サイバー犯罪捜査と デジタルフォレンジック · 踏み台サーバ ipアドレス...
TRANSCRIPT
1
サイバー犯罪捜査とデジタルフォレンジック
警察庁 情報技術犯罪対策課 理事官 河原 淳平
平成18年12月18日
デジタルフォレンジックコミュニティ2006
1. サイバー空間の治安情勢
2
サイバー空間では、サイバー空間では、
○ 身分を明かさず、○ 犯罪の証拠を残すことなく、○ 国際的な規模で、○ 一瞬のうちに、
犯罪を行うことが可能。その被害も広範囲に及ぶことが多い。
■■ 犯罪者から見たサイバー空間犯罪者から見たサイバー空間
2高度化・多様化する犯罪の手口
スピア攻撃フィッシングクロスサイトスクリプティングファーミングスパイウェアボットSQLインジェクション 等
詐欺(オークション、ワンクリック)誹謗中傷知的財産侵害ねずみ講、チェーンメールWinny等による情報流出 等
多様な問題の発生多様な問題の発生
ネット利用の浸透・普及
■■ サイバー空間における脅威サイバー空間における脅威1サイバー空間の特性に根ざす脅威
4潜在的なサイバーテロの脅威
社会・経済活動上重要な
インフラへ
脅威の増大広範な悪影響
禁制品の密売携帯電話飛ばし、銀行口座売買わいせつ画像、児童ポルノ犯罪行為等の助長サイト自殺サイト 等
3違法・有害情報の氾濫
脆弱性の増大財貨情報の流通利便性の向上
3
平成18年上半期のサイバー犯罪の検挙件数は1,802件、前年同期比11.8%増加。半期の件数としては過去最大。
0
500
1000
1500
2000
2500
3000
3500
H12 H13 H14 H15 H16 H17 H17上 H18上
不正アクセス禁止法違反
コンピュータ・電磁的記録対象犯罪
ネットワーク利用犯罪
913
1,3391,606
1,8492,081
3,161
1,6121,802
4,708万人
8,529万人
我が国のインターネット利用人口
■■ サイバー犯罪の検挙状況サイバー犯罪の検挙状況
■■サイバー犯罪の検挙状況(罪名別)サイバー犯罪の検挙状況(罪名別)■■ サイバー犯罪の検挙状況(罪名別割合)サイバー犯罪の検挙状況(罪名別割合)
その他10.8%
商標法違反 5.9%
著作権法違反 2.5%
わいせつ物頒布等 4.8%
青少年保護育成条例違反 3.9%
児童買春・児童ポルノ法違反(児童買春) 9.4%
詐欺40.7%
ネットワーク利用犯罪 83.4%
不正アクセス禁止法違反14.7%
コンピュータ・電磁的記録対象犯罪1.9%
児童買春・児童ポルノ法違反(児童ポルノ) 5.4%
平成18年度上半期のサイバー犯罪検挙件数: 1,802件
733件(前年同期比61件、9.1%増)うち、86.6%が
インターネット・オークション関連
733件(前年同期比61件、9.1%増)うち、86.6%が
インターネット・オークション関連
265件(前年同期比67件、33.8%増)
265件(前年同期比67件、33.8%増)
4
■■ 不正アクセス行為の動機不正アクセス行為の動機
「不正に金を得るため」が265件中230件(約87%)で最大
嫌がらせや仕返しのため 10件
好奇心を満たすため 19件
オンラインゲームで不正操作を行うため 3件
顧客データの収集等情報を不正に入手するため 1件
※ 不正アクセス助長行為 1件
料金の請求を免れるため 1件
不正に金を得るため不正に金を得るため 230230件件※ 平成18年上半期の不正アクセス禁止法違反による検挙の内訳
■■ 不正アクセス行為に係る犯行の手口不正アクセス行為に係る犯行の手口
H18上半期検挙件数計264件
フィッシングサイトにより入手したもの102件(38.6%)
識別符号を知り得る立場にあった元従業員や知人等によるもの35件(13.3%) 利用権者のパスワード
の設定・管理の甘さにつけ込んだもの115件(43.6%)
