「デジタルフォレンジック」と聞いて、映画の中だけの話だと思っていませんか?実は今、企業の情報漏えい調査、不正アクセス追跡、スマートフォンの証拠回収など、あらゆる現場でこの技術が使われています。この記事では、プロが実際に使う5大ツール──FTK Imager・Autopsy・Magnet AXIOM・Volatility Framework・Wireshark──の仕組みと使い方を、まったくの初心者でもわかるように徹底解説します。
本記事で紹介する手法・ツールは、正規の権限を持つ調査者・セキュリティ担当者・法執行機関が適法な目的で使用することを前提としています。自身が管理権限を持たない機器・ネットワークへの使用は、不正アクセス禁止法等に抵触する可能性があります。必ず法令および社内規定を確認の上、適切な許可を得て実施してください。
- 🔍 そもそも「デジタルフォレンジック」って何?
- 🏗 プロ現場の三段構成:FTK Imager → Autopsy → Magnet AXIOM
- 🛠 ステップ①:FTK Imager(証拠取得の最前線ツール)
- 🔬 ステップ②:Autopsy(証拠を解読するプロの解析エンジン)
- 📱 ステップ③:Magnet AXIOM(スマホ・クラウド時代の最前線ツール)
- 🧠 応用①:Volatility Framework(消えゆくメモリの証拠を掴む)
- 🌐 応用②:Wireshark(ネットワークを流れるデータを丸裸にする)
- 🔗 5ツール統合:プロのインシデントレスポンス実践フロー
- 🛡 企業・個人が取るべき対策:フォレンジックから学ぶセキュリティ強化
- 📚 学習ロードマップ:デジタルフォレンジックを深く学ぶには
- 🔚 まとめ:5ツールの役割と組み合わせの全体像
🔍 そもそも「デジタルフォレンジック」って何?
「フォレンジック(Forensic)」とはラテン語の「法廷の」を意味する言葉です。デジタルフォレンジックとは、コンピューター・スマートフォン・ネットワーク機器などのデジタル機器から、証拠となるデータを科学的・法的に信頼できる方法で収集・保全・解析する技術分野です。
具体的にはこんな場面で使われます:
- 会社の内部不正(社員による機密データ持ち出し)の調査
- ランサムウェア感染の侵入経路特定
- 不正アクセスの攻撃者追跡
- 犯罪捜査における電子証拠の収集(警察・検察)
- 離婚訴訟・民事訴訟における証拠保全
ポイントは「証拠の完全性(インテグリティ)」です。デジタルデータは簡単に改ざんできるため、「取得した瞬間から何も変わっていない」ことを証明しながら調査を進める必要があります。その基盤となる概念がChain of Custody(証拠保管連鎖)です。
🏗 プロ現場の三段構成:FTK Imager → Autopsy → Magnet AXIOM
デジタルフォレンジックの現場では、調査の流れに沿って専用ツールを組み合わせます。プロが実際に採用している「三段構成」を見ていきましょう。
| ステップ | ツール名 | 役割 | 対象 | ライセンス |
|---|---|---|---|---|
| ① 証拠取得 | FTK Imager | ディスクイメージの取得・保全 | HDD・SSD・USB | 無償版あり |
| ② 解析 | Autopsy | イメージの詳細解析・可視化 | ファイルシステム全般 | オープンソース(無償) |
| ③ スマホ・クラウド | Magnet AXIOM | モバイル・クラウドデータ取得 | iOS・Android・クラウド | 商用(有償) |
この三段構成は、「証拠を汚さず取得し → 体系的に解析し → 現代のデジタル証拠(スマホ・SNS)をカバーする」という論理的な流れになっています。一つ一つ詳しく見ていきましょう。
🛠 ステップ①:FTK Imager(証拠取得の最前線ツール)
FTK Imagerとは?
FTK Imager(エフティーケー・イメージャー)は、米Exterro社(旧AccessData社)が開発したフォレンジック用ディスクイメージング・ソフトウェアです。無償版が公開されており、世界中のセキュリティ専門家・警察・企業セキュリティ担当者が使用しています。
「イメージング」とは、HDDやSSDの内容をビット単位で完全コピーし、元のディスクに一切触れずに調査できる「デジタルの複製品」を作る作業です。このコピーを「フォレンジックイメージ」と呼びます。
なぜFTK Imagerが必要なのか?
