用語解説

電子的記録(デジタルデータ)を収集・分析し、犯罪調査や法的紛争における法的に有効な証拠資料の収集や分析を行う技術や手法の総称。 特に不正アクセス、情報漏洩等のIT関連犯罪では、容疑者のコンピュータやHDD、携帯電話など各種デジタル機器を押収して証拠となるファイルを検出した り、意図的に消去、破壊された記録を復元したり、サーバのログから不正アクセス記録を取得したりする。近年はIT関連事件に限らず企業や個人の活動記録の 多くが電子データとなっており、企業間紛争、社内不正の調査、その他事件事故の調査に際して、コンピュータ、サーバ、電子機器上に残された記録が有効な資 料となるケースが増大している。 電子データは複製、消去、改ざんが容易であるため取り扱いには専門的知識とプロセスが必須となる。意図的なデータ改ざん、改変、削除、捏造などが行われて いないかどうか形跡を調査したり、ハッシュ値やデジタル署名などを用いて、意図するしないにかかわらず一切のデータ改変が生じていないことを証明するデータ保全技術も含まれる。
米国の民事訴訟では、当事者は事件に関連する情報の開示義務(ディスカバリ)があります。2006年12月の米連邦民事訴訟規則 (FRCP) の改訂により、企業は書類等に加え、電子情報も証拠として保持、提出するよう義務づけられました(Electronic Discovery)。 これにより企業は、法的要求に応じてコンピュータなどに保存されているすべての関連データを証拠として期限内に提出する責を負い、日本企業の場合には、日 本に保存されているデータも対象となり膨大な情報が含まれます。情報を発見できずに提示できない場合、厳しい制裁や敗訴に至った例がみられます。 デジタル情報を証拠として開示するためには、データが一切改ざんされていないことを立証する必要があります。企業内の膨大なデータを法的に適切なプロセス で証拠保全、解析、報告書にまとめ、電子情報開示(eDiscovery)に至るには、専門家による支援が必要です。
ドキュメントや数字などの原文となる文字列を要約し一定長の擬似乱数を生成するための関数をハッシュ関数といいます。要約関数、メッセージダイジェスト関 数とも呼ばれ、そこから生成された値がハッシュ値。代表的な関数は「SHA-1」と「MD5」というハッシュ関数。一対一対応であり、原文に変更があれば ハッシュ値も変わり、同じハッシュ値を持つ原文を複数作成することは理論上不可能とされています。またハッシュ値から原文を再現することも不可能です。 データの改ざんがないことの証明のほか、通信暗号化の補助や電子署名などに利用されています。
デジタルフォレンジック技術の一つで、ネットワーク内を流れる通信パケット等を記録・解析し、必要に応じて通信内容を復元する技術を「ネットワークフォレンジック」といいます。 一般に「コンピュータフォレンジック」はインシデント発生後にHDDなどの記録情報を調査するのに対し、「ネットワークフォレンジック」は定期的にメール の受発信履歴、操作ログ、システムログ、パケットデータなどを収集し、日常的な企業活動を阻害せずにインシデントを抑止したり、予兆を検知するなどの防御 効果も期待されます。 HDDなどのフォレンジック調査は専門家に外部委託されるケースが大半ですが、ネットワークフォレンジックは、ツールを導入し企業内で運用管理される例も 多く見られます。フォレンジック調査を外部委託する前に、ネットワークフォレンジックツールでログやパケットを解析し、挙動不審なPCのHDDを絞り込む というような利用がされています。
ネットワーク上を流れるデータの小さなまとまりのこと。 データを複数のパケットに分割して送受信する通信方式をパケット通信といい、通信中の2地点間の回線が連続して占有されないため、回線を効率よく利用でき ます。また通信エラーが発生しても、対象のパケットのみを再送すればよく、網状の通信経路で柔軟な通信路選択が可能、などの利点があります。通信される データ自体をパケットと呼ぶこともあります。
incidentとは偶発的な出来事や事件などの意味だが、情報セキュリティ分野においては、コンピュータやネットワークセキュリティにおける解決すべき 事件・事故をさす。セキュリティインシデント、コンピュータセキュリティインシデントとも言う。近年は情報漏えい、不正アクセスなどの人為的事故が特に意 識され、事前対策もさることながら、インシデント発生後に迅速かつ適切な対応(インシデントレスポンス)をとることが重視されている。 インシデントの定義は分野ごとに異なり、例えばサポートやシステム運用部門でインシデントという場合は、利用者から受ける改善要求や課題などを指す。 RFC2350では、一般的なインシデントとして
・情報の守秘性の喪失
・情報のインテグリティの侵害
・サービスの不能
・サービス・システム・情報の濫用
・システムへの被害
をあげている。
情報漏洩事故など、企業の信頼性を大きく揺るがす重大なインシデントが発生した場合には、企業は全力を注いで迅速かつ適切な対応をとる必要がある。この一 連の危機対応をインシデントレスポンスという。 例えばハッキング、不正アクセス、機密情報持ち出し、会計操作などのインシデントが発生したり発生が疑われる場合に、その原因特定、事実調査、対策、復 旧、社内外への情報開示などの一連の対応策が求められる。適切なインシデントレスポンスは企業の信用失墜を最小限に食い止めるために非常に重要であり、こ の時点で対応を誤ると取り返しのつかない事態を招く。メールやファイル、ログなどのデジタルデータを法的証拠となる形で収集・調査・分析するデジタルフォ レンジックテクノロジーは、インシデントレスポンスにおいてきわめて重要な要素といえる。
裁判等で使用される証拠を確保することを「証拠保全」と言い、一般の民事・刑事裁判では証拠改ざんを防ぐ等の目的で裁判所に証拠保全の実施を申し立てま す。 電子データの証拠保全とは、ネットワークや個々のPCに残っているファイルやEメールの生成・改変・移動・アクセスなどの情報記録を、法的に有効な証拠と なりうる方式で確保することを言います。そのデータには改ざんが加えられていないことを証明するためにデジタルフォレンジック技術が用いられます。 デジタルデータは改ざん・捏造が容易である上に、通常のPC操作やネットワーク運用を行うだけで意図せずに記録が揮発してしまうという特性があるため、専門的手順での証拠保全対応が必須となります。
「ロボット」の略称で、人間がコンピュータ操作する代わりに各種処理を自動実行するプログラムのこと。例えば検索エンジンがWebページを収集するクローラ(検索ロボット)などがあるが、情報セキュリティにおける「ボット」とは、他人のPCをリモート操作するための不正プログラムを指す。

