定される可能性もあります。

メタデータを証拠提出するには,Word文書であれば,ファイルのプロパティやWordファイルを開いてからプロパティ情報を表示させたものを印刷して提出すると思われますが,これらの情報が改ざんされていないことを立証することは困難です。

P183
電子メールのヘッダ情報も改ざんが可能です。そもそもテキストファイルであるため,メールヘッダを保存したとしても改ざんが容易になってしまいます。なので,サーバにあるデータを直接印刷したものの方が証拠力としては価値が高いと思われますが,サーバ上で削除されていた場合には,クライアント側の保存されているデータであればそもそも改ざんの可能性が否定できないため,証拠力としての価値が下がる気がします。

P184
ウェブサイトを保存したり,印刷したりする際の,印刷日時は良いとしても,URLが印字された場合であっても,改ざんは可能です。
Proxyをかましたり,Burp Suiteなどで受信するデータを改ざんすれば,表示させる内容を異ならせることも可能です。インターネット上に公開されている内容が確実に印刷したものと同一かどうかは,クライアント側では無く,サーバ側に保存されているデータが確実だと思われます。しかし,動的ウェブサイトであれば,サーバ側で保存されているデータは存在しないため,クライアント側でしか保存・印刷ができず,結局証拠力は低くなる可能性は否定できないでしょう。




誤字(10/3記述)
P261
下から2行目
「上述の類型別証拠開示」→「上述の類型証拠開示」

コメント(2)  トラックバック(0) 
共通テーマ:パソコン・インターネット

コメント 2

梶谷 篤

編集者の梶谷篤と申します。「濃厚な本」との大変なお褒めの言葉をいただきありがとうございました。出版社への企画持ち込みの段階から、こんなマニアックな本が受け入れられるのか、そもそも誰が買うのかという思いを抱きつつ作業していましたので、このように取り上げていただくのは望外の喜びです。
また、数々の有益なご指摘、ありがとうございました。Q24については、確かにメタデータ自体の改ざん可能性も大きな問題だと思います。とはいえ、ご指摘のとおり、メタデータの真正性の立証まで行うことは、現状の訴訟手続上で、弁護士が行えて、かつ、裁判所が証拠調べ手続きの中で取り上げてくれる範囲の立証技術上では困難な場合が多いこともまた事実です。難しい問題ですね。
一弁IT法研究部会では、また本を作りたいと思っていますので、機会あればぜひぜひご協力いただければと存じます。
by 梶谷 篤 (2015-10-14 09:06) 

jem

梶谷さんへ

編集者からのコメントありがとうございます!大変うれしく思います。

本書は,前半はファイルの構造やデジタルデータの基礎知識など丁寧な説明があり,後半は様々な観点からのQ&Aが盛り込まれており,技術者&法律家の両方の視点から楽しめる本だと思います。

ただ,技術者視点からですと,ページの都合等があったのかもしれませんが,もう少し手続きに関する説明があった方が良かったかもしれません。それを省いても盛りだくさんの内容で,修習の合間に読み込むのに2週間ほどかかりました。

私は来月から東弁に所属する予定ですが,弁護士会の垣根を超えて連携できることを強く希望します。

今後ともどうぞよろしくお願いします。
by jem (2015-10-14 12:26) 

コメントを書く

お名前:[必須]
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

トラックバック 0

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。