あなたのパソコンに今、どんな痕跡が残っているか把握していますか? 削除したファイル、アクセスしたUSBメモリ、ブラウザの検索履歴――これらはデジタルフォレンジックツールで驚くほど鮮明に”読み取れる”のです。
本記事では、米国土安全保障省(DHS)の支援を受けて開発され、世界100か国以上の法執行機関が採用している無料ツール「Autopsy(オートプシー)」の使い方を、ITの知識がない方でも理解できるよう徹底解説します。インストールから実際の解析・レポート作成・応用事例まで、一本で完結する完全ガイドです。
本記事で紹介する技術・ツールは、自分自身が所有するデバイス、または正当な権限・同意を得た機器のみに使用してください。他者のデバイスを無断で解析することは、不正アクセス禁止法・個人情報保護法・電気通信事業法に違反し、刑事罰の対象となります。教育・学習・インシデント対応など適法な目的での利用を前提として本記事を作成しています。
📋 目次
- Autopsyとは何か? ― 開発背景と世界での実績
- Autopsy・FTK・Magnet AXIOMの違いを比較
- Autopsyのしくみ ― Sleuth Kitとの関係
- インストール手順(Windows環境)
- 基本操作:ケース作成から解析開始まで
- 主要な分析機能を徹底解説
- タイムライン解析 ― 事件を時系列で再構成する
- レポートの作成・エクスポート
- Python Ingest Module による自動化・応用
- 実際の応用事例
- よくある落とし穴と対策
- まとめ&次のステップ
1. Autopsyとは何か? ― 開発背景と世界での実績
Autopsy(オートプシー)は、デジタルフォレンジックの世界的権威である Brian Carrier 博士が開発した、完全無料・オープンソースのデジタルフォレンジックプラットフォームです。
1999年から開発が続く老舗フォレンジックライブラリ「The Sleuth Kit(スルースキット)」のグラフィカルフロントエンドとして誕生し、現在は米国の Basis Technology 社が中心となって開発・メンテナンスを続けています。
| 項目 | 内容 |
|---|---|
| 開発者 | Brian Carrier 博士 / Basis Technology(米国) |
| ライセンス | Apache License 2.0(無料・商用利用可) |
| 最新バージョン | 4.21.0(2025年5月時点) |
| 対応OS(GUI) | Windows が最も安定。Linux/macOS はCLI版 |
| 主要スポンサー | 米国土安全保障省(DHS)、NIST |
| 採用機関 | 世界100か国以上の法執行機関・大学・企業 |
💡 「オートプシー」という名前の意味
Autopsy は英語で「剖検(解剖)」を意味します。遺体を解剖して死因を明らかにする医学的手法になぞらえ、デジタルデバイスを”解剖”して真実を明らかにするという思想が込められています。
Autopsy は「法廷で使える証拠品質」を設計思想の中核に置いています。操作ログが自動記録され、証拠の完全性(インテグリティ)をハッシュ値で保証する仕組みが標準搭載されています。これが企業・捜査機関に信頼される理由です。
2. Autopsy・FTK・Magnet AXIOMの違いを比較
フォレンジックツールの3強を徹底比較します。どれを選ぶべきかの判断基準としてお使いください。
| 比較項目 | 🔬 Autopsy | 🔧 FTK | 🧲 Magnet AXIOM |
|---|---|---|---|
| 費用 | 無料(OSS) | 商用(高額) | 商用(高額) |
| 初心者向け | ◎ 直感的GUI | △ 習熟必要 | ○ やや易しい |
| HDD解析 | ◎ 強い | ◎ 最強クラス | ○ 良好 |
| スマホ解析 | △ 限定的 | △ 別ツール要 | ◎ 最強 |
| クラウド取得 | ✕ 非対応 | △ 限定 | ◎ 標準対応 |
| 拡張性 | ◎ Python/Java プラグイン | ○ 限定的 | ○ 限定的 |
| コミュニティ | ◎ 活発なOSS | ○ サポート有 | ○ サポート有 |
| 学習・教育 | ◎ 最適 | △ コスト高 | △ コスト高 |
結論:「フォレンジックを学びたい」「予算がない」「PC・HDD解析が主な目的」なら Autopsy 一択です。スマホ・クラウドが主戦場になったらAXIOMへ、大規模なパスワード解析が必要ならFTKと組み合わせるのがプロの使い方です。
3. Autopsyのしくみ ― Sleuth Kitとの関係
🧰 The Sleuth Kit(TSK)とは?
