基本情報 平成28年度 秋期 問44：テクノロジ系に関する問題

答えは c「証拠データの原本と複製の同一性を証明する」 です。

ディジタルフォレンジックスは「事件のデジタル証拠を集めて法廷で使う技術」。証拠が改ざんされてないことを証明する必要があり、そのためにハッシュ値（指紋）を使います。

押収時にハッシュを取り、調査用コピーのハッシュと比較→一致なら「原本そのまま」と保証。

👉 覚え方：フォレンジックスのハッシュ＝原本と同じか証明。

ほかの選択肢：a パスワード保存＝認証用途／b 破壊データ復元＝逆引きはハッシュ不可／d 盗聴検証＝別技術。

なぜこれが正解か

正解は c。ディジタルフォレンジックスでは押収した証拠媒体の原本性・完全性の保証が法的証拠能力の基礎。証拠を分析する際は原本を直接扱わずビットイメージ複製を作成して調査するが、その複製が原本と完全に同一であることをハッシュ値（SHA-256等）で証明する。押収時と分析時のハッシュ値が一致すれば、改ざんされていないと数学的に立証可能。

各選択肢の解説

• a 一方向関数でパスワード保存：パスワードハッシュ保存（bcrypt・Argon2等）の用途で、フォレンジックス用途ではない。
• b 改変データの復元：ハッシュは逆計算不可能（一方向性）なので復元はできない。
• c 原本と複製の同一性証明：正解。フォレンジックスでのハッシュ用途。
• d パスワード盗聴の検証：別の技術領域（暗号化通信監視等）。

覚え方・ひっかけ注意

ハッシュ用途3パターン：

1. 完全性検証（改ざん検知）：FIM・フォレンジックス・ファイルダウンロード検証

2. パスワード保存：認証情報の不可逆保存

3. 電子署名：署名対象のダイジェスト作成

「フォレンジックス＝完全性証明＝同一性検証」と覚える。試験ではフォレンジックスのチェーン・オブ・カストディ（Chain of Custody／証拠保全連鎖）との関連も論点。

理論的背景

ディジタルフォレンジックスはコンピュータ犯罪・サイバーインシデント調査における証拠の収集・保全・分析・報告を行う科学的手法体系。NIST SP 800-86が標準ガイドライン。プロセスは特定（Identify）→収集（Collect）→検査（Examine）→分析（Analyze）→報告（Report）の5段階。チェーン・オブ・カストディ（Chain of Custody）で証拠の取扱履歴を完全記録し法的証拠能力を確保。

実務での使われ方

証拠保全の手順：

1. 押収時ハッシュ取得：`sha256sum`等で原本ハッシュ算出・記録

2. ビットイメージ作成：`dd`、FTK Imager、EnCase等で完全複製

3. 複製ハッシュ取得：原本と一致確認

4. 書込防止デバイス使用：原本へのアクセスをRead-only

5. 検査・分析は複製のみ：原本は密封保管

6. 再現性確保：再度ハッシュ取得で改ざんなし証明

主要ツール：

• EnCase：商用フォレンジックスのデファクト
• FTK（Forensic Toolkit）：AccessData社
• Autopsy／Sleuth Kit：OSS
• Volatility：メモリフォレンジックス
• Wireshark：ネットワークフォレンジックス
• X-Ways Forensics：詳細分析

ハッシュ選定：

• MD5・SHA-1：旧来使用、衝突攻撃可能（非推奨）
• SHA-256以上：現代の標準
• ハッシュ衝突攻撃：理論上の懸念だが、実用では問題なし

試験での位置づけ

セキュリティ分野の頻出テーマ。基本情報・応用情報ではフォレンジックスとハッシュの目的、情報処理安全確保支援士ではインシデントレスポンス全般・NIST CSF・MITRE ATT&CK・Cyber Kill Chain・タイムライン解析まで踏み込む。

選択肢の発展補足

フォレンジックスの分類：

• ディスクフォレンジックス：HDD/SSD解析（削除ファイル復元・スラックスペース・MFT解析）
• メモリフォレンジックス：RAMダンプ解析（マルウェア・暗号鍵抽出）
• ネットワークフォレンジックス：パケットキャプチャ解析
• モバイルフォレンジックス：スマートフォン解析（iOS/Android）
• クラウドフォレンジックス：クラウドログ・API・IAM解析
• IoTフォレンジックス：組込み機器解析

アンチフォレンジックス技術への対抗：

• 暗号化ストレージ：BitLocker、FileVault、LUKS（鍵が必要）
• アンチデバッグ：マルウェアの解析妨害
• タイムストンプ：MAC時刻偽装
• ステガノグラフィ：データ隠蔽

インシデントレスポンス全体の中でフォレンジックスは封じ込め後の根本原因究明として位置づけ。NIST SP 800-61 Computer Security Incident Handling Guideのフレームワーク（Preparation・Detection&Analysis・Containment&Eradication&Recovery・Post-Incident Activity）に統合される。法執行機関連携、訴訟可能性まで考慮した法的厳格性の確保が実務上の最重要ポイント。試験対策はハッシュの完全性証明用途＋フォレンジックスプロセス＋関連法令の理解で応用情報・支援士まで対応可能。