・スパイウェア等のプログラムを使用して識別符号を入手したもの ・・・・ 4件・ファイル交換ソフトや暴露ウィルスで流出した識別符号等を利用したもの 3件・言葉巧みに利用権者から識別符号を聞き出した又はのぞき見たもの ・・・ 2件・他人から識別符号を購入したもの ・・・・・・・・・・・・・・・・・・ 2件・その他 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・ 1件
※ 手口はすべて識別符号窃用型であり、セキュリティ・ホール攻撃型はなかった
前年同期は1件前年同期は1件 前年同期は64件(約1.8倍に増
加)
前年同期は64件(約1.8倍に増
加)
前年同期は12件(約2.9倍に増加)
前年同期は12件(約2.9倍に増加)
5
■■ 企業・組織に関係する事件例①企業・組織に関係する事件例①
元職員による不正アクセス・電子計算機使用詐欺
元会社員の男(44)は、退職前に知り得た識別符号を利用してインター
ネットバンキングに不正アクセスし、元の勤務先会社名義の口座から510万
円を配偶者名義の口座へ送金操作を行って、財産上不法の利益を得た。
平成16年2月、この男を電子計算機使用詐欺罪で逮捕した(警視庁)。
元会社員の男(44)は、退職前に知り得た識別符号を利用してインター
ネットバンキングに不正アクセスし、元の勤務先会社名義の口座から510万
円を配偶者名義の口座へ送金操作を行って、財産上不法の利益を得た。
平成16年2月、この男を電子計算機使用詐欺罪で逮捕した(警視庁)。
従業員による電子計算機使用詐欺
清掃管理員の男(53)は、農業協同組合において貸付業務に従事していた際、
架空の貸付事実を作出し、その貸付金相当額をオンラインシステムの端末機
を操作して自己が不正に開設した普通預金口座に入金し、合計3,160万円相
当の財産上不法の利益を得た。
平成17年3月、この男を電子計算機使用詐欺罪で逮捕した(秋田)。
清掃管理員の男(53)は、農業協同組合において貸付業務に従事していた際、
架空の貸付事実を作出し、その貸付金相当額をオンラインシステムの端末機
を操作して自己が不正に開設した普通預金口座に入金し、合計3,160万円相
当の財産上不法の利益を得た。
平成17年3月、この男を電子計算機使用詐欺罪で逮捕した(秋田)。
■■ 企業・組織に関係する事件例②企業・組織に関係する事件例②
元職員による電子計算機使用詐欺
元団体職員の男(28)は、在職中に、自分が勤務していた農業協同組合のオ
ンラインシステムを不正に操作し、組合員の共催掛金総額約 513万円を自分
や母親名義の貯金口座に振り込んで、財産上不法の利益を得た。
平成18年5月、この男を電子計算機使用詐欺罪で逮捕した(新潟)。
元団体職員の男(28)は、在職中に、自分が勤務していた農業協同組合のオ
ンラインシステムを不正に操作し、組合員の共催掛金総額約 513万円を自分
や母親名義の貯金口座に振り込んで、財産上不法の利益を得た。
平成18年5月、この男を電子計算機使用詐欺罪で逮捕した(新潟)。
従業員によるキーロガー使用の不正アクセス
会社員の男(26)は、オンラインゲーム上のアイテムを収集する目的で、勤
務先のインターネットカフェのコンピュータにキーロガーを仕掛け、同店を
利用した客の識別符号を入手し、同店のコンピュータから客になりすまして
オンラインゲーム会社のコンピュータに不正アクセスを行った。
平成18年5月、この男を不正アクセス禁止法違反で逮捕した(岡山)。
会社員の男(26)は、オンラインゲーム上のアイテムを収集する目的で、勤
務先のインターネットカフェのコンピュータにキーロガーキーロガーを仕掛け、同店を
利用した客の識別符号を入手し、同店のコンピュータから客になりすまして
オンラインゲーム会社のコンピュータに不正アクセスを行った。
平成18年5月、この男を不正アクセス禁止法違反で逮捕した(岡山)。
6
2.サイバー犯罪の捜査
掲示板書込
管理者B
踏み台サーバ踏み台サーバ
IPアドレスAAA.BB.56.78
管理者A
掲示板サイト掲示板サイト △△掲示板○○スレ・・・・9 ネオウーロン茶 200X/11/XX 12:03
明日、XXXを殺しに行きます。
管理者C
プロバイダプロバイダ
((ISPISP))
接続記録
契約記録