Autopsy の”エンジン”部分にあたるのが The Sleuth Kit(TSK)です。コマンドライン(黒い画面)で操作するライブラリ群で、ファイルシステム(NTFS・FAT・ext4など)を低レベルで解析する機能を提供しています。
Autopsy はこの TSK を直感的なグラフィカル画面(GUI)でラップしたもの、と理解すると分かりやすいでしょう。料理に例えると、TSK が包丁や鍋などの道具、Autopsy がそれらをまとめた調理ロボットのイメージです。
🔄 解析の基本フロー
- イメージ取得 ― FTK Imager や dd コマンドで対象ディスクのフォレンジックイメージ(E01・DD形式)を作成
- ケース作成 ― Autopsy で新規ケースを作成し、イメージを「証拠」として追加
- Ingest Module 実行 ― 指定した解析モジュール(削除ファイル復元・ハッシュ照合・キーワード検索など)が自動的にバックグラウンドで実行
- 結果の確認 ― ツリー形式のナビゲーターで抽出された痕跡(アーティファクト)を確認
- レポート生成 ― HTML・Excel・Body File(タイムライン用)形式でエクスポート
必ずフォレンジックイメージに対して解析を行ってください。原本のディスクをそのままAutopsyに追加するとOS動作によりデータが変化する可能性があります。FTK Imager(無料)でE01形式のイメージを作成してから作業を開始するのが正しい手順です。
4. インストール手順(Windows環境)
STEP 1:必要な環境の確認
| 項目 | 推奨スペック |
|---|---|
| OS | Windows 10 / 11(64bit) |
| CPU | Core i5以上(マルチコア推奨) |
| RAM | 最低8GB(推奨16GB以上) |
| ストレージ | Autopsy本体:約1GB+解析データ用の空き容量 |
| Java | 不要(インストーラーに同梱) |
STEP 2:ダウンロード
- 公式サイト sleuthkit.org/autopsy にアクセス
- 「Download Autopsy」をクリック → Windows 用インストーラー(.msi形式)を選択
- ダウンロード完了後、SHA-256ハッシュ値を公式サイトの値と照合(改ざん確認)
STEP 3:インストール
- ダウンロードした .msi ファイルを右クリック →「管理者として実行」
- インストールウィザードに従って進む(デフォルト設定で問題なし)
- インストール先:
C:\Program Files\Autopsy-X.XX.X(変更不要) - 「Finish」をクリック → デスクトップにショートカットが作成される
STEP 4:初回起動の確認
- デスクトップの Autopsy アイコンをダブルクリック
- スプラッシュ画面(ロードバー)が表示される → 30秒〜1分かかる場合あり(正常)
- 「Welcome」ダイアログが表示されれば起動成功
Autopsy のインストールには管理者権限が必要です。企業のPCで使用する場合は IT管理者に事前確認をしてください。また、ウイルス対策ソフトがインストーラーを誤検知することがあります。その場合は一時的に除外設定を追加してからインストールしてください。
5. 基本操作:ケース作成から解析開始まで
STEP 1:新しいケースの作成
- 起動画面で「Create New Case」をクリック
- 以下の情報を入力する:
- Case Name:案件名(例:2025-001_PC調査)
- Base Directory:ケースデータの保存先(容量の大きいドライブを推奨)
- Case Number:管理番号(任意)
- Examiner:調査者名(法的証拠として残る重要項目)
- 「Next」→「Finish」をクリック
STEP 2:証拠(データソース)の追加
ケース作成後、自動的に「Add Data Source」ウィザードが開きます。
| データソースの種類 | 説明 | 使用場面 |
|---|---|---|
| Disk Image or VM File | E01・DD・VHDなどのイメージファイル | ★最もよく使う。フォレンジックイメージを解析 |
| Local Disk | PCに接続されたドライブを直接解析 | 自分のPCや外付けHDDを解析する場合 |
