「削除したはずのファイルが証拠として出てきた」「スマホのトーク履歴がすべて復元された」――ニュースで見かけるこんな話、一体どうやって調べているのでしょうか? その答えが デジタルフォレンジック と呼ばれる技術であり、現場で使われる代表的なツールが Magnet AXIOM(マグネット・アクシオム) と FTK(Forensic ToolKit) です。
本記事では、ITの知識がゼロでも理解できるよう、しくみから実際の操作手順・応用事例・そして「自分を守る対策」まで、一気通貫で解説します。
📋 目次
- デジタルフォレンジックって何?
- Magnet AXIOM と FTK ― 2大ツールの正体
- どうやってデータを”掘り起こす”のか? ― しくみを徹底解説
- Magnet AXIOM の使い方(ステップ解説)
- FTK の使い方(ステップ解説)
- 実際にどんなデータが出てくるの?
- 企業・捜査機関での応用事例
- フォレンジックから身を守る対策
- 倫理・法律の話 ― 使う前に必ず知っておくこと
- まとめ
1. デジタルフォレンジックって何?
デジタルフォレンジック(Digital Forensics) とは、コンピュータやスマートフォン、クラウドサービスなど デジタル機器に残った痕跡を科学的な手順で収集・保全・分析する技術 のことです。
もともとは警察や検察が犯罪捜査で使い始めたものですが、現在は企業のインシデント対応(情報漏えい調査など)や、民事訴訟の証拠収集にも広く使われています。
🔍 “フォレンジック” という言葉の意味
「Forensic(フォレンジック)」はラテン語の forensis(公開の、法廷の)が語源。つまり 「法廷で使える証拠としての科学的調査」 を意味します。テレビドラマのCSI(科学捜査班)の、デジタル版と思えばイメージしやすいでしょう。
💡 身近な事例で理解しよう
- 退職した社員が顧客データを持ち出した → USBやPCのログを調査
- ランサムウェアに感染した → どこから侵入したか経路を追う
- 詐欺事件の容疑者のスマホを押収 → メッセージ・位置情報を復元
- 企業の不正会計疑惑 → メールサーバーのやり取りを解析
デジタルフォレンジックは証拠の完全性(インテグリティ)が命です。調査対象のデバイスに手を加えてしまうと証拠能力が失われるため、必ずイメージ(完全コピー)を作成してから分析します。この原則を「フォレンジック・サウンドネス」と呼びます。
2. Magnet AXIOM と FTK ― 2大ツールの正体
🧲 Magnet AXIOM(マグネット・アクシオム)
カナダの Magnet Forensics 社が開発した次世代フォレンジックプラットフォームです。2010年代後半に登場し、現在は世界140か国以上の法執行機関・企業で使用されています。
| 項目 | 内容 |
|---|---|
| 開発元 | Magnet Forensics(カナダ) |
| 得意分野 | スマホ・クラウド・PC を横断した統合分析 |
| 主な製品 | AXIOM、AXIOM Cyber、GRAYKEY(iOS解析) |
| ライセンス | 商用(年間契約) |
| 無料版 | Magnet AXIOM Trial あり |
🔬 FTK(Forensic ToolKit)
米国の AccessData 社(現在は Exterro 社)が開発したフォレンジック業界の老舗ツールです。1998年から開発が続く歴史あるソフトウェアで、特に 高速なインデックス検索 と パスワード解析 に定評があります。
| 項目 | 内容 |
|---|---|
| 開発元 | Exterro(旧AccessData)米国 |
| 得意分野 | HDDイメージ解析・パスワードクラック・メール解析 |
| 主な製品 | FTK、FTK Imager(無料)、FTK Central |
| ライセンス | 商用(FTK Imagerは無料) |
| 無料版 | FTK Imager(イメージ作成・基本閲覧のみ) |
🆚 AXIOMとFTKの違いは?
