サイバー犯罪とデジタル捜査

• 脅威情報
• 2010.11.10
• 更新日：2018.4.26

フランスのトロワ工科大学が、サイバー犯罪に取り組む捜査官、検察官、法律の専門家を対象に、デジタル捜査をテーマにした第4回French-Speaking Days on Digital Investigationsを開催しました。会議の参加者は全員、AFSIN（Francophone Association for Digital Investigation）の会員でした。

会議では、このような分野における管理改善に関して通常の発表が行われたほか、未成年者の保護について、また小児愛者の正体を暴いて罪を実証するのに使われるツールに関してなど、様々な講演が行われました。

（出典：パリ警察本部）

サイバー犯罪容疑者の捜査は、警察が容疑者を拘束できる48時間以内に完了させることが難しい仕事です。主な問題は、警察が分析しなければならないデータの量です。

平均的な容疑者の所有物は以下の通りです。

• 5台のハードディスク
• 140枚のCDまたはDVD
• 17枚のフロッピーディスク
• 4つのメモリーカード、USBメモリー

自宅や事務所を家宅捜査する際、USBメモリーの発見は常に難題です。ペン、ライターなど、調べるのが難しい場所に隠すことができるからです。

また、一企業における記録量は膨大になるケースがあります。

• 最大31台のハードディスク
• 14テラバイトのデータ
• 250万枚の写真
• 捜査対象のMSNメッセンジャーの連絡先が11,000件

秩序ある手順、自動化、情熱があって初めて、捜査で成果を挙げることができます。セキュリティ上の理由から、警察の児童虐待の画像スキャナーの特徴を説明することはできませんが、警察は非常に優れたテクノロジーを使用しています。既知の無害な画像と「違法な」画像の計算済みのハッシュを検索するだけでなく、類似点に基づいて画像や映像を分析し、児童への性的虐待の要素を見つけ出して分類します。2009年には訴訟が200件、逮捕が70件あり、これらのPCは24時間稼働していました。

別の講演では、Facebookの捜査が取り上げられました。捜査は3つの領域で行うことができます。

• • ユーザーのPCにローカルで格納されたデータ（クッキー、トレース）を分析。インターネットに接続した痕跡を探し、科学捜査の手法を使用することで、明らかにすることができます。
  • ユーザーに知らせて、あるいは知らせずに、サーバーに格納されたデータ（作成時のIPアドレス、接続時のIP、連絡先など）を提供するようFacebookに要請。subpoena[@]facebook.comから要請すると、前向きな対応が得られる場合があります。Facebookの法執行に関するガイドラインの文書は部外秘ですが、実際には多くの版がインターネットで公開されています。

• ユーザーによって故意に残されたデータを照会。この情報は公共エリアでも見られますが、Facebook Query Language、Graph API、Old REST APIといった一連のAPIやツールを使って入手できます。スクリプティング言語を使用することで、検索を自動化することができます。

さらに、Graph APIを使うと、テーブルに含まれていない複数の写真のメタデータ情報も抽出できます。違法な写真を保持しているユーザーや組織を分析する際に非常に有用な機能です。

最近、警察と犯罪者のサイバー知識の圧倒的な差に関する記事を頻繁に目にします。犯罪者は、犯罪を阻止しようとする人たちの遥か先を行っているという人もいます。しかし、トロワ工科大学では、警察の捜査がこれまでよりもずっと洗練されたものに変わってきたことを目の当たりにしました。予算に限りがある中、法執行機関は可能な限りのあらゆる最新機材を利用し、セキュリティ業界、裁判所と緊密に連携しています。