| Logical Files | 特定フォルダ内のファイルを解析 | 証拠として提出されたファイルセット |
| Unallocated Space Image | 削除済み領域のみを解析 | カービング(削除ファイル復元)特化 |
STEP 3:Ingest Module(解析モジュール)の選択
データソースを追加すると、どの分析を実行するかを選択する画面が表示されます。主要なモジュールは以下の通りです。
| モジュール名 | 機能 | 優先度 |
|---|---|---|
| Recent Activity | ブラウザ履歴・最近使ったファイル・インストール履歴 | ★★★ 必須 |
| Hash Lookup | NSRLデータベースと照合し既知ファイルを除外 | ★★★ 必須 |
| File Type Identification | 拡張子偽装ファイルも含めた真のファイル種別を特定 | ★★★ 必須 |
| Keyword Search | 指定キーワードを全ファイルから高速検索 | ★★☆ 推奨 |
| Email Parser | PST・MBOX・EMLを構造化して表示 | ★★☆ 推奨 |
| EXIF Parser | 写真のGPS座標・撮影日時などのメタデータを抽出 | ★★☆ 推奨 |
| Data Carving(PhotoRec) | 削除ファイルを200種類以上のファイル形式で復元 | ★★★ 必須 |
| Windows Registry | USB接続履歴・最後のログイン・インストール記録 | ★★★ 必須 |
| Correlation Engine | 複数ケース間でのデータ関連付け・統合分析 | ★☆☆ 上級者向け |
初心者は Recent Activity・Hash Lookup・File Type Identification・Data Carving の4つを必ず選択しましょう。「Finish」をクリックすると解析がバックグラウンドで始まります。
6. 主要な分析機能を徹底解説
🗑️ 削除ファイルの復元(Data Carving)
Autopsy では PhotoRec と The Sleuth Kit の連携により、削除されたファイルを強力に復元できます。左ペインの「Views → Deleted Files」でファイルシステムから消えた記録を確認し、「Results → Extracted Content → Carved Files」でカービング(断片からの復元)結果を確認します。
復元できるファイル形式の例:JPEG・PNG・GIF・PDF・Word・Excel・PowerPoint・ZIP・MP4・SQLite(スマホDBなど)・他200種類以上
🌐 ブラウザ履歴・Web活動の解析
「Results → Extracted Content → Web History」に抽出されます。Chrome・Firefox・Edge・Internet Explorer に対応し、以下の情報が取得できます:
- アクセスURL・タイトル・アクセス日時
- ダウンロードしたファイルの情報(URL・保存パス・ダウンロード日時)
- 保存されたブックマーク
- Cookie情報(ウェブサービスの利用痕跡)
- 検索エンジンでの検索キーワード
プライベートモード(シークレットウィンドウ)でも痕跡は残ります。端末上のブラウザキャッシュには残らなくても、Windowsのプリフェッチファイル・DNS キャッシュ・ジャンプリスト・サムネイルキャッシュに閲覧の痕跡が残る場合があります。Autopsy はこれらも解析対象とします。
🔌 USB接続履歴(Windows Registry解析)
Windowsのレジストリには接続されたすべてのUSBデバイスの記録が残ります。Autopsy の「Results → Extracted Content → Devices Attached」で確認できます:
- 接続したUSBデバイスのベンダー名・製品名・シリアル番号
- 最初の接続日時・最後の接続日時
- どのドライブレター(D:、E:など)が割り当てられたか
📧 メール解析
「Results → Extracted Content → Email Messages」で確認。Outlook(PST/OST)・Thunderbird(MBOX)・Eudora に対応。削除済みメールも復元可能。