| 観点 | Magnet AXIOM | FTK |
|---|---|---|
| UI操作性 | ★★★★★ 直感的 | ★★★☆☆ 習熟が必要 |
| スマホ解析 | ◎ 非常に強い | △ 別ツール連携が必要 |
| クラウド取得 | ◎ 標準対応 | △ 限定的 |
| HDD大容量処理 | ○ 良好 | ◎ 高速インデックスが強み |
| パスワード解析 | △ 基本機能のみ | ◎ 業界最強クラス |
| 初心者向け | ◎ 学習コスト低め | ○ やや高め |
「まずフォレンジックを試してみたい」という方には Magnet AXIOM、「HDD解析とパスワード復元を深く学びたい」なら FTK がおすすめです。両方を組み合わせて使うプロも多くいます。
3. どうやってデータを”掘り起こす”のか? ― しくみを徹底解説
🗑️ 「削除」しても消えない理由
コンピュータでファイルを「削除」すると何が起きるかご存知ですか? 実は データそのものは即座に消えません。
ストレージ(HDDやSSD)は広大な本棚のようなもの。ファイルを削除すると「目次(ファイルシステム)から名前が消える」だけで、実際のデータは棚の中にそのまま残っています。新しいデータが上書きされるまで、フォレンジックツールはその残骸を読み取ることができます。これを アンアロケーテッド領域(未割り当て領域)の解析 と呼びます。
🧩 カービング(Data Carving)とは?
目次(ファイルシステム)が壊れていても、データを復元できる技術が カービング です。ファイルの種類ごとに決まった「先頭の記号(マジックバイト)」と「末尾の記号(フッター)」を手がかりに、ストレージ全体をスキャンしてファイルの断片を拾い集めます。
たとえば JPEGファイルは必ず FF D8 FF で始まり、FF D9 で終わります。これを使って画像ファイルを復元するわけです。
📦 フォレンジック解析の全体フロー
- 証拠保全(イメージ取得) ― 対象デバイスを1ビットも変えずにまるごとコピー(フォレンジックイメージ作成)。FTK Imager や dd コマンドを使用。
- ハッシュ値検証 ― MD5/SHA-256 などでコピー前後が完全一致することを証明。改ざんがないことの証明書。
- インデックス作成 ― ツールがイメージ内の全ファイル・メタデータを解析してデータベース化。
- アーティファクト抽出 ― ブラウザ履歴・チャット・位置情報など「痕跡の宝庫」を自動抽出。
- タイムライン分析 ― いつ何が起きたかを時系列で並べて事件を再構成。
- レポート生成 ― 法廷・社内報告用の証拠レポートを出力。
フォレンジックのゴールデンルール:「原本には絶対に触れない」。調査はすべてコピー(フォレンジックイメージ)に対して行います。これにより原本の完全性が保たれ、証拠能力が維持されます。
4. Magnet AXIOM の使い方(ステップ解説)
ここでは Magnet AXIOM の基本的な操作フローを、初心者でもわかるよう順を追って説明します。
STEP 1:ケースの作成
- AXIOM Process を起動 → 「新しいケースの作成」をクリック
- ケース番号・調査員名・説明を入力(法的証拠として後で参照されるため正確に記入)
- 証拠保存フォルダを指定(外付けHDDなど容量の大きいドライブを推奨)
STEP 2:証拠ソースの選択
AXIOM は以下のソースからデータを取得できます:
- 📱 モバイル:iOS・Androidスマホ(USB接続またはバックアップ)
- 💻 コンピュータ:HDD/SSDイメージ(E01・dd形式など)またはライブ取得
- ☁️ クラウド:Google Workspace・Microsoft 365・iCloud・Dropboxなど
- 🚗 車両:一部の車載インフォテインメントシステム
取得方法(「論理取得」「物理取得」など)を選択して「証拠を取得」をクリックします。
STEP 3:アーティファクトの選択
アーティファクト(Artifact) とは、ツールが自動抽出してくれる「デジタルの痕跡の種類」のことです。主なものを挙げます:
| カテゴリ | 具体例 |
|---|---|
| チャット・SNS | LINE, WhatsApp, Telegram, Instagram DM, Facebook Messenger |
