第96号コラム: 松本 隆 理事 (ネットエージェント(株) フォレンジックエバンジェリスト)
題:「アンチフォレンジックのセンス」

 

フォレンジックに関してのセミナーを開催すると、必ずと言っていいほどアンチフォレンジックについての質問をいただく。

アンチフォレンジックとは、フォレンジック調査員をかく乱し調査を妨害する、そのテクニック及び手続きのことである。

具体的な内容に関しては、Forensics WikiのAnti-forensic techniquesの項目を参照していただきたい。内容はテクニカルなものから調査の盲点をつくようなものまで様々だが、総じて言えるのは『アンチフォレンジックを成功させるポイントは利用するツールやテクニックではなくセンス』という点である。

 

例えば今あなたは、会社から支給されたPCを使って重要な機密情報を盗もうと考えているとしよう。

自らのアクセス権限のあるファイルをローカルにダウンロードし、内容を確認後、パスワード付きzipで圧縮してUSBメモリに保存した。

その後、あなたはローカルにコピーしたファイルと作成したzipファイルを、証拠隠滅のためフリーの完全削除(データの上書き)ツールを用いて削除した。果たして隠ぺいはこれで十分だろうか?

 

この記事を読んでいる皆さんになら理解していただけると思うが、答えは当然Noである。

 

これらの作業をしている間、PCでは何が起こっているだろうか。おそらく普通のPC利用者の認識としては、利用者が行った一連の作業と、その過程でいくつかのファイルが作成されたという事象だけであろう。

しかし、その作業の一方でファイルシステムは障害復旧のためのジャーナルを作成しているかもしれない。OSがファイルやプログラムの実行履歴をキャッシュもしくはメモしているかもしれないし、接続したUSBデバイスを特定する情報を記録しているかもしれない。

実際の作業以上にPCでは実に様々なことが起きているのだが、利用者は普段これらの処理を意識することはない。全ての作業痕跡をPCから完全に削除することは、実はこれは容易なことではない。

 

それではあなたの作業を完全に隠ぺいするにはどうすればいいか?この疑問の答えは単純で、PCを物理的に破壊して隠ぺいしてしまえばいい。

よくミステリーなどで「死体のない殺人事件」の謎解きがあるが、これと同じで完全に証拠がなくなってしまえば、たとえどれだけ怪しくとも調べようがないわけだ。

 

ただし、あなたがアンチフォレンジックのセンスのある人間なら、物理的なPCの破壊を好まないだろう。現実的に会社の管理している資産が疑わしい形で紛失すれば、疑いの目は当然その所有者に向く。たとえ証拠不十分であったとしても、あなたが何らかの処分を受けることは回避できない。そのため、あなたはできるだけ直接的かつ物理的な隠ぺいは避け、なるべく隠ぺい行為自体が検出されない方法を好むだろう。

 

例えば、アプリケーションを実行する際にOSによって取得される履歴情報には、レコードの上限が決まっているものもある。メカニズムさえ知っていれば、レコードをあふれさせることは容易であるし、そもそもレコードに記録されないことすら可能だ。

また、システムが定期的に実行するデフラグを利用してデータを並び替えたり、広範囲のディスクスキャンツールなどを用いて、ファイルのアクセス時間を改ざんすることも可能である。

これらの手段は、特殊なアンチフォレンジックツールを用いるわけでもなければ、高度なテクニックが必要なわけでもない。日常PCで行われている操作を効果的なタイミングで実行できれば、それだけで隠蔽が成立することもあるということだ。そして日常的に行われている操作だからこそ、不正な行為だと認識することは調査員にとっては難しいだろう。

 

以前、ある世界的に有名なMMORPGをやっていたころ、有名なチート(ゲームのプログラムを不正に書き換えて自分に有利な状況を作り出す行為)スクリプトの作者とゲームの中でチャットをしたことがあった。

その際彼に「なぜあなたはこのような些細なチートをするのか。もっと大規模な、ゲームの世界で不死になるような改造には興味はないのか?」と尋ねてみた。すると彼はこう切り替えした。「そんな誰にでも見つかってしまうようなチートは、素人の発想だ。なぜならすぐにゲームマスターに通報されてアカウントを削除されてしまうからね。それにゲームのバランスを崩してしまうかもしれないだろ?・・・誰にも発見されず、ゲームの世界を破綻させずに長く遊べるチートこそ、スマートなチートだと僕は思うよ」

【著作権は、松本氏に属します。】