ISPが誰にどのIPアドレスを割り当てたのかは、通信記録(ログ)に記録される(保存期間は概ね3箇月程度)
ISPが誰にどのIPアドレスISPが誰にどのIPアドレスを割り当てたのかは、を割り当てたのかは、通信記録(ログ)に記録さ通信記録(ログ)に記録される(保存期間は概ね3箇れる(保存期間は概ね3箇月程度)月程度)
接続記録
①証拠保全、ログ差押え
接続記録
②ログ差押え
③発信者情報の差押え
IPアドレスXX.YYY.123.4
発信者Z
XX.YYY.123.4を割当
インターネット接続
④特定
④特定
IPアドレス等を順にたどって発信者の特定を図る(迅速な捜査の必要性)
IPアドレス等を順にたどってIPアドレス等を順にたどって発信者の特定を図る(迅速な発信者の特定を図る(迅速な捜査の必要性)捜査の必要性)
捜査機関
■■ インターネットにおける発信者の追跡
7
■■事例:フィッシング利用広域詐欺事件①
無職の男は、レンタルサーバ上にフィッシングサイトを構築した上でインターネットオークション会員約5,500人に対し、フィッシングメールを送り付け、運営会社からのメールと誤信した会員が同サイトに入力したID、パスワード約500個を不正に入手。入手したID等を使用して利用権者になりすまし、本人確認のな
いネットカフェを使用してネットオークション上で詐欺を敢行。
①フィッシングによる識
別符号の不正入手
①フィッシングによる識
別符号の不正入手
被疑者
インターネットオークション
詐欺被害者
③ 落札・詐欺
利用権者
②出品
④ 商品送付送付指定場所(他人の住居)
⑤ 落札商品抜き取り
金券、商品券等
詐欺の手口は、実在する利用権者になりすまし、ネットオークションで商品券、旅行券などを落札し、あらかじめ下見をしておいた長期不在の他人の住居や集合住宅の郵便受に送達させて、同所から抜き取るというもの。
出品者に対してはオークション会社を装って決済完了のメールを送るなどして欺罔。
捜査班は金券等の出品に注目し、低額の商品券等の落札を発見するごとにオークション会社に対し落札者の情報を照会。
■■事例:フィッシング利用広域詐欺事件②
ネットオークション運営会社警 察
8
「被疑者が他人の住居の郵便受けから落札した商品を抜き取るときに捕捉する。」という、捜査方針の下、張り込みによる現場検挙
○アパート
落札したとされる正規の利用権者へ問い合わせた結果、落札の事実がない場合は、出品者に対し商品の送付場所を照会。犯人捕捉のため、指定された送付場所に捜査員を急派。
数回にわたる空振りの後、某集合住宅の集合郵便受けにおいて、ネットカフェの防犯ビデオに映っていた人物と酷似する人着の男を発見。住居侵入の現行犯で逮捕。
郵便受けから抜き出した商品を手にしていたことから追及したところ犯行の自供に至った。
■■事例:フィッシング利用広域詐欺事件③
■■ サイバー犯罪の捜査
1 サイバー空間上の捜査と現実空間での捜査とで構成
① サイバー空間上の捜査
・ データの収集及びその解析
・ 必要なデータが残されていることが前提
② 現実空間での捜査(アナログ捜査)
・ 張り込み、聞き込み等通常の捜査
・ 残されている証拠を頼りに被疑者を特定
2 徹底した匿名性を保持した計画的な犯行では、被疑者の特定が困難
9
基礎捜査 被疑者特定のための捜査 被疑者特定後の捜査
○関係者からの事情聴取~被害者、IDの利用権者、プロバイダ、関係者等
○電磁的記録の差押え等~IPアドレスに関する照会
ログ等の保全・差押え
○電磁的記録の解析~可視化・可読化を含む
○契約者情報の入手※インターネットカフェの場合は犯罪
に使用された端末の利用者の特定
○被疑者関連情報の収集~銀行口座、防犯カメラの画像等の分析
○被疑者の割り出し~被疑者の行動確認等
○取調べ~被疑者、共犯者、参考人の取調べ
○裏付け捜査~電磁的記録の解析、再現実況見分等
■■ サイバー犯罪捜査の3要素
追跡可能性の確保 匿名性の打破
手 法 ・ 手 続 き の 適 正 性 の 証 明
証拠の収集犯罪の認知 犯行に使用された端末の特定
被疑者の検挙
端末使用者の特定