📸 写真のEXIF情報(位置情報)
「Results → Extracted Content → EXIF Metadata」で確認。スマートフォンで撮影した写真には以下が埋め込まれている場合があります:
- GPS座標(緯度・経度)→ Google マップと照合可能
- 撮影日時(カメラの内部時計)
- カメラのメーカー・機種名
- 画像編集ソフトの使用記録
🔑 キーワード検索
「Tools → Run Ingest Modules → Keyword Search」または事前設定で、任意のキーワードをイメージ全体から検索できます。
- リテラル検索:完全一致の文字列
- 正規表現検索:メールアドレス・電話番号・クレジットカード番号などをパターンで一括検出
- デフォルトリスト:クレカ番号・SSN(社会保障番号)・電話番号などが最初から登録済み
7. タイムライン解析 ― 事件を時系列で再構成する
フォレンジックで最も重要な作業のひとつが「いつ何が起きたか」を整理するタイムライン分析です。Autopsy には専用の Timeline Analysis ビューが搭載されています。
タイムライン解析の起動方法
- メニューから「Tools → Timeline」をクリック
- 初回は「Generate Timeline」ボタンで Body File(タイムラインDB)を構築(数分〜数十分)
- 構築完了後、棒グラフ形式で時間軸上のファイル活動が可視化される
表示モードの説明
| モード | 表示内容 | 使い場面 |
|---|---|---|
| Counts(カウント) | 時間帯ごとのファイル変化数を棒グラフ表示 | 異常な活動のピークを視覚的に発見 |
| Details(詳細) | 各イベントの詳細を縦型リスト表示 | 特定時刻の前後で何が起きたかを詳察 |
| List(リスト) | フィルター済みイベントを表形式で一覧表示 | 特定ファイル種別に絞り込んで確認 |
タイムライン解析で最も多い落とし穴がタイムゾーン(時刻帯)の設定ミスです。解析対象のPCが「日本時間(JST / UTC+9)」で使われていた場合、Autopsy のタイムゾーン設定を JST に合わせないと全イベントが9時間ズレて表示されます。Case Properties(ケース設定)で必ずタイムゾーンを確認・設定してください。インシデント対応では9時間のズレが事件の前後関係を180度逆転させることがあります。
実践例:ランサムウェア感染のタイムライン
- タイムラインで 特定日時に大量のファイル変更(暗号化)のスパイクを発見
- その30分前に 特定のEXEファイル(マルウェア)が作成・実行されたことを確認
- さらに1時間前に フィッシングメールの添付ファイルが開封されていたことを発見
- タイムラインが感染経路の「物語」を完成させる
8. レポートの作成・エクスポート
調査結果を法廷・上司・クライアントに提出するための レポート生成 は Autopsy の重要な機能です。
レポート生成手順
- メニューから「Tools → Generate Report」をクリック
- レポート形式を選択:
| 形式 | 用途 |
|---|---|
| HTML Report | ブラウザで見やすい総合レポート(最も使いやすい) |
| Excel(XLSX) | アーティファクト一覧を表形式で出力・加工可能 |
| Body File | mactime コマンドでタイムライン文書を生成 |
| KML(Google Earth) | 写真のGPS座標をGoogle Earth上に地図表示 |
| Tagged Reports | 調査中にタグ付けした証拠のみを出力 |
タグ機能を活用する
調査中に重要な証拠を発見したら、右クリック → 「Add Tag」でメモを付けておきましょう。タグには「Notable Item(重要証拠)」「Follow Up(要確認)」などのデフォルトラベルのほか、独自のラベルを作成できます。後でタグ付けした証拠だけを絞り込んでレポート出力できるため、膨大なデータの中から証拠を整理するのに非常に便利です。
9. Python Ingest Module による自動化・応用
Autopsy の最大の強みのひとつが、Python(またはJava)でオリジナルのプラグイン(Ingest Module)を作成できる点です。これにより分析の自動化・カスタマイズが可能になります。