ボットは広義のコンピュータウイルスであるが、感染パソコンを攻撃することではなく遠隔操作すること(悪用目的)が目的という点で、一般のウイルスと大きく異なる。その特性から、組織化された犯罪集団が金銭目的で利用する例が急速に増加、世界的に問題となっている。

日本国内でも既に数十万台のパソコンがボットに感染しているとされるが、ボットに感染しても表面上問題は起きないため、感染に気づかずPCを使用し続けるユーザが多い。
2005年4月の実態調査(JPCERTコーディネーションセンター、Telecom-ISAC Japanなどが実施)では、国内のパソコンの40~50台に1台が感染している疑い」があると発表されている。

ボットウイルスに感染したコンピュータは攻撃者が用意した指令サーバなどに自動的に接続され、攻撃者からの命令を待ち受ける状態となるため「ゾンビPC」とも呼ばれる。
ボット感染させる攻撃者の目的は、迷惑メール送信やWeb攻撃、Web広告のクリック詐欺などの踏み台にすること、そのPCから個人情報や企業情報を盗み取ることなどが考えられる。

攻撃者は数千台数万台単位のボットを遠隔から一元操作可能で、このようにネットワーク的に連携して動くよう組織化したボットは「ボットネット(botnet)」と呼ばれ、インターネット上の新たな脅威となっている。

ボットネットとは、ボットウイルスに感染したコンピュータを多数集め、これを同時に遠隔地から制御できる状態としたもの。指令サーバとボットに感染したPCによって構成されるネットワークである。
乗っ取られてボットネットの一部となったコンピュータは、攻撃者が用意した指令サーバなどに自動的に接続され、攻撃者からの命令を待ち受ける状態となる。この状態になると、「ゾンビPC」という呼び名の通り、攻撃者の意のままに自覚なしに犯罪行為に加担させられてしまう。

ボットネットを使った代表的な攻撃例としては、他のコンピュータをボットやウイルスに感染させたり、踏み台として迷惑メールを送信したり、一斉DoS攻撃を行なったりする。また自ネットワークのセキュリティホールを提示したり、PC内に保存している重要情報を公開したりする。

ボットネットの指令者は「ハーダー(herder)=羊飼い」と呼ばれる。以前は有名サイトを攻撃し企業を脅迫するなどの犯罪が多かったが、最近のハーダーの傾向は、キーロガーによるID窃盗やクレジットカード情報取得、クリック詐欺、商用ソフトウェアの違法コピーなど、より広範かつ確実に金銭を得られる攻撃が目立つ。
構築済みのボットネットを売買したり、一定時間貸与する取引を行うブラックマーケットの存在も確認されている。国際的な犯罪組織が横行しており、現代のインターネット上の脅威となっている。