普通のコピー(Ctrl+C / Ctrl+V)では不十分な理由があります:
- 削除済みファイルが取得できない:ゴミ箱を空にしたファイルもディスク上には残っています
- メタデータが変わってしまう:通常コピーはファイルのアクセス日時を書き換えてしまいます
- 証拠能力がない:法廷や社内調査で「完全性の証明」ができません
FTK Imagerはライトブロッカー(書き込み防止装置)と組み合わせて使うことで、元のディスクに一切書き込まずにコピーを作成し、MD5・SHA-256ハッシュ値で完全性を証明します。
FTK Imagerの主な機能
- ディスクイメージ作成:E01(EnCase形式)・DD(RAW形式)・AFF4など複数形式に対応
- ハッシュ値計算:MD5・SHA-1・SHA-256で証拠の完全性を記録
- ライブプレビュー:調査対象ディスクの内容をマウント(読み取り専用)して確認
- メモリダンプ取得:実行中のPCのRAM(メモリ)内容を保存(後述のVolatilityと連携)
- 削除ファイルの可視化:削除されたファイルのリストアップ
【FACTメモ】 FTK Imagerは2024年現在も無償でダウンロード可能(Exterro公式サイト)。E01形式はNIST(米国立標準技術研究所)が認定する法廷証拠として広く採用されています。ハッシュ値の一致確認は、米国FBI・Europol等の法執行機関の証拠提出標準手順にも含まれています。
FTK Imagerの基本的な使い方(ステップ解説)
Step 1:ライトブロッカーを接続する
まず調査対象のHDD/SSDを、ハードウェアライトブロッカー(例:Tableau T8-R2)経由で調査用PCに接続します。これにより「読み取り専用」状態が保証されます。
Step 2:FTK Imagerを起動し「Create Disk Image」を選択
「File」メニュー→「Create Disk Image」→ソース(Physical Drive)を選択します。
Step 3:出力形式を選ぶ
通常は「E01(Expert Witness Format)」を推奨。圧縮・分割・メタデータ付きで管理しやすい形式です。
Step 4:ハッシュ値を確認する
イメージ完成後、FTK ImagerはソースとコピーのMD5/SHA1を自動比較します。「Match」と表示されれば取得成功です。この記録を証拠ログとして保管します。
ライブシステム(電源が入ったまま)のメモリダンプを取得する際は、FTK Imagerの操作自体がメモリに痕跡を残します。「最小限の干渉で最大限の証拠を取る」というフォレンジックの原則を常に意識してください。
🔬 ステップ②:Autopsy(証拠を解読するプロの解析エンジン)
Autopsyとは?