Python Ingest Module の基本構造
Autopsy の Python モジュールは以下のメソッドを持つクラスとして実装します:
startUp():モジュール初期化時に一度だけ実行process(file):各ファイルを処理する際に呼ばれるメインロジックshutDown():解析完了後のクリーンアップ
実用的な自動化の例
| 用途 | 内容 |
|---|---|
| マルウェア検知 | VirusTotal APIと連携し全実行ファイルを自動スキャン |
| SQLite DB 解析 | LINE・Whatsapp・Androidアプリのデータベースから会話履歴を自動抽出 |
| エントロピー分析 | 暗号化・圧縮されたファイルを自動検出(高エントロピーファイルを優先調査) |
| カスタムキーワード | 会社固有の顧客IDや口座番号パターンを正規表現で一括検索 |
| 自動タグ付け | 特定条件を満たすファイルに自動でタグを付けレポートを整理 |
モジュールは %AppData%\autopsy\python_modules フォルダに配置するだけで Autopsy が自動認識します。世界中のコミュニティが作成したモジュールが GitHub で公開されており、「autopsy python module」で検索すると多数見つかります。
Python Ingest Module を使えば、Autopsy は「汎用フォレンジックツール」から「カスタム調査プラットフォーム」へと進化します。セキュリティエンジニアが自社インフラ固有の脅威に対応したモジュールを開発するケースも増えています。Pythonの基礎知識があれば比較的容易に作成できます。
10. 実際の応用事例
🏢 事例①:社内不正調査(データ持ち出し疑惑)
競合他社に転職予定の社員のPCを(適法な社内規程に基づき)調査。Autopsy で以下を発見:
- 退職1週間前:USBドライブ(特定シリアル)接続・約2,000ファイルのコピー痕跡
- Windows Registry の
USBSTORキーから接続デバイス情報を特定 - ジャンプリスト(最近使ったファイル)から持ち出したファイル名一覧を復元
- ブラウザ履歴から競合他社の採用ページへの大量アクセスも判明
🦠 事例②:マルウェア感染後の侵入経路特定
工場のWindowsサーバーがマルウェアに感染。Autopsy のタイムライン解析と Prefetch ファイル解析で:
- 感染の出発点がリモートデスクトップ(RDP)への辞書攻撃成功と特定
- 攻撃者がドロッパー型マルウェアを
C:\Tempに配置し実行した経緯を再構成 - 感染拡大(ラテラルムーブメント)の時刻と経路を特定しパッチ適用範囲を決定
🎓 事例③:CTF(Capture The Flag)競技
セキュリティ競技(CTF)のフォレンジック問題では、提供されたディスクイメージや pcap ファイルを Autopsy で解析してフラグ(答え)を見つけます。Autopsy を使いこなせると以下の問題が解けるようになります:
- 削除されたファイルに隠されたフラグの復元
- 画像のEXIFデータに埋め込まれた座標からの答え導出
- SQLiteデータベース(Chromeの履歴DBなど)から特定URLの発見
- ステガノグラフィ(画像に隠されたデータ)の検出
🎓 事例④:大学・研究機関での教育活用
Autopsy は SANS Institute・EC-Council・国内大学のサイバーセキュリティ演習で標準教材として採用されています。無料で使えるため、学生が自分のPCで実習できるのが大きな利点です。「Autopsy Test Images」と呼ばれる教育用の練習イメージも公式に提供されています。
11. よくある落とし穴と対策
⚠ 落とし穴①:ハッシュセット(NSRL)未設定で大量の誤検知
問題:NSRLのハッシュセットを設定しないと、Windowsのシステムファイルやインストール済みソフトのファイルが大量に「注目ファイル」として検出され、本当の証拠が埋もれる。
対策:NIST公式サイトからNSRL(National Software Reference Library)のハッシュセットをダウンロードし、Autopsy のハッシュデータベースに登録してから解析を実行する。これにより既知の正常ファイルが自動除外され、未知ファイルに集中できる。
