2015年3月、CIAディレクターのジョンブレナンは、約50年間で最初の新しいCIAディレクターである、デジタルイノベーションの新しいCIAディレクターの設立を発表しました。新しい部門は、デジタルフォレンジックの技術を進歩させ、デジタルデバイスにあるデータとメタデータ(データに関するデータ)の調査と回復の活動に関連するフォレンジックサイエンスの柱であり、CIAのトレース能力を向上させるために作成されました。日常のサイバー活動で取り残された「デジタルダスト」。4月28日、インテリジェンスおよび国家安全保障同盟のリーダーシップディナーでのスピーチでブレナンが説明したように、「どこに行っても、すべてのことを行っています。デジタルのほこりが残っています。秘密裏に操作することは非常に難しく、デジタルダストを後回しにしておく」
デジタルフォレンジックの主な目的は、コンピューターシステムの調査に使用される可能性のあるデジタルアーティファクトの状態を評価することです。捜査官は、デジタルフォレンジックの手法を使用して、デジタルエビデンスを取得し、それを分析して、その分析結果を報告できます。デジタルフォレンジックツールやその他のさらに高度な技術の開発により、政府や民間企業が、疑わしい違法なサイバー活動に関係している疑わしい人物やその他の関係者が残したデジタルダストをうまく調査できるようになるはずです。
方法論。
デジタルフォレンジック手法はさまざまな状況で適用されます。特に、法執行機関のメンバーやその他の公的機関が刑事または民事訴訟の証拠を収集するために、または民間企業が内部調査の追跡を支援するために適用しています。デジタルフォレンジックという用語は非常に一般的であり、特定の調査分野に応じて、多数の専門分野を特徴付けるために使用できます。たとえば、ネットワークフォレンジックはコンピューターネットワークトラフィックの分析に関連していますが、モバイルデバイスフォレンジックは主にスマートフォンやタブレットコンピューターからのデジタル証拠の回復に関係しています。デジタルフォレンジックには潜在的に無限の方法がありますが、最も一般的に使用される手法には、デジタルメディア全体でキーワード検索を実行する、削除されたファイルを回復する、未割り当て領域を分析する、レジストリ情報を抽出する(たとえば、接続されたUSBデバイスを使用する)ものがあります。
デジタル証拠を扱う場合、調査フェーズ中にデータとメタデータの整合性と信頼性が影響を受けないようにすることが不可欠です。したがって、調査員の作業によって引き起こされた証拠の変更を回避し、収集されたデータが「本物」であること、つまりあらゆる点で元の情報と同一であることを確認することが重要です。映画やテレビのサイバー犯罪者は、興味のある人のパスワードを巧みに識別して、ターゲットのコンピュータまたは他のスマートデバイスに直接ログインできますが、現実の世界では、そのような直接的な行為により、何かが発見されるような方法でオリジナルが変更される可能性がありますデバイスが使用できないか、少なくとも法廷で許可されていません。
「展示物の画像化」とも呼ばれる取得フェーズは、コンピュータまたはその他のデバイスのコンテンツの画像を取得することで構成されます。デジタルメディアの主な問題は、簡単に変更できることです。ファイルやコンピュータのメモリの内容にアクセスしようとしても、ファイルの状態が変わる可能性があります。したがって、分析中のシステムの揮発性メモリとディスクの正確なイメージを作成して、直接アクセスを回避する必要があります。これは、メディアの元のコンテンツへの変更を防止しながらデータを「ミラーリング」する専用の書き込みブロックツールを使用してメディアの「ビットコピー」(正確なビットごとの複製)を取得することで実現できます。
ストレージメディアのサイズの増大とクラウドコンピューティングなどのパラダイムの普及により、調査者が物理ストレージデバイスの完全なイメージではなく、データの「論理」コピーを取得できる新しい取得手法の採用が求められています。データの整合性を確保するための集中的な取り組みとして、調査者は「ハッシュ」メカニズムを使用して、より長いまたはより複雑なオリジナルを表す、より短い固定長の値を生成します。ハッシュ化された値により、より迅速な検索が可能になり、研究者は調査中のデジタルコンテンツの一貫性について各瞬間を評価することができます。コンテンツに変更を加えると、デジタルアーティファクトのハッシュが変更され、データベース全体を検索しなくてもすぐに特定できます。