Autopsy(オートプシー)は、Basis Technology社が開発したオープンソースのデジタルフォレンジック解析プラットフォームです。GUIベースで使いやすく、FTK Imagerで取得したイメージファイルを「見える化」して調査できます。
内部的にはThe Sleuth Kit(TSK)というコマンドラインフォレンジックライブラリを利用しており、Windows・Mac・Linux上で動作します。世界的に見てもっとも普及しているオープンソース・フォレンジックツールの一つです。
Autopsyでできること
- タイムライン解析:ファイルの作成・更新・削除の時系列を視覚的に表示
- 削除ファイルの復元:ゴミ箱を空にした後のファイルも発見・復元可能
- キーワード検索:イメージ全体からキーワードを検索(未割り当て領域含む)
- Webブラウザ履歴抽出:Chrome・Firefox・IEの閲覧履歴・ダウンロード履歴・Cookie
- メール解析:Outlookのアーカイブ(.pst)から受送信メール抽出
- ハッシュマッチング:NSORCやNIST NSRLのハッシュデータベースと照合して既知ファイルを除外
- EXIF情報抽出:写真のGPS座標・撮影機種・日時を取得
- モジュール拡張:Pythonプラグインで機能追加可能
Autopsyの基本ワークフロー
Step 1:新規ケースを作成
「New Case」→ケース名・調査者名・ケース番号を入力(これが調査記録になります)。
Step 2:データソースを追加
FTK Imagerで作成したE01イメージファイルを「Add Data Source」で読み込みます。
Step 3:Ingest Modules(解析モジュール)を選択
どの種類の解析を行うか選択します。「Recent Activity」(閲覧履歴)・「Hash Lookup」・「Keyword Search」・「Email Parser」など目的に応じて有効化します。
Step 4:タイムラインで「いつ何が起きたか」を確認
「Timeline」ビューで、特定日時前後のファイル操作を一覧表示。不審なファイル削除・データコピーのタイミングを特定します。
Step 5:レポート出力
発見した証拠をHTML・PDFレポートとして出力します。
【FACTメモ】 Autopsyは米国国土安全保障省(DHS)のSANS Instituteが推薦するツールの一つ。バージョン4以降はマルチスレッド解析に対応し、1TBのディスクイメージでも数時間で基礎解析が完了します。GitHubで公開されており(sleuthkit/autopsy)、世界中で継続開発中です。
📱 ステップ③:Magnet AXIOM(スマホ・クラウド時代の最前線ツール)
なぜスマホ専用ツールが必要なのか?
現代の犯罪捜査・企業不正調査において、証拠の7〜8割がスマートフォンにあると言われています(米国SANS Instituteの調査より)。LINEトーク履歴、WhatsAppメッセージ、InstagramのDM、Googleドライブの共有ファイル……これらはPCのHDDには存在しません。
また、iOSとAndroidではファイルシステムの構造・暗号化方式が根本的に異なるため、PCフォレンジックツールでは解析できないケースがほとんどです。
Magnet AXIOMとは?
Magnet AXIOM(マグネット・アクシオム)は、カナダのMagnet Forensics社が開発した商用フォレンジックプラットフォームです。スマートフォン・PC・クラウドサービスのデータを統合的に取得・解析できる点が最大の特徴です。
世界の警察・法執行機関・大手企業のセキュリティチームが採用しており、日本でも捜査機関が導入しています。
Magnet AXIOMの主な機能
- iOS完全取得:iCloud経由・USB経由でバックアップ・ファイルシステム・フルファイルシステム抽出
- Android取得:ADB(Android Debug Bridge)・チップオフ・EDL(緊急ダウンロードモード)対応
- クラウドデータ取得:Google Drive・iCloud・Dropbox・Facebook・Twitter・Gmail・OneDrive
- アプリデータ解析:LINE・WhatsApp・Telegram・Snapchat・Signal等のメッセージ復元
- 削除データ復元:SQLiteデータベースの未割り当てページから削除済みメッセージを復元
- AI支援分類:画像・動画の内容をAIが自動分類(CSAM検出など)
- タイムライン統合:スマホ・PC・クラウドの証拠を単一タイムラインで表示
Magnet AXIOMによるクラウドデータ取得には、アカウント所有者の明示的な同意、または法的令状(裁判所命令)が必要です。企業調査においても、従業員のプライベートアカウントへのアクセスは法的リスクを伴います。必ず法務部門・弁護士と連携して進めてください。日本では不正競争防止法・個人情報保護法・電気通信事業法等が関係します。
Magnet AXIOMの取得レベルの違い(重要)
| 取得レベル | 取得できるデータ | 必要条件 |
|---|---|---|
| 論理取得 | 通常アクセス可能なファイル・バックアップ | PIN/パスワードが必要な場合あり |
| ファイルシステム取得 | アプリデータ・削除済みデータ含む | 開発者モード・脱獄/root化が必要な場合あり |
| フル物理取得 | チップレベルの全データ | 専門機材(JTAG・チップオフ)が必要 |
🧠 応用①:Volatility Framework(消えゆくメモリの証拠を掴む)
メモリフォレンジックとは?