⚠ 落とし穴②:ストレージ不足でケースが壊れる
問題:解析結果・インデックスデータは元のイメージサイズの20〜50%を消費することがある。解析中にストレージが枯渇するとケースデータが破損する。
対策:ケース保存先には元のイメージサイズの2倍以上の空き容量を確保してから作業を開始する。
⚠ 落とし穴③:タイムゾーン設定ミス(再掲・重要)
問題:タイムゾーン未設定のまま解析するとタイムラインが最大13時間ズレることがある。
対策:「Case Properties → Time Zone」で対象PCが使用していたタイムゾーンを必ず設定する。
⚠ 落とし穴④:SSDのTrim機能による証拠消失
問題:SSDはTrim機能により、削除されたデータの上書き消去をOSが即座に実行するため、HDDと比べて削除ファイルの復元率が大幅に低い。
対策:SSD搭載機器の調査では、電源が入った状態での長時間放置を避け、できるだけ早くライブフォレンジック(電源ON状態でのメモリ・揮発性データ取得)を実施する。
⚠ 落とし穴⑤:BitLocker暗号化ドライブの解析失敗
問題:Windowsの BitLocker 暗号化が有効な場合、回復キーがないとイメージを取得しても内容を読めない。
対策:BitLocker 回復キーが Microsoft アカウントに紐付けられている場合は account.microsoft.com から取得可能。企業環境では Active Directory に回復キーが保存されている場合がある。
フォレンジック調査を始める前の必須チェックリスト:①ストレージ空き容量の確認(イメージの2倍以上) ②タイムゾーン設定の確認 ③NSRLハッシュセットの登録 ④ライトブロッカーの使用確認(物理デバイスの場合) ⑤調査対象デバイスの法的使用権限の確認
12. まとめ&次のステップ
本記事では、無料フォレンジックツール「Autopsy」について、しくみから実際の操作・応用事例・落とし穴と対策まで徹底的に解説しました。重要ポイントを振り返ります。
| テーマ | ポイント |
|---|---|
| Autopsyの位置付け | DHS支援・世界100か国採用の無料フォレンジック標準ツール。学習・実務の両方に最適。 |
| 基本操作の流れ | イメージ取得→ケース作成→モジュール選択→解析→タイムライン→レポートの6ステップ。 |
| 主な解析対象 | 削除ファイル・ブラウザ履歴・USB記録・メール・写真EXIF・Windowsレジストリ。 |
| タイムライン解析 | 事件の前後関係を時系列で可視化。タイムゾーン設定ミスが最大の落とし穴。 |
| 拡張性 | PythonプラグインでVirusTotal連携・SQLite解析・カスタム検索など自動化が可能。 |
| 法的注意 | 自分のデバイスまたは正当な権限のある機器のみに使用。他者の無断解析は刑事罰の対象。 |
🚀 次のステップ ― さらにスキルアップするには
- 📚 公式演習イメージ:The Sleuth Kit 公式テストイメージで実際に手を動かす
- 🎓 CTFに挑戦:BlueTeamLabs Online・CyberDefenders でフォレンジック問題を解く
- 🔗 組み合わせツール:Volatility Framework(メモリフォレンジック)・Wireshark(パケット解析)と組み合わせると調査の幅が広がる
- 🏆 資格取得:CompTIA Security+ → GCFE(GIAC Certified Forensic Examiner)の順でステップアップ
- 🔄 連携ツール:FTK Imager(証拠取得)→ Autopsy(解析)→ Magnet AXIOM(スマホ・クラウド)の三段構成がプロの現場に近い構成
フォレンジックの知識は「攻撃者が何を隠そうとするか」を理解することに直結します。自分のデバイスに何が残っているかを知ることで、プライバシー管理・セキュリティ対策の質が格段に上がります。まずは自分のPCイメージでAutopsyを動かしてみることが、最速の学習への第一歩です。
※ 本記事は教育目的で作成しています。Autopsy の利用にあたっては必ず適用法令を遵守し、正当な権限のある機器のみで使用してください。掲載情報はAutopsy 4.21.0(2025年5月時点)に基づきますが、ツールの仕様は更新される場合があります。
コメント