컴퓨터 포렌식이란?조사의 흐름, 필요성 등을 소개
2023년 7월 28일【Webinar】최신의 미국 사법성(DOJ)의 기업의 단속의 방침과 일본 기업에의 영향에 대해 Part 2 [자막]
2023년 8월 1일횡령 등의 사내 부정이나 기밀 정보의 누설 등, 어느 기업에서도 발생할 수 있는 부정이나 사건.이것들을 미연에 막아, 유사시에는 적절히 해결하는 수단으로서 메일이 대상이 되는 포렌식 조사의 주목도가 높아지고 있습니다.여기에서는 메일을 대상으로 한 포렌식의 기초 지식으로부터 조사의 프로세스, 구체적인 사례를 소개합니다.
포렌식 조사, 디지털 포렌식이란?
포렌식 조사는 사내 부정이나 정보 유출 등의 사고가 발생했을 때 실시하는 감식 조사입니다.특히 디지털 장치에 저장된 데이터를 분석하여 부정 등의 증거를 밝히는 조사는 디지털 포렌식(Digital forensics: 컴퓨터 법의학)이라고 하며, 이는 컴퓨터는 물론 스마트폰이나 태블릿 등 디지털 데이터를 대상으로 라고 하는 포괄적인 개념으로서 사용되고 있습니다.
메일을 대상으로 하는 포렌식 조사의 경우
법의학 조사와 혼자서 말하더라도 실제로는 다양한 내용의 것이 있습니다.그 중에서도 메일은 모든 기업에서 업무 진행에 빠뜨릴 수 없는 교환의 대부분이 이루어지고 있는 도구로 메일의 송수신 이력이나 삭제된 메일을 대상으로 한 조사도 자주 이루어집니다.
메일을 대상으로 하는 포렌식 조사가 필요한 경우
메일을 대상으로 하는 포렌식 조사가 필요한 대표적인 인시던트는 다음과 같습니다.언제, 누구와, 어떤 내용의 교환이 있었는지, 어떤 데이터를 첨부했는지, 등의 사실이 조사됩니다.
・거래처와 부정이 있다고 하는 내부 통보가 있어, 그 증거를 메일로부터 얻고 싶다.
・메일 경유로 정보 유출되었을 가능성이 있어, 그 경로나 내용을 확인하고 싶다.
・사원의 취업 상황의 실태 확인을 위해서, 복구한 메일의 이력을 쫓고 싶다.
포렌식 조사는 자사 대응이 아닌 조사 회사와 상담
메일의 포렌식 조사를 자사에서 끝내려고 하면, 중요한 증거 데이터를 덧쓰기해 버리거나, 불필요하게 PC를 움직여 바이러스를 실행시켜 버리거나, 한층 더 피해를 확대해 버리는 위험성도 있습니다 .그리고 자사 조사 그 자체가 불리한 데이터를 숨기거나 개조한 것은?어쩔 수 없는 의심을 받는 것에도 연결될 수 있습니다.원래 방대한 수가 되는 경우가 많은 메일 건수를 자사에서 조사하는 것도 현실적이지 않고, 전용 툴과 노하우를 가지고, 신속하게 조사를 할 수 있는 제XNUMX자의 전문업자에게 상담하는 것이 바람직합니다.
메일을 대상으로 한 포렌식 조사의 방법과 흐름
포렌식 조사의 공정에 대해서, 메일이 대상이 되는 경우를 중심으로 조사의 방법이나 흐름을 소개합니다.
· 청각
먼저 인시던트의 내용을 청취합니다.어떤 인시던트에서 관계자는 몇 명으로, 어느 부서에 관련되어 있는지 등의 조사 대상, 조사 항목 등 포렌식 조사의 범위를 정합니다.메일의 경우, 메일 데이터를 서버나 컴퓨터 등 단말기로부터 취득하는지, 또는 양쪽으로부터 취득하는 것도 고려합니다.메일 데이터를 복원할지 여부도 이 시점에서 검토합니다만, 복원 대응이 실시되는 경우가 많습니다.
· 데이터 보전 · 처리
많은 증거가 존재하는 메일은 데이터를 적절히 보존하고 신중하게 조사를 진행해야 합니다.본문 등의 텍스트 데이터뿐만 아니라 메타데이터라고 불리는 메일의 헤더 부분 정보, 소위 메일의 송신자, 수신원, 일시, IP 주소, 사용된 메일 서버 등에 관한 정보도 보전의 대상입니다.
・조사・해석(리뷰)
보전·수집한 데이터를 적절한 순서로 조사·해석하여 원인이나 증거가 될 수 있는 정보를 추출합니다.
・보고
조사 결과를 정리한 보고서를 작성합니다.향후 취해야 할 대응 제안이 포함될 수 있습니다.
