サイバー脅威に対して、コンピューターなどに残る証拠を保全して状況を分析調査する「デジタルフォレンジック」。実際にデジタルフォレンジックの現場では、どのような点を証拠として見極めて、サイバー脅威の実態を明らかにしようとしているのか。

「攻撃者の視点に立って考える」ことを重視すると指摘するのは、東芝ITサービスで、デジタルフォレンジックの実践経験を豊富に持ち、現在は同社のユニファイドマネジメントセンタ 企画・管理部主管を務める枡田鉄也氏だ。枡田氏は、まだ日本でデジタルフォレンジックという言葉が一般的になる前の2010年代前半から客先への支援で、マルウェア解析を行ってきた。サイバー攻撃があったときに、状況を分析調査して起こった事象を突き止めるときに、攻撃者の視点に立ってものごとを考えることが大事であると指摘する。

枡田氏は、セキュリティ分野の業務に就く前にはハードウェア障害解析に携わっており、その経験がデジタルフォレンジックに生かされていると説明する。「故障部位（マルウェア解析の場合には感染部位）に仮説を立て、検証・失敗（トライアンドエラー）を繰り返すやり方で進めていき徐々に検知精度を高めていきました」（枡田氏）。この「故障部位の仮設を立てる」ときに、前段での指摘にあったように、攻撃者の視点に立つことを重視している。

通常では存在しないプロセスを見抜く職人技

その一例として、枡田氏はこう説明する。「例えば、感染に成功したマルウェアはパソコンが再起動した場合も、再度、起動（常駐）させるためにOSの自動起動プロセスへマルウェア自身の起動プロセスを追記します。この10数カ所ある起動プロセスをトレースしながら“違和感”、すなわち通常では存在しないはずのプロセスを見つけることでマルウェアの解析を行っていきました」。攻撃者は目的を達成するために、何を仕掛けているのか。その仕掛けが引き起こした事象に通常と異なる部分があるか。そこでは“違和感”を覚えるという言語化が難しい熟練の技が求められるのだ。

現実のデジタルフォレンジックの現場では、どのような課題があり、どのように解決への道筋がつけられているのか。デジタルフォレンジックが本格化した当初は、HDDコピーツールを使ってコンピューター上の情報を保全し、フォレンジックツールで解析していた。ところが、クラウド化の進展により情報がローカルのHDDだけでなくクラウドにまで広がってきたことや、ハードウェア自体もSSD化の進展、ストレージの大容量化も、デジタルフォレンジックを難しくしていると枡田氏は語る。

長年にわたりデジタルフォレンジックと向き合ってきた枡田氏に、その経験から得られた知見や現状の課題などを尋ねた解説を下記のリンクで公開している。なかなか知ることのできないデジタルフォレンジックの現場のリアルな声を聞いて、デジタルフォレンジックの必要性を改めて考えてみたい。

【関連情報】
・サイバーセキュリティ2020最前線「Chapter#04 デジタルフォレンジックの現場から（1）“違和感”からマルウェアを探す職人技を磨く」を公開しました