| ウェブ閲覧 | Chrome/Safari履歴、キャッシュ、クッキー、検索ワード |
| 位置情報 | GPSログ、Wi-Fi接続履歴、Google タイムライン |
| ファイル活動 | 最近使ったファイル、USB接続履歴、削除ファイルの復元 |
| メール | Outlook, Gmail, Thunderbird などのメールデータ |
| 画像・動画 | EXIF情報付き写真、動画、サムネイルキャッシュ |
STEP 4:処理の実行(AXIOM Process)
「処理を開始」ボタンを押すと、AXIOMがイメージをスキャンしてアーティファクトを抽出します。データ量によりますが、数十GBのスマホバックアップなら30分〜2時間程度かかります。処理中はPCを別作業に使わず、安定した環境を保つことが重要です。
STEP 5:結果の分析(AXIOM Examine)
処理完了後、AXIOM Examine(分析ビュー)が開きます。ここで実際にアーティファクトを確認します:
- アーティファクトビュー:カテゴリ別に整理された痕跡を一覧表示
- タイムラインビュー:すべての活動を時系列グラフで可視化
- コネクションズ:人物・場所・デバイスの関係図を自動作成
- AI分類(MAGNET.AI):画像をAIが自動分類(CSAM検出など)
STEP 6:レポートのエクスポート
調査結果は PDF・Word・HTML・Excel などの形式でエクスポート可能。法廷提出用に「ハッシュ値付き証拠リスト」も出力できます。
5. FTK(Forensic ToolKit)の使い方(ステップ解説)
まずは FTK Imager で証拠イメージを作成しよう(無料)
FTK の世界への入門として、まず FTK Imager(無料)を使ってみましょう。これはデバイスのフォレンジックイメージを作成するためのツールです。
- FTK Imager を起動 → 「File」→「Create Disk Image」
- ソース選択:Physical Drive(物理ドライブ全体)または Logical Drive(論理ドライブ)を選択
- 出力形式を選択:
- E01形式(EnCase Image):業界標準。圧縮・分割対応でプロが好む形式
- DD/RAW形式:シンプルな生コピー。Linuxツールとの互換性が高い
- AFF形式:オープンソース形式
- 保存先を指定(元のドライブとは別のドライブへ必ず保存)
- 「Start」をクリック → 作成完了後にMD5・SHA-1ハッシュ値を自動記録
イメージ作成時は必ずライトブロッカー(書き込み防止装置)をドライブと PC の間に挟んでください。ライトブロッカーなしで接続すると、OSがドライブに微細な書き込みを行い、証拠が改ざんされたとみなされる可能性があります。ソフトウェア型(Windows レジストリで設定)でも代用可能です。
FTK 本体の主要機能
① 全文インデックス検索
FTK は取り込んだイメージ内の全テキストを事前にインデックス化します。そのため「特定のキーワード」「メールアドレス」「口座番号」などを Google検索のような感覚で一瞬で検索 できます。数百GBのデータも検索に数秒〜数十秒。これが FTK 最大の強みです。
② パスワード解析(PRTK / DNA 連携)
FTK は姉妹製品の PRTK(Password Recovery Toolkit) と連携し、以下の方式でパスワードを解析します:
- 辞書攻撃:よく使われるパスワードリストと照合
- ブルートフォース攻撃:全パターンを総当たり
- ルールベース攻撃:「password」→「P@ssw0rd」のような変換ルールを適用
- レインボーテーブル攻撃:ハッシュ値から逆引きで解析
③ メール解析
PST(Outlook)・EML・MBOXなど主要なメール形式を自動認識し、送受信者・添付ファイル・日時を構造化して表示。削除済みのメールも復元可能。
④ ファイルカービング
削除されたファイルや破損したファイルシステムから、JPG・PDF・Word・Excel・動画など200種類以上のファイルタイプを復元します。
⑤ ハッシュセット照合
NSRL(National Software Reference Library)などの既知ファイルデータベースと照合し、OSのシステムファイルなど「調査不要なファイル」を自動除外。調査対象を絞り込めます。
6. 実際にどんなデータが出てくるの?
