情報漏えいの原因を解析「デジタルフォレンジック」

　デジタルフォレンジックとは、不正アクセスや情報漏えいなどのセキュリティ事故が起きた際に、原因究明のための証拠を見つけ出す、デジタル上の調査・解析作業の総称です。

　フォレンジック（forensic）はもともと警察捜査の「法医学」「科学捜査」「鑑識」といった意味の言葉で、デジタルフォレンジックは事後対応や再発防止策を策定するための判断材料となります。

　デジタルフォレンジックを行うためには、高度な技術と知識、専用機器による機密性に配慮した解析が必要です。そのため、セキュリティベンダーやSIer、コンサルティング会社などが、デジタルフォレンジックサービスを提供しています。

　デジタルフォレンジックでは、どのようにサイバー犯罪を解析していくのでしょうか？そのプロセスを、いくつかのケースに分けて紹介します。

　まずは、近年増えているマルウェア感染のケースを例に説明します。マルウェアは、ユーザーに不利益を与える悪意のあるプログラムやソフトウェアの総称です。メールに添付されたマルウェアを社員が誤って実行した場合、まずは社内のネットワークログの解析で不正通信を特定します。その後、外部のデジタルフォレンジックサービスが、主にマルウェア添付メールの復元・解析やマルウェアの解析や、外部通信痕跡、感染した端末で行われた操作の解析、漏えいファイルの復旧などを行います。

　不正コードを用いた第三者によるサイバー攻撃が検知されたケースでは、どこまでのアカウントが、どのような被害に遭っているのかを解析し、その後の影響を把握する必要があります。そこで、デジタルフォレンジックでアップデート状況やコマンド実行履歴、通信・承認ログ、設定変更内容を確認し、不審ファイルを実行した痕跡の解析、漏えいファイルの復旧などを行います。

　こうしたデジタルフォレンジックは、実際に発生した大規模なサイバー犯罪でも行われています。

　2023年8月、ユーザー参加型のオンラインイベントサービスで、大規模な情報漏えいが発生しました。データベースに第三者からの不正アクセスがあった後、脅迫メールを受信したことから、主催者側は警察にも通報。サービスの停止と併せてデジタルフォレンジックが行われ、メールアドレスや銀行口座を含む個人情報80万件以上が搾取、作品情報のデータも書き換えられていたことが判明しました。

　運営側によると、「運用上のミスにより、攻撃者に弊社システムのプログラムコードを復元され、データベースへの接続を許してしまったことが原因」とのこと。サービスは1カ月以上も閉鎖を余儀なくされましたが、その間もユーザーに向けた情報公開は迅速に行っており、事件直後には「デジタルフォレンジック調査会社の報告内容をもとに、対策を立てたプログラム＋サーバーの再構築」を行う予定と発表しました。

　2022年12月には、仮設機材の製造・販売を行う企業の海外拠点に不正アクセスがあり、複数のグループ会社が身代金要求型ウイルスであるランサムウェアの感染被害を受けました。この事例も、セキュリティシステムの脆弱性を突いたものでした。発覚直後、同社ではインターネット回線を遮断するとともに、被害拡大防止のための対策本部を設置。デジタルフォレンジックも迅速に行われ、その経過を複数回にわたって公表しています。

　セキュリティ事故の対応は、後手に回るほど企業の信用が低下していきます。信用回復のためには、被害の原因と全容、セキュリティリスクなどを明確に把握し、迅速かつ適切に対処をすることが必要です。

　セキュリティ事故は、社会的信用を落とすばかりではなく、経済的損失にもつながります。総務省の「令和5年　情報通信に関する現状報告」では、2021年度に日本で発生したセキュリティ事故に起因した1組織あたり年間平均被害額が約3億2,850万円に上るという調査が報告されています。

　特に近年はランサムウェアによる被害が増加しており、IPA（独立行政法人情報処理推進機構）が発表したレポート「情報セキュリティ10大脅威 2023」でも、組織への脅威の1位に挙げられています。同レポートでは「ニューノーマルな働き方を狙った攻撃」「犯罪のビジネス化（アンダーグラウンドサービス）」が起きていることも指摘されており、引き続き各脅威への適切な対策が求められることを改めて発信しています。

　今後、各企業はセキュリティの強化とともに、事故が起きてしまったときの対応や再発防止につなげる対策がより一層求められるでしょう。その際、迅速にデジタルフォレンジックでその原因を究明することで、企業の信用と経済的損失の損失拡大を阻止することにもつながるでしょう。