コンピューターのRAM(ランダムアクセスメモリ)には、電源が入っている間だけ存在するデータがあります。これが「揮発性データ(Volatile Data)」です。電源を切った瞬間に消えてしまうため、従来のフォレンジックでは証拠として取得できませんでした。
しかし、ここに非常に重要な証拠が存在します:
- 実行中のマルウェア:ディスクに痕跡を残さない「ファイルレスマルウェア」はメモリ内にのみ存在
- 暗号化キー:BitLockerなどの暗号化ディスクを解除するキーがメモリに残ることがある
- 実行中のプロセス・ネットワーク接続:攻撃者が使っているC2(コマンド&コントロール)サーバーのIPアドレス
- パスワード・認証トークン:ブラウザや認証アプリが保持している資格情報
- クリップボードの内容:コピーされたテキスト・データ
Volatility Frameworkとは?
Volatility(ボラティリティ)は、オープンソースのメモリフォレンジック解析フレームワークです。Volatility Foundationが開発・メンテナンスしており、無償で利用できます。Pythonベースで開発されており、プラグインによって機能を拡張できます。
対応OS:Windows(XP〜11)・Linux・macOS のメモリダンプを解析可能。
Volatility Frameworkの主なプラグイン(コマンド)
| コマンド(v3) | 何がわかるか | 調査用途 |
|---|---|---|
windows.pslist |
実行中のプロセス一覧 | 不審なプロセス名を発見 |
windows.pstree |
プロセスの親子関係 | マルウェアの生成元プロセスを特定 |
windows.netstat |
ネットワーク接続状態 | C2サーバーへの通信を発見 |
windows.dlllist |
ロード済みDLL一覧 | 不正なDLLインジェクションを検出 |
windows.malfind |
疑わしいメモリ領域の特定 | インジェクションされたコードを発見 |
windows.hashdump |
パスワードハッシュの抽出 | 認証情報の調査 |
windows.cmdline |
実行されたコマンドライン引数 | 攻撃者の操作コマンドを復元 |
Volatility 基本的な使い方
まずFTK Imagerでメモリダンプを取得します(「Capture Memory」機能)。その後、以下の流れで解析します:
Step 1:OSプロファイルの自動判定(Volatility 3の場合)
python3 vol.py -f memory.dmp windows.info
Step 2:プロセス一覧を確認し、不審なプロセスを発見
python3 vol.py -f memory.dmp windows.pslist
Step 3:malfindで不審なメモリ領域を検出
python3 vol.py -f memory.dmp windows.malfind
Step 4:ネットワーク接続を確認
python3 vol.py -f memory.dmp windows.netstat
【FACTメモ】 Volatility Frameworkは2007年にAAWG(Applied Analysis Working Group)が開発開始。2023年現在のVolatility 3は、Python 3.xベースで書き直されており、Windows 11・Linux kernel 6.xのメモリイメージにも対応。SANS Institute、CISA(米国サイバーセキュリティ庁)のトレーニング資材でも標準的に使用されています。
🌐 応用②:Wireshark(ネットワークを流れるデータを丸裸にする)
パケット解析とは?
