第196号コラム「P2PやSNSサービスとフォレンジック調査」

第196号コラム:山内 崇 幹事(株式会社ピーシーキッド データ復活サービス部
フォレンジックサービス部 取締役)
題:「P2PやSNSサービスとフォレンジック調査」

最近のフォレンジック調査の問い合わせでP2PやSNSサービスに関する調査、具体的には『mixi』、『Skype』、『FaceBook』等が増えている。また、最初にお断りしておくと、ここで言うP2PやSNSのサービスとは『Winny』の様なファイル交換を目的としたものではなく、チャット等コミュニケーションを目的としたサービスを指すこととする。

弊社では諸々の事情により個人の依頼はお断りしており、法人に対するフォレンジックサービスのみで、一昔前はこのような問い合わせは個人からの相談が殆どで、そもそもお断りしている案件だった。
しかし、ここ数年世の中にこれらのサービスが浸透し、ビジネス上でも低コストの通信手段としてこれらのサービスを業務に上手く取り入れている企業が増えてきているように感じられる。特に中小企業やベンチャー企業で海外とのやり取り等に結構使われているように思える。

これらの通信を業務で行う場合、便利なのは確かだがその管理は非常に難しいようで、当然経営側が本来の目的の為に許可した以外の使い方をする社員も現れてくる。
しっかりとした管理を行うのであればネットワークのパケットを保全するような「ネットワーク・フォレンジック」製品を導入したり、専用の管理・監視ソフトを導入する等の対策が必要だと思うが、そこにかかる費用もばかにならず中小企業ではあまり本格的に導入しているようにも見られない。また、私の知識不足かもしれないが、音声での通信や暗号化等が施される場合は専用の管理・監視ソフトでもない限り難しく思えるがあまり有効そうなソフトに出会ったことが無い。

依頼に多い内容はやはり、「どのような会話をしていたかを知りたい。」が多数を占めている。要するに本来業務をするために導入をしたが、どうやら私的に利用している人が多いという事だろう。
そもそもフォレンジック調査を行うということは弊社としてもしっかりとした体制で行う必要があり、その調査料金も安いとは言えず社員の私的利用をとりあえず調べたいと言ったレベルであれば見積もりを出した時点で終わってしまう案件がほとんどだが、その中に金銭が絡んだ事件が発生していると具体的な調査に進む場合もある。

チャット等で会話をする場合、近くに上司や同僚がいても電話と違い他人に会話が漏れる事はまず無いだろう。殆どの企業がそうだと思うが、特に管理職の場合パソコンのモニターが他の人間から常に見えているようなオフィスのレイアウトはほぼ無いのではないだろうか。
金銭的な不正を行う場合、残念ながらそれなりの地位にいる人間が多いようで、誰にも見られる事の無いモニター上で黙々と会話を行っているのである。

P2PやSNS関連の調査の場合難しいのは実際のデータがどこに存在しているのか、という部分だと思う。
弊社の様な民間の企業が単独で調査を行う場合、民事が基本になるので外部にあるサーバの保全は当然簡単に出来るものではない。あくまでも企業内にあるクライアントPCやサーバの保全を行い、その中だけで調査を行うことになる。
お客様からの相談の際に、お客様の望む結果が技術的に出せるのか、その個々のサービスの仕組み、動作を良く調べる必要が出てくる。当然相談の内容によってはクライアントPCやサーバにはデータがまず残っていないだろうという絶望的な場合もあり(起動中のPCを差押られればメモリフォレンジック等で対応出来る“かも”しれないが)、その場合はその旨を伝え調査をお断りする事になる。

とはいえ、皆さんもご存じの通りストレージ、主にハードディスクには例え隠滅処理を行ったとしてもユーザーの想像以上に多くの痕跡が残り、また、P2PやSNSサービスは世界中に広まっている為、世界中で研究されている為その調査方法もツールも多く出てきている。
P2PやSNSのコミュニケーションツールはそのサービスの種類が有名なものからマイナーなものまで数多くある為、サービス毎に調査手法やツールを研究する必要が出て来るが、これから先もこれらの調査が絡むフォレンジック調査の依頼が増加する可能性を鑑みて日々研究を行うことが必要だと感じている。

【著作権は山内氏に属します】