「理屈はわかったけど、実際に何が見えるの?」という疑問に答えます。以下は実際の調査事例をもとにした、出てくるデータの代表例です。
📱 スマートフォン(iOS / Android)
- LINE・WhatsApp・Telegram:送受信メッセージ、既読状態、削除済みメッセージ(一定期間)
- 通話履歴:発着信の日時・相手番号(削除済みも含む)
- GPS・移動履歴:Google タイムライン、写真のEXIF座標、Wi-Fi接続ポイント
- アプリデータ:Instagram・Twitter・TikTokのキャッシュ画像・閲覧履歴
- パスワード管理:キーチェーン(iOS)に保存されたパスワード
💻 PC・ノートパソコン
- Windowsレジストリ:最後にログインした時刻、USB接続したデバイスの識別情報、インストール・アンインストール履歴
- プリフェッチファイル:過去に実行したプログラムの記録(削除済みマルウェアも検出可能)
- $Recycle.Bin:ごみ箱に移動したファイルの元のパスと削除日時
- ブラウザ履歴・Cookie:プライベートモードで閲覧したURLも一部復元可能
- シャドウコピー:Windowsが自動作成したバックアップから削除前の状態を復元
- LNK ファイル(ショートカット):アクセスしたファイルのパス・最終アクセス日時
☁️ クラウド・メール
- Gmail・Outlook 365:削除済みメール(ゴミ箱期間内)、送受信ログ
- Google Drive・OneDrive:ファイルのアップロード・ダウンロード・共有の履歴
- Slack・Teams:チャンネルメッセージ・ファイル共有履歴
プライベートモード(シークレットウィンドウ)は完全ではありません。端末側のブラウザキャッシュには残らなくても、DNSキャッシュ・ルーターのログ・ISPの通信記録にはURLが残ります。フォレンジックツールはこれらも解析対象とします。
7. 企業・捜査機関での応用事例
🏢 企業インシデント対応(DFIR:Digital Forensics & Incident Response)
事例①:内部不正(データ持ち出し)調査
退職予定の社員が顧客データベースを外部に持ち出した疑いが発生。Magnet AXIOM Cyber を使い、対象PCのイメージを取得・解析した結果、以下が判明しました:
- 退職2週間前に 約8万件の顧客CSVファイルへ大量アクセス
- USBドライブ(特定の製品ID)の接続記録
- 個人用クラウドストレージへの大量アップロード(Dropbox接続ログ)
- その後 USB・クラウドへのコピーを示すアーティファクトの連鎖
この証拠を基に民事訴訟を提起し、データの返還と損害賠償を求めました。
事例②:ランサムウェア侵入経路調査
工場の管理PCがランサムウェアに感染。FTK で感染前後のイベントログ・プリフェッチ・ネットワーク接続履歴を解析した結果:
- フィッシングメールの添付ファイルが最初のトリガーと特定
- 侵入から暗号化開始まで72時間の「潜伏期間」の行動が判明
- 感染拡大の横断移動(ラテラルムーブメント)経路を特定
👮 法執行機関での活用
事例③:詐欺事件の証拠収集
オレオレ詐欺グループのスマホを押収。AXIOM で物理取得(GrayKey 使用)した結果:
- 被害者リストと思われる連絡先データ
- 犯行に使ったSIPアプリ(IP電話)の通話ログ
- 被害金額の振込確認スクリーンショット(削除済みを復元)
- 共犯者との暗号化チャット(バックアップから部分復元)
事例④:サイバー犯罪者のPCからマルウェア開発ツールを発見
FTK のインデックス検索で「.py」「exploit」「payload」などのキーワードを絞り込み、マルウェアのソースコード・ターゲットリスト・犯行に使ったツール一式を証拠として固めた事例。FTKの高速検索が大量ファイルの中から素早く証拠を絞り込むのに貢献しました。