インターネットの通信は、データを小さな塊(パケット)に分割して送受信しています。Wireshark(ワイヤーシャーク)は、ネットワーク上を流れるこのパケットをリアルタイムでキャプチャ・解析するツールです。
フォレンジックにおけるパケット解析の用途:
- マルウェアがどのC2サーバーと通信しているか特定
- 攻撃者がどんなコマンドを送ったか復元(平文通信の場合)
- データ外部送信の証明(「いつ・どこへ・何バイト」送ったか)
- フィッシング攻撃の通信経路解明
- 社内の不審な通信(内部不正・情報漏えい)の検出
Wiresharkの特徴
Wireshark(旧Ethereal)はオープンソース・無償のネットワークパケットアナライザーです。Windows・Mac・Linux対応で、世界で最も広く使われているネットワーク解析ツールの一つです。
Wiresharkの重要な機能と使い方
① ディスプレイフィルター(Display Filter)
膨大なパケットから必要なものだけを絞り込む機能。フォレンジックで頻用するフィルター例:
| フィルター式 | 意味 | 用途 |
|---|---|---|
http |
HTTPパケットのみ表示 | 平文Web通信の確認 |
dns |
DNSパケットのみ表示 | マルウェアのDNSルックアップ確認 |
ip.addr == 192.168.1.100 |
特定IPの通信のみ | 感染端末の通信絞り込み |
tcp.flags.syn == 1 |
TCP SYNパケット(接続開始) | ポートスキャンの検出 |
http contains "password" |
“password”を含むHTTP | 平文パスワード送信の検出 |
frame.time >= "2024-01-01" |
特定日以降のパケット | インシデント発生時刻前後を絞り込み |
② Follow TCP Stream(TCPストリームの追跡)
特定の通信セッション全体を「会話」として表示する機能。HTTP通信なら、やり取りされたHTTPリクエスト/レスポンスの全文を確認できます。
③ Export Objects(オブジェクトの抽出)
「File」→「Export Objects」→「HTTP」を選択すると、HTTP通信でやり取りされたファイル(画像・PDF・実行ファイルなど)を抽出できます。マルウェアのダウンロードファイルを取得する際に使います。
④ pcapng(パケットキャプチャファイル)の解析
Wiresharkはリアルタイムキャプチャだけでなく、過去に取得したpcap/pcapngファイルの読み込み・解析も可能。インシデント後のログ解析に活用できます。
Wiresharkによるネットワークキャプチャは、自分が管理する(または明示的に許可された)ネットワークに対してのみ実施してください。他者のネットワーク通信を無断でキャプチャすることは、日本では不正アクセス禁止法・通信傍受に関する法律に抵触する可能性があります。企業内で実施する場合も、情報システム部門・法務部門の承認を必ず得てください。
🔗 5ツール統合:プロのインシデントレスポンス実践フロー
5つのツールを組み合わせることで、インシデントレスポンス(事案対応)の全体像が見えてきます。実際の調査フローを見てみましょう。
シナリオ:「社内PCがランサムウェアに感染した可能性がある」
| フェーズ | 使用ツール | 実施内容 | 得られる証拠 |
|---|---|---|---|
| ① 初動対応(ライブ) | Wireshark + FTK Imager | 通信を即時キャプチャ開始、メモリダンプ取得 | C2通信先IP、マルウェアのメモリ内展開状態 |
| ② メモリ解析 | Volatility | マルウェアのプロセス・DLLを特定 | マルウェア名・感染経路・暗号化キーの可能性 |
| ③ ディスク取得 | FTK Imager | PCのHDDをE01イメージ化 | 感染前後のファイル操作・マルウェア本体 |
| ④ ディスク解析 | Autopsy | タイムライン解析・削除ファイル復元・ブラウザ履歴確認 | 感染起点となったファイル・フィッシングURL |
| ⑤ スマホ確認 | Magnet AXIOM | 担当者スマホのメッセージ・メール確認 | フィッシングメール受信・SMS詐欺メッセージ |
| ⑥ 通信解析 | Wireshark | キャプチャしたパケットでデータ流出量を確認 | 外部送信されたデータの種類・量・送信先 |
このように、各ツールが調査の異なるフェーズを担当し、「メモリ → ディスク → スマホ → ネットワーク」と証拠を立体的に収集することで、インシデントの全体像を解明できます。
🛡 企業・個人が取るべき対策:フォレンジックから学ぶセキュリティ強化
デジタルフォレンジックを学ぶと、逆説的に「どんな痕跡が残るか」がわかります。ここからセキュリティ対策を強化するヒントを得られます。
