これから、パソコンに対するフォレンジックを例に、図2を参照しながら、そのプロセスを紹介する。

図2　フォレンジック実施手順

　最初に、ネットワーク・フォレンジックにより、サーバーのログ等から、対象者を絞り込み、フォレンジックの対象となるパソコンを特定する。

　ハードディスク上のデータは、壊れ易く、また、間違ってデーターを書き込む恐れがあることから、対象パソコンに内蔵されているハードディスクを直接解析することは避けて、通常は複製を取っている。

　複製を取るに当たって、電子的証拠の汚染を防ぐため、証拠保全用・解析用として用いるハードディスク上の過去のデータを米国国防総省等の規格に基づき消去するツールを用いて完全に消去しておく必要がある。

　次に、対象パソコンのBIOS設定の確認および変更を行う。(＊2) 通常、パソコンの電源を入れると、パソコンは本体のハードディスクから立ち上がり、一部のファイルのタイムスタンプ（ファイル作成時刻、アイル書換え時刻およびファイルアクセス時刻）がウインドウズなどのOSによって書き換えられる。ファイルへのアクセス時刻が問題となる場合もあり、また、ファイル削除プログラムが仕込まれているときには証拠となるファイルが削除される恐れがある。このため、パソコンがDVDドライブ等から立ち上がるように、BIOSの設定変更を行う。

　続いて、複製用フォレンジック・ツールのパソコン起動用CD等を用いて、対象パソコンを立ち上げる。この場合、複製元ハードディスクが容易に外せる場合は、パソコンを起動せずに図3に示すとおり当該ハードディスクを取り外し、直接複製用ツールに接続する。

図3 複製元ハードディスク（上）から 複製先ハードディスク（下） への物理コピー

　次に、対象パソコンのハードディスクを、先ほどクリーンにした証拠保全用および解析用のハードディスクに複製する。複製が終わると、証拠保全用は、ビニール袋等に密封し、証拠として保管する。以後の解析は、解析用ハードディスクを用いて実施する。　

　解析の段階では、フォレンジック・ツールに組み込まれているビュアーを用いて、文書、会計書類、電子メールといったアプリケーション・ソフトウエアにて作成されたファイルの内容を確認し、事案に関連するファイルを抽出する。

　削除されたファイル、拡張子とファイル・ヘッダーが異なるファイルや暗号化されたファイルなど隠蔽されたファイルの復元を行い、同じく内容を確認した上で、関連するファイルを抽出する。 パソコンの過去の使用履歴、例えばアクセスしたファイル、ダウンロードしたデータ、USB端子に接続した記憶媒体、インターネット閲覧履歴、銀行へのアクセス履歴など、時系列に再現し、対象者の行動を確認することができる。

　最後に、解析結果をまとめ調査報告書を作成し、終了する。

（＊1）図2および図3の写真は、㈱UBIC提供
（＊2）BIOS(Basic Input Output System)：キーボード、ディスプレイおよびハードディスクなどの周辺装置とパソコン本体とのデータの出入りを制御するプログラムである。パソコンの電源が入ると、最初 にBIOSが実行され、通常の設定では内臓ハードディスク上のOS等を起動する。　

次回は、従業員のプライバシーとフォレンジックの留意点について解説していただきます

舟橋　信 警察庁情報管理課長、技術審議官等を歴任。この間、平成８年度には「マルチベンダによる大規模情報通信ネットワークの開発とその実用化」により、電子情報通信学会業績賞（第34回）及び森田賞（第２回）を受賞、現在、財団法人未来工学研究所にて危機管理および情報セキュリティの研究に従事している。特にデジタル・フォレンジック研究会の創設メンバーであり、デジタル・フォレンジックに関する調査研究、普及に取り組んでいる。