🎓 教育・学習での活用
セキュリティ専門家の育成機関(SEC504, FOR508 などの SANS コース)では、仮想マシンで作成した「証拠イメージ」を使い、AXIOM や FTK の操作トレーニングが行われています。CTF(Capture The Flag)競技の「フォレンジック問題」でもこれらのツールが活躍します。
8. フォレンジックから身を守る対策
これだけのデータが復元・解析できることを知ると、「自分のプライバシーは?」と心配になる方もいるでしょう。ここでは、正当な目的でプライバシーを守るための対策 を紹介します。
以下の対策はあくまで自分の正当なプライバシーを守るためのものです。捜査機関からの適法な令状に基づく調査を妨害することは違法です。証拠隠滅・証拠隠匿は刑事罰の対象となります。
🔐 ① 暗号化でデータを守る
| 対策 | ツール | 効果 |
|---|---|---|
| ディスク全体暗号化 | BitLocker(Win)/ FileVault(Mac) | パスワードなしではイメージを取っても内容を読めない |
| スマホ暗号化 | iOS標準 / Android標準(Android 10以降) | PINなしでは物理取得しても暗号化されたまま |
| ファイル個別暗号化 | VeraCrypt / 7-Zip(AES暗号化) | 重要ファイルのみ選択的に保護 |
🗑️ ② 安全な削除(ワイプ)を行う
通常の削除では復元できてしまいます。ファイルを完全に消すには 上書き削除 が必要です:
- Eraser(Windows):ファイルを米国DoD基準(DoD 5220.22-M)で複数回上書き削除
- BleachBit(Win/Linux):一時ファイル・ブラウザキャッシュ・空き領域を安全消去
- macOS Secure Empty Trash:macOS Monterey以降は暗号化が前提なので通常削除でもOK
SSDの場合、上書き削除は完全ではありません。SSDにはウェアレベリング(寿命均等化)技術があり、古いデータが予備領域に残ることがあります。SSDの安全消去には製造元提供の「Secure Erase」コマンド(ATA Secure Erase)を使う必要があります。
🌐 ③ 通信プライバシーの強化
- エンドツーエンド暗号化(E2E)チャット:Signal が最もプライバシー設計に優れています。メッセージは送受信者のデバイスにしか復号鍵がなく、サーバーには暗号化データしか存在しません。
- VPN の利用:ISPやルーターのDNSログに閲覧URLが残るのを防ぐ(ただし VPN 業者自体は把握可能)
- Tor ブラウザ:複数のノードを経由して匿名性を高める(速度は低下)
🔑 ④ 強力なパスワード・PIN の使用
FTKのパスワード解析に対抗するには、解析を現実的に不可能にするパスワード強度が必要です:
- 16文字以上のランダム文字列(英大文字・小文字・数字・記号の混合)
- パスフレーズ:「My-Cat-Drinks-7cups-of-Coffee!」のような長い文章形式も有効
- スマホの PIN は 6桁以上(4桁は110万通りで総当たり可能)
- パスワードマネージャー(1Password・Bitwarden)で管理
☁️ ⑤ クラウド同期に注意
削除したはずのファイルが iCloud・Google Drive・OneDrive に同期されていて、そちらから復元される事例があります。定期的にクラウドストレージの「削除済みアイテム」フォルダを確認・完全削除しましょう。
9. 倫理・法律の話 ― 使う前に必ず知っておくこと
⚖️ 日本の法律で何が問題になる?