ログ・証拠保全の整備(企業向け)
- SIEM(セキュリティ情報イベント管理)の導入:Splunk・Microsoft Sentinelなどでログを一元管理・長期保存
- EDR(エンドポイント検出・対応)の導入:CrowdStrike・Microsoft Defenderなどでエンドポイントの行動を監視・記録
- ネットワークフローログの保存:NetFlowやファイアウォールログを90日〜1年保存(事後調査に不可欠)
- タイムスタンプの整合性確保:全デバイスのNTP同期を確認(フォレンジックでは1秒のズレが調査を複雑にする)
フォレンジック調査に備えた社内規定の整備
- インシデントレスポンスプラン(IRP)の策定・年次訓練
- フォレンジック調査の権限・手順を就業規則・IT利用規定に明記
- 端末使用規定の整備(業務端末の個人利用制限・MDM導入)
- 外部フォレンジック専門会社との顧問契約(インシデント発生時の迅速対応)
日本では、IPA(情報処理推進機構)が「インシデント対応のためのデジタルフォレンジックガイド」を無償公開しています。またNISC(内閣サイバーセキュリティセンター)のサイバーセキュリティ対策ガイドラインも組み合わせることで、国内法規制に準拠した体制を構築できます。
個人ユーザーが今すぐできること
- 重要データの暗号化:BitLocker(Windows)・FileVault(Mac)を有効化
- スマートフォンの暗号化と強力なPIN設定:生体認証+6桁以上のPIN
- ブラウザ閲覧履歴の認識:プライベートモードでも一部のフォレンジックで復元可能なことを理解する
- クラウドアカウントの2段階認証:Google・iCloud・OneDriveすべてに設定
- 不審なアプリのインストール禁止:公式ストア外からのAPK等を避ける
📚 学習ロードマップ:デジタルフォレンジックを深く学ぶには
初心者向け無償学習リソース
- DFIR.training:フォレンジック練習用のCTF課題・サンプルイメージを多数公開
- CyberDefenders(cyberdefenders.org):ブルーチーム向けのハンズオン演習プラットフォーム(一部無償)
- Digital Corpora:フォレンジック練習用のリアルなディスクイメージを無償提供
- Autopsy公式チュートリアル:sleuthkit.org にて無償提供
- Volatility Foundation公式ドキュメント:volatilityfoundation.org
資格取得でスキルを証明する
| 資格名 | 発行機関 | 特徴 | 難易度 |
|---|---|---|---|
| GCFE | GIAC(SANS) | Windowsフォレンジック特化 | 中級 |
| GCFA | GIAC(SANS) | 高度なフォレンジック・インシデントレスポンス | 上級 |
| EnCE | OpenText(Guidance) | EnCaseツール専門資格 | 中級〜上級 |
| CCE | ISFCE | ベンダー中立・実践重視 | 中級 |
| 情報処理安全確保支援士 | IPA(日本) | 国家資格・インシデント対応含む | 中級 |
🔚 まとめ:5ツールの役割と組み合わせの全体像
本記事で解説した5つのツールを整理します:
- 🟠 FTK Imager:証拠を汚さず「完全なコピー」を取得する出発点
- 🔵 Autopsy:そのコピーを徹底的に解析し、タイムラインと削除ファイルを復元
- 🟣 Magnet AXIOM:スマホ・クラウドという現代の証拠の宝庫を開く鍵
- 🟢 Volatility Framework:電源を切ったら消える「メモリの証拠」を掴む唯一の手段
- 🔴 Wireshark:ネットワーク上の会話をすべて記録し、攻撃の全体像を映し出す
デジタルフォレンジックは、攻撃者が「すべての痕跡を消した」と思っていても、メモリ・ネットワーク・削除ファイル・クラウドに必ず証拠が残るという事実に基づいています。この技術を知ることは、攻撃を防ぐための「逆算思考」にも直結します。
セキュリティ担当者として、または組織を守る立場として、ぜひこれらのツールを実際に触れてみることをお勧めします。まずはAutopsy + 無償サンプルイメージでハンズオン体験を始めてみましょう。
本記事で紹介したすべてのオープンソースツール(FTK Imager無償版・Autopsy・Volatility Framework・Wireshark)は、合法的な目的の範囲内で無償で入手・使用できます。まずは自分の管理するテスト環境や、公開されている練習用フォレンジックイメージ(Digital Corpusなど)で実践的なスキルを磨いてください。
※本記事の情報は執筆時点(2024〜2025年)のものです。ツールのバージョン・機能は随時更新されます。各ツールの公式ドキュメントを合わせてご参照ください。本記事はセキュリティ教育目的で作成されています。
コメント