第59号コラム「デジタル・フォレンジックのオープンソースソフトウェア The Sleuth Kit開発者 (Brian Carrier)へのインタビュー」

第59号コラム:竹崎 紀子 氏(ベイシス・テクノロジー株式会社)
題:「デジタル・フォレンジックのオープンソースソフトウェア The Sleuth Kit開発者 (Brian Carrier)へのインタビュー」

IDF会員の皆様にはすでにおなじみの方も多くいらっしゃると思いますが、デジタル・フォレンジックのオープンソースツールの草分け的存在として、The Sleuth Kit (「ザ・スルース・キット」と発音)というファイルシステム調査用のソフトウェアライブラリ(コマンドラインツール)があります。このThe Sleuth KitならびにそのGUI(グラフィカル・インターフェース)であるAutopsy を開発したBrian Carrier (現 Basis Technology Corporation勤務)に、デジタル・フォレンジックの米国での動向や今後の展望などについてインタビューしてみました。
http://www.sleuthkit.org/
http://www.basistech.co.jp/management/  (一番下にBrian の紹介があります。)

竹崎: The Sleuth Kit を開発したきっかけは? USではこの分野の研究は盛んなのか?

Brian: 今は大学でデジタル・フォレンジックを勉強できるところがでてきたが、私が大学生、大学院生のころはこれを勉強できるところはなかった。個人的興味でデジタル・フォレンジックの研究を始め、それがThe Sleuth Kit の開発に発展した。もともとはThe Coroner’s Tool Kit というデジタル・フォレンジックのオープンソースソフトウェアがあって、それに機能追加をして発展させたので、このThe Coroner’s Tool Kit との出会いがきっかけだったと言える。今のThe Sleuth Kitには、もうThe Coroner’s Tool Kitのオリジナルのソースコードはほとんど残っていないが。

竹崎:  多くの人が The Sleuth Kit を利用しているとのことだが、米国以外のユーザーも多い?

Brian: オープンソースなのでユーザー数を把握してはいないが、SourceForgeのサイト(注:オープンソースソフトウェアの開発サイト)によると、The Sleuth Kitの最新版Ver. 3.0.1のソースコードとWindows用のexecutableは約一万回ダウンロードされているそうだ。米国以外のユーザーがどのくらいいるのか、確かなことはわからないが、韓国、オーストラリア、ヨーロッパなどからも連絡がくる。The Sleuth Kitが英語のファイル名を使用するファイルシステムしかサポートしていなかった時、この最初のFixのパッチを作ってくれたのは日本のユーザーだった。とても感動した。

竹崎: 最近のデジタル・フォレンジック技術で、注目すべき動きは?

Brian: データ量が多くなってきているため、情報検索技術がとても重要になっている。特に、捜査が国を越えて実施される必要がでてきたため、多言語対応の検索機能は今や必須だ。デジタル・フォレンジック製品はこれまで圧倒的に英語をはじめ欧州語を対象として開発されてきているが、今後はアジア言語などの他言語への対応もきちんとできるかが重要ポイントの一つとなる。また、デジタル・フォレンジックの対象はありとあらゆるデジタルデータに及ぶので、あらゆる技術がデジタル・フォレンジックに関連するようになってきた。また、携帯電話フォレンジックというのもでてきた。

竹崎: 携帯電話フォレンジックとは?

Brian: 捜査対象が携帯電話とかPDAなどだというだけで、基本はコンピュータ・フォレンジックと同じで、内部にあるデータ、電話帳などを調べるというもの。コンピュータ・フォレンジックとちがい、難しい点は、OSにしろファイルにしろ、携帯電話用のものは標準化されておらず多様なので、調査する側は大変だ。機種によってキーボード配置やデータ保存方法が違うので、解析が難しい。PCならば、OSはWindows で、またファイル形式はマイクロソフトのOFFICE系 とか、ある程度限られているし、HDDからの抽出も標準インターフェースがある。しかし携帯電話ではそうはいかないので大変だ。

竹崎: 技術動向で興味深いものは?

Brian: おもしろいアプローチとして、仮想マシンの利用がある。 捜査においては、押収したハードディスクイメージを職場のPCを使って呼び出そうとしても、やれ画像ソフトがない、ネットワークドライバがない、当該ソフトウェアのライセンスが期限切れだなど、現場のとおりには再現できないことが多い。しかし、押収したハードディスクイメージを仮想マシン上でそのまま実行できれば、押収したハードディスク(ハードディスクイメージ)内のデータの表示やアプリケーションの実行に必要なソフトウェアを用意する必要が無い。この技術が主流になるというわけではないだろうが、デジタル・フォレンジックのアプローチとして、興味深い技術の一つだ。

竹崎: 日本におけるデジタル・フォレンジックの普及には、何が必要?

Brian: デジタル・フォレンジックツールは用途が広がってきている分、ユーザーのスキルもIT リテラシーも様々なので、わかりやすく使いやすい製品にするのが重要だろう。ソフトウェアでは、機能のみならず、ユーザーフレンドリーなGUIの開発なども重要課題だ。特別な人しか使えない、使いにくい製品では普及しにくいだろう。

また、一方、犯罪捜査用についていえば、アメリカではFBIが各地(全米14箇所)にデジタル・フォレンジック・ラボ(Digital Forensics Lab)を設立していて、これによってデジタル・フォレンジック技術の利用も、またその有用性についての啓蒙も進んでいるようだ。地元の警察官たちが捜査用に押収した情報を最寄のデジタル・フォレンジック・ラボに送り、ラボがそれを分析して結果を返すというしくみだ。これによって、警察官にはデジタル・フォレンジックがより身近なものになってきて、デジタル・フォレンジックの有用性やデジタルデータの重要性がより理解されるようになり、現場からより多くのデジタルデータが解析されるようになっているらしい。デジタル・フォレンジックの普及の基本は、コンピュータ内にある情報の重要性にどれだけ人々が気づくか、という点にあるので、その啓蒙活動をバックアップするインフラの役割は大きいだろう。

【著作権は、竹崎氏に属します】