フォレンジックツールは強力ですが、使い方を誤ると重大な法律違反になります。日本では特に以下の法律に注意が必要です:
| 法律 | 禁止されていること | 違反した場合 |
|---|---|---|
| 不正アクセス禁止法 | 他人のPCやアカウントへ無断でアクセス | 3年以下の懲役または100万円以下の罰金 |
| 個人情報保護法 | 個人情報を本人の同意なく取得・利用 | 行政処分・刑事罰(1年以下の懲役等) |
| 電気通信事業法 | 通信の秘密の侵害 | 2年以下の懲役または100万円以下の罰金 |
| 証拠隠滅罪(刑法104条) | 刑事事件の証拠を隠滅・偽造 | 2年以下の懲役または20万円以下の罰金 |
✅ 適法に使える場面
- ✅ 自分自身のデバイスを自分で調査する
- ✅ 企業が自社の資産(PC・サーバー)を調査する(就業規則・ポリシーに基づく場合)
- ✅ 令状・同意書に基づいて調査する(法執行機関・依頼を受けた専門家)
- ✅ 同意を得た上でのセキュリティ評価・ペネトレーションテスト
❌ 絶対にやってはいけないこと
- ❌ 配偶者・恋人・家族のデバイスを無断で解析する(ストーカー規制法にも抵触)
- ❌ 会社から貸与されたPCを私的に調査する(就業規則確認が必須)
- ❌ 調査目的でデータをコピーして第三者に共有する
- ❌ 得られた情報を脅迫・ハラスメントに使用する
フォレンジックツールを使う資格・認定について:商用ツール(AXIOM・FTK)は法執行機関・企業の認定担当者向けに設計されています。国際資格としては GCFE(GIAC Certified Forensic Examiner)・EnCE(EnCase Certified Examiner)・CHFI(Computer Hacking Forensic Investigator) などがあります。本格的にフォレンジックを業務とするには、これらの取得を強くお勧めします。
10. まとめ
本記事では、デジタルフォレンジックの入門として Magnet AXIOM と FTK の基礎知識・使い方・応用事例・対策・法律まで幅広く解説しました。重要ポイントを振り返ります。
| テーマ | ポイント |
|---|---|
| デジタルフォレンジックとは | デジタル機器の痕跡を科学的に収集・分析する技術。法廷でも使える証拠品質を維持するのが原則。 |
| なぜデータは残る? | 「削除」は目次から名前を消すだけ。上書きされるまでデータは残り、カービング技術で復元可能。 |
| Magnet AXIOM | スマホ・クラウド・PCの統合解析が強み。UI が直感的で学習コストが低い。 |
| FTK | 高速全文検索とパスワード解析に特化。FTK Imagerは無料で試せる。 |
| 主な応用場面 | 内部不正調査・ランサムウェア対応・犯罪捜査・CTF競技など多岐にわたる。 |
| プライバシー対策 | ディスク暗号化・安全な削除・強力なパスワード・Signal などのE2E通信が有効。 |
| 法律・倫理 | 他人のデバイスへの無断解析は不正アクセス禁止法等に違反。必ず適法な範囲で使用すること。 |
🚀 次のステップ ― さらに学びたい方へ
- 📚 書籍:『The Art of Memory Forensics』(Volatility Framework を使ったメモリ解析の決定版)
- 🎓 無料学習:Magnet Artifact IQ(AXIOMの練習問題・CTF形式)
- 🖥️ 実習環境:CyberDefenders・BlueTeamLabs Online でフォレンジック問題に挑戦
- 🏆 資格:CompTIA Security+ → GCFE → EnCE の順で段階的にレベルアップ
- 🆓 無料ツール:Autopsy(オープンソース版フォレンジックスイート)で実践練習
フォレンジックの知識は「攻撃者を理解し、守りを強化する」ためのものです。自分のデバイスに何が残っているかを知ることで、プライバシーリスクへの意識が高まり、より安全な行動習慣につながります。知識は最強のセキュリティツールです。
※ 本記事は教育目的で作成されています。ツールの使用に際しては必ず適用法令を遵守し、第三者のデバイスへの無断アクセスは絶対に行わないでください。掲載情報は執筆時点のものであり、ツールの仕様は変更される場合があります。
コメント