메일의 포렌식 조사에 필요한 비용·시세에 대해서
법의학 조사에는 높은 수준의 전문 지식이 필요합니다.메일의 포렌식 조사를 벤더에게 의뢰했을 경우, 데이터 처리나 검색의 비용, 그리고 증거가 될 수 있는지의 분석·해석(리뷰)이나 데이터 호스팅등이 비용의 내역이 됩니다만, 일반적인 포렌식과 같이, 일반적으로 검토 과정은 비용의 대부분을 차지합니다.최종적인 금액은 조사 범위, 조사 내용에 의해 크게 바뀌어, 수만엔~수백만엔으로 상당히 폭이 있습니다.또한 조사에 AI를 이용하는 인지도 최근에는 확산되고 있으며, AI를 활용하여 조사를 비약적으로 효율화함으로써 대폭적인 비용 이점을 얻을 수 있습니다.
AI를 이용한 메일 포렌식 조사의 장점
방대한 메일의 조사를 필요로 하는 메일 포렌식에 있어서는, AI(인공 지능)의 활용이 유효합니다.빠르고 누출이 적은 정밀도가 높은 조사가 가능해지는 등 AI의 장점은 헤아릴 수 없습니다.
지금까지 많은 메일 포렌식 조사를 다루어 온 FRONTEO에서는, 자사에서 개발한 AI(인공 지능) 엔진 KIBIT로 조사를 실시합니다.사람의 뛰어난 판단 능력의 구조를 탐구한 알고리즘으로 방대한 메일 문서에서 부정하게 해당하는 문면을 추출해 나갑니다.
메일 포렌식의 구체적 사례
메일 법의학은 어떤 사건에 유효합니까?조사가 필요한 대표적인 사례와 FRONTEO가 실제로 해결에 이끈 사례를 소개합니다.
조사 사례에 대한 자세한 내용은법의학 조사 페이지의 사례도 봐 주세요.
메일 데이터 복원
한 기업의 영업 담당이 사용 PC에 들어 있던 매출 관련 데이터·고객 명부·고객과 교환한 메일 데이터를 소거해 버려, 메일의 복원과 PC의 조기 반환을 희망한 안건. FRONTEO는 아침에 PC를 수령하고 증거 보전을 실시하고, 저녁에는 PC를 반환.복원 작업은 여러 툴로 대응하여 관련 문서 및 메일 복원에 성공했습니다.
횡령이나 킥백 등의 부정조사
A사의 사원의 소행이 화려하다는 지적이 거래처의 B사로부터 들어가 조사한 결과, 청구액과 지불액에 충격이 있는 것이 발각.해당 사원에게 인지되지 않고 사내 메일을 조사하면 킥백을 하고 있는 다른 인물의 존재를 확인.메일상에서는 「은어」가 사용되고 있었습니다만, AI 엔진 KIBIT에 의해 공범 관계를 확인.사정청취의 결과, 관계자는 형사고소되었습니다.
보안 사안에 관한 조사
거래처의 C사로부터 「D사를 자칭하는 의심스러운 메일이 도착하고 있다」라고의 연락을 받아 조사하면, 고객 정보가 보존되고 있는 업무 관리 시스템 전용의 단말로부터 바이러스를 검출. FRONTEO는 단말 내에 남아 있는 바이러스의 흔적 조사 및 네트워크 로그로부터 바이러스의 상세를 분석.해당자에게 「수상한 메일에 대한 주의와 사과」를 하는 것과 동시에, 사원에 대해서 인시던트 리스폰스 트레이닝도 실시해, 재발 방지 대책을 도모했습니다.
자사 개발 AI를 이용한 FRONTEO의 포렌식 조사
문제가 일어나고 나서, 포렌식 조사회사를 찾고 있어도 신속한 대응이라고는 할 수 없습니다.미리 인시던트를 상정해, 포렌식 조사에 있어서 실적이 있는 서비스 벤더에 상담해 두는 것이 현명합니다.
포렌식 벤더는 다수 있습니다만, FRONTEO는 자사 개발의 AI(인공 지능) 엔진 KIBIT를 이용하는 것이 최대의 포인트.지금까지 많은 포렌식 조사를 다해 온 FRONTEO에서는 메일 조사에서도 자사 개발 AI 엔진 KIBIT에서 조사를 실시하여 사람의 뛰어난 판단 능력의 구조를 탐구한 알고리즘으로 방대한 메일 문서에서 부정하게 해당 문면을 추출합니다.정보 유출, 데이터 변조, 횡령·킥백, 노무 문제, 괴롭힘 문제, 보안 사안…폭넓은 기업의 문제를 조기에 발견·해결하겠습니다.