電磁的記録の解析
ログ等記録の解析
追跡可能性の確保 犯罪認知時には、通信ログ等の電磁的記録を収集・分析し、残された犯人の足跡を辿り、犯行に使用された端末を特定することが必要。
問題点
方向性
① 機器の仕様や運用者の設定により保存される記録の内容や保存期間に差異があり、犯罪の立証に不可欠な情報が記録・保存されていない場合も少なくない。
② 大量の記録の中から真に必要な情報を抽出することが困難。
③ 記録の保全や収集の作業のため関係者の業務に支障を来す場合がある。
① 記録が一定期間保存される仕組みの導入
② 大量の記録の中から必要な情報を取り出す仕組み・技術の導入
③ 記録の保全・収集に当たって関係者の業務への影響を最小限に抑える仕組み・技術の導入
■■ 追跡可能性
10
■■ 捜査の障壁となるもの
① インターネットカフェ ② 無線LAN
③ データ通信カード ④中継サーバ等 ⑤フリーメール
■■ 匿名性
犯罪者が犯行に利用した端末を特定した後に、その端末をだれが使用していたのかを特定することが必要。
匿名性の打破
問題点
方向性
コンピュータ使用者の特定に当たっては、次のような障壁が存在。
① プリペイド式データ通信カード~購入時の身分確認が不要なもの② インターネットカフェ~利用者の本人確認を行っていない店舗③ 無線LAN~使用者制限をかけていないもの
④ 中継サーバ⑤ フリーメール
① プリペイド式データ通信カード購入時の身分確認の確実な実施
② インターネットカフェにおける利用者の本人確認の実現
③ 無線LANのセキュリティ設定が自動的になされる仕組みの導入
11
■■ 証拠の収集手続きや解析手法の適正性
犯罪捜査のそれぞれの過程において、犯罪行為や犯罪者の足跡といった犯罪者の行動を特定するために用いた証拠の収集手続きや解析手法の適正性を示すことが必要。
適正性の証明
問題点
方向性
① 国内外を問わず法執行機関で共通の標準がない。
② 先端技術に対応できる人材や装備資機材が万全とはいえない。
① 法執行機関共通の解析マニュアルの作成
② 外国機関との連携・情報共有
③ 民間企業等との技術協力
④ 人材育成、装備資機材の拡充
3.サイバー犯罪捜査とデジタルフォレンジック
12
■■ サイバー犯罪捜査における課題サイバー犯罪捜査における課題
1 データの保存・収集に係るもの・ 記録が一定期間保存される仕組みの導入・ 大量の記録中から必要な情報を取り出す仕組み・技術の導入・ 記録の保全・収集に当たって関係者の業務への影響を最小限に抑える仕組み・技術の導入
2 利用者の本人確認に係るもの・ インターネットカフェやインターネット接続環境のある公共施設等における利用者確認の実現
3 証拠の収集・解析手法の適正性の証明に係るもの・ 法執行機関共通の解析マニュアルの作成・ 外国機関・民間企業等との協力連携・ 人材育成、装備資機材の拡充
■■ サイバー犯罪条約サイバー犯罪条約
サイバー犯罪から社会を保護し、サイバー犯罪の深化・まん延に効果的かつ迅速に対処する国際協力を行い、共通の刑事政策を採択することを目的としたもの。
1997年 4月 条約交渉開始
2001年11月 ハンガリー・ブダペストにて署名式開催(我が国は他のG7諸国とともに署名)
2006年4月現在 署名国42カ国(うち締約国13カ国:アルバニア、クロアチア、エストニア、ハンガリー、リトアニア、ルーマニア、スロヴェニア、マケドニア旧ユーゴスラビア、キプロス、ブルガリア、デンマーク、フランス、ウクライナ)
刑事手続法(捜査手段の整備等)
コンピュータ・・データの保全、提出命令、捜索、押収等の手続き
国際協力
捜査共助、犯罪人引渡し等
刑事実体法(犯罪化)
違法なアクセス・傍受、コンピュータ・システムの妨害、ウィルスの製造等の犯罪化
国境を越えたサイバー犯罪の防止・抑圧のための国際的枠組み
13
差押許可状
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
コンピュータの差押えに代えて,データをCD-R等に複写・移転・印刷し,CDCD--RR等を差し押さえる等を差し押さえること
