"Digital Forensics in Europe" Nicolas DLVINAGE

Nicolas DLVINAGEさんは、フランスでフォレンジックに関する調査および研究を実施している国家警察の機関 IRCGN(Institut de recherche criminelle de la gendarmerie nationale)の人。またヨーロッパにおける法執行機関が協力して活動していくための組織であるENFSI(European Network of Forensic Science Institute)のWGで vice-presidentを務めているらしい。

講演内容は、(1) ヨーロッパの法執行機関におけるデジタルフォレンジックに関わる組織体制についてと、(2) ヨーロッパにおけるデジタルフォレンジックの動向について、の2つ。

まず組織の話。
ヨーロッパには40以上の国(EU加盟27ヶ国を含む)があり、各国によって警察組織の形態もかなり異なる。

• 1つの国家警察と多数の地方警察があり、フォレンジックについても各地方で対応している国 ⇒ ドイツ、イギリス、オランダ、ベルギー (日本もこれ)
• 2つの国家警察があり、それぞれでフォレンジックについて対応している国(1つは軍、1つは民間が対象) ⇒ フランス、スペイン、ポルトガル
• 3つの国家警察がある国 ⇒ イタリア

フォレンジックへの対応については、警察の捜査官が一緒にやる国もあれば、明確に担当をわけている国もある。またフォレンジックラボがどこの管轄下にあるかも国よってまちまちである。

ヨーロッパ各国の法執行機関の協力体制も不可欠であり、目的の異なるいくつかの組織が活動を行っている。

• Europol
• Interpol EWPITC (European Working Party on IT Crime)
• ENFSI (European Network of Forensic Sciences Institutes)

ENFSIでは、フォレンジック調査に必要となる機材(非常に高価なものもある)の相互利用や、調査担当者へのトレーニングなどの協力が行われている。

次に技術的な動向の話がいくつか。
(1) GSM携帯のフォレンジックについて。対象となるのは主に3つ。

1. SIMカード
2. ハンドセット (携帯本体)
3. リムーバルメディア (SDカードなど)

それぞれ格納されている情報や、調査に必要となる技術などが異なる。なんらかの理由で破壊されてしまった携帯やパスワードで保護されている携帯のフォレンジックなどもいろいろと手法が研究されている。JTAGを使ったり、FTL(Flash Translation Layer)とファイルシステムをリバースエンジニアリングで解析したり。

日本は非常に特殊な環境で、携帯の通信事業者もメーカーもぼぼ全て国内に閉じている。そのため、なにかの事件で携帯のフォレンジックが必要になった場合でも、法執行機関がこれらの会社にデータの抽出や解析を命令することも可能。しかしヨーロッパでは複数の国をまたがった犯罪も多く、他国の企業にこのような命令を強制させることは難しい。そのため各国の捜査機関が自前でフォレンジックを実施することが多い。

(2) 銀行のキャッシュカードのスキミングについて。日本と状況はほぼ同じ。ICチップがはいったよりセキュアなカードもあるが、磁気情報も以前多い。偽のキーボードやマイクロカメラを設置して、利用者のPINコード(暗証番号)を盗むケースもある。

(3) P2Pネットワークについて。ヨーロッパでは北部でDC++、南部でeMuleが普及している。また北部や東部ではIRCの利用も多い。

(4) コンピュータフォレンジックについて。ファイルシステムの解析には、EnCase, FTK, ILook, X-Ways, IsoBuster Proなどのツールを利用。HDDの修復にはACE PC 3000というロシアのツールを利用している。たぶんこれのこと。

(5) フォレンジックの対象の拡大について。今後対応が必要になってくる領域。

• RFIDパスポート
• Chip IDカード
• プリンタやコピー機
• 自動車の電子機器

最後に、各機関が独自に調査研究をすすめるだけでなく、Private ⇔ Public, academic ⇔ police, public ⇔ publicなどの連携が今後も必要不可欠ということを強調していた。

Technorati: デジタル・フォレンジック