を可能とする
差押えの執行方法の整備差押えの執行方法の整備
記録命令付き差押許可状
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
CD-R等への記録を命令 必要なデータを記録 捜査機関によるCD-R等の差押え
記録命令付き差押えの制度記録命令付き差押えの制度
コンピュータ自体の差押え
業務に著しい支障を生じさせることがある。無関係なデータも記録されている。
■■サイバー犯罪条約による刑事手続法の整備①サイバー犯罪条約による刑事手続法の整備①
現行法上,差押えの対象は有体物のみ
コンピュータの差押え・検証
捜査機関による自力執行は困難なことがあるシステムの保護にも配慮する必要
被処分者に必要な協力を要請必要な協力を要請できるものとする。
協力要請の明確化協力要請の明確化
ネットワーク犯罪ネットワーク犯罪
通信ログ通信ログ
犯人の特定などのためには通信ログの確保が重要一般的に短期間で消去される
Mon Apr 15 12:15:30 12.34.56.78 /abc/def/ftp1/ghi/index.htm i xy0123
プロバイダ等に対し,業務上記録している通信履歴業務上記録している通信履歴の電磁的記録(通信ログ)を消去しないように要請消去しないように要請できるものとする
保全要請の制度保全要請の制度
コンピュータの複雑性
■■サイバー犯罪条約による刑事手続法の整備②サイバー犯罪条約による刑事手続法の整備②
14
・ 電子機器の社会生活へのさらなる普及
・ 司法制度改革
~被疑者国選弁護人制度、裁判員制度の導入
・ サイバー犯罪条約の締結
~捜査共助要請の増加
解析結果
裁判官
その電磁的記録が改ざんされていないことを証明して下さい。
電磁的記録を解析した結果はこのようになりました。
ENCASE
■■ 証拠の収集手続きや解析手法の標準化証拠の収集手続きや解析手法の標準化
1985 1990 20001995 2005
情報システム安全対策指針(S61) (H9改正)(H11改訂)
コンピュータ・ウィルス等不正プログラム対策指針(H1)
刑法改正(コンピュータ犯罪関係) (S62)
G8 リヨンG High-Tech Crime SG (1997~)
欧州評議会 サイバー犯罪条約署名(2001)
不正アクセス行為の禁止等に関する法律(H11)
■■ サイバー犯罪等への対応サイバー犯罪等への対応
警察庁情報セキュリティ政策大系(H12)
警察庁情報セキュリティ重点施策プログラム2005(H17)
治安回復に向けた7つの重点(H18)
(H16改訂)
15
■■ 治安再生に向けた7つの重点治安再生に向けた7つの重点
1 安全・安心なまちづくり
2 重要犯罪等に対する捜査の強化
3 組織犯罪対策・来日外国人犯罪対策
4 テロ対策と諜報事案対策
5 サイバー空間の安全確保
6 政府目標達成に向けた重点的な交通安全対策
7 治安基盤の強化
■■ デジタルフォレンジックの確立に向けてデジタルフォレンジックの確立に向けて
治安再生に向けた7つの重点(平成18年8月)
5 サイバー空間の安全確保
○ 効率的かつ効果的な捜査等の推進
電磁的記録の解析に係る知見の集約・体系化、外国
関係機関、民間企業等との技術協力の実施等により、デジタルフォレンジック(犯罪の立証のための電磁的記録の解析技術及びその手続き)の確立に向けた取組みを推進する。
知見の集約・体系化 外国関係機関・民間企業等との技術協力
体制・装備資機材の拡充・強化
16
デジタルデータだけでは確実なことはわからないため、現実空間での捜査が不可欠。
それでも、サイバー空間上の捜査は極めて重要。
サイバー空間上の捜査の根幹をなすデータの収集・解析について次のような取組みが必要。
・ データの保存・収集に当たって業務への影響等の障壁を解消できる仕組み・技術の開発
・ データの収集・解析方法に係る標準作り
■■ まとめまとめ
デジタルフォレンジックに係る産・学・官の連携をさらに推進
http://www.npa.go.jp/cyber/