JP2016177525A - デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム - Google Patents

デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム Download PDF

Info

Publication number
JP2016177525A
JP2016177525A JP2015057064A JP2015057064A JP2016177525A JP 2016177525 A JP2016177525 A JP 2016177525A JP 2015057064 A JP2015057064 A JP 2015057064A JP 2015057064 A JP2015057064 A JP 2015057064A JP 2016177525 A JP2016177525 A JP 2016177525A
Authority
JP
Japan
Prior art keywords
storage medium
digital evidence
information processing
evidence creation
creation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015057064A
Other languages
English (en)
Other versions
JP6559984B2 (ja
Inventor
康也 浦口
Yasunari Uraguchi
康也 浦口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kumanan Pcnet Inc
Original Assignee
Kumanan Pcnet Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kumanan Pcnet Inc filed Critical Kumanan Pcnet Inc
Priority to JP2015057064A priority Critical patent/JP6559984B2/ja
Publication of JP2016177525A publication Critical patent/JP2016177525A/ja
Application granted granted Critical
Publication of JP6559984B2 publication Critical patent/JP6559984B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

【課題】デジタル証拠作成に係る作業性を向上し、作業専門性を緩和する。【解決手段】情報処理装置に接続して用いるデジタル証拠作成装置であって、デジタル証拠作成プログラムが記憶された第1記憶媒体を備え、前記第1記憶媒体の前記デジタル証拠作成プログラムを前記情報処理装置が実行することにより、前記情報処理装置は、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する機能と、当該解析用記憶媒体の作成に係る動作履歴を記録する機能と、前記原記憶媒体の機器固有情報を記録する機能と、前記情報処理装置に対するデジタル証拠作成に係る操作入力を記録する機能と、を実現することを特徴とするデジタル証拠作成装置。【選択図】図3

Description

本発明は、デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラムに関する。
近年、インターネット環境等の通信環境の発達に伴い、パーソナルコンピュータやスマートホン、タブレット端末等の情報処理装置の普及率が劇的に高まっている。このため、情報処理装置に記録されたデータが捜査や裁判等において証拠資料となるケースも増加しており、情報処理装置の記録媒体を法的証拠能力が認められる形で保全し、その法的証拠能力を保持しつつ、記録媒体のデータを複製したり解析したりする技術(デジタル・フォレンジック)が重要になってきている。
ここで、情報処理装置に記録されるデータは主としてHDD(Hard Disk Drive)やSSD(Solid State Drive)、USBメモリ等の補助記憶媒体に記録されており、補助記憶媒体は電源を供給しなくても記憶を保持できる不揮発性記憶媒体の構成である。
情報処理装置は、操作や通信等の何らかの入力が行われたり、起動(再起動を含む)や終了(スリープやサスペンド等の一時的な停止も含む)等が行われたりすると、補助記憶装置に記録された情報の一部(タイムスタンプ等)を自動的に書き換える構成になっている。
情報処理装置に記憶されたデータの自動的な書き換えは、様々なタイミングで行われるため、情報処理装置に記録されたデータを、証拠性を保持した状態で適切に保全したり複製したりするためには、このような自動的な書き換えが起こらないように慎重に行う必要があり、コンピュータに関する高度な専門知識が要求されていた。
また、上述したように、情報処理装置の記憶装置内のデータの証拠解析を行うには、そのデータを読み出す必要があるが、記憶装置のデータの読み出し処理を行うべくアクセスするとデータ自体が変更される恐れがあるため、証拠解析用にデータの複製を作成する必要がある。このとき、複製データと原本データとの同一性が確保されなければならず、意図的なデータの改竄のみならず、意図しないデータの変更も排除しなければならない。
従って、複製データの作成は、情報処理装置にインストールされているOSが起動しない状態で行われる。具体的には、証拠の原本データが記録された対象記憶装置を情報処理装置から取り外して専用のコピー装置を用いて複製を行ったり、デジタル・フォレンジック専用の特殊なOSを用いて情報処理装置を起動させた状態で複製を行ったりする(特許文献1参照)。
また、データ複製の段階に係る技術ではないが、意図的なデータの改竄を防止するべく、デジタル・フォレンジックの作業者のPCの操作状況をビデオカメラにて所定時間間隔で撮影して生成される作業映像ログデータと、調査対象HDDを物理的100%コピーした解析用HDDを解析する作業者がデジタル・フォレンジック作業用のソフトウェアの組み込まれたPCを操作することによってデジタル・フォレンジック作業における操作記録正当性を証明するシステム又は方法が提案されている(特許文献2参照)。
特開2006−178521号公報 特開2008−216342号公報
上述したように、従来のデジタル・フォレンジックに係る技術では、データを複製すること自体は技術的に可能であっても、複製されたデータの法的証拠能力を保証することが難しかった。すなわち、データの複製過程でデータの意図的な改竄や意図しない変更が行われていないことを保証するための作業に非常に大きな労力を払っていた。また、法的証拠能力あるデジタル・フォレンジック用の複製の作成には所要の手順や必須な記録事項等の方式的な要件があり、その方式的要件を具備する作業で複製されたことを保証する必要もあった。
また、従来のデジタル・フォレンジックに係る技術では、複製元となるデータが記憶されたハードディスクドライブ等の記憶媒体をコンピュータから取り外して、デジタル・フォレンジック専用の複製装置にセットして解析用の複製を作成していた。また、コンピュータから取外すことが非常に困難なタイプの記憶媒体(例えば、基板に直付けされたSSD(Solid State Drive))も増えつつある。このため、デジタル・フォレンジックの解析用のデータ作成に多大な労力と時間を必要とし、多数の被疑コンピュータの中から選択抽出した少数のコンピュータの記憶媒体のみを解析対象とせざるを得ない場合があり、漏れのない捜査の支障になっていた。
本発明は、前記課題に鑑みてなされたもので、デジタル証拠作成に係る作業性の向上、及び、作業専門性の緩和を目的とする。
本発明の態様の1つは、情報処理装置に接続して用いるデジタル証拠作成装置であって、デジタル証拠作成プログラムが記憶された記憶媒体を備え、前記記憶媒体の前記デジタル証拠作成プログラムを前記情報処理装置で実行することにより、前記情報処理装置は、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する機能と、当該解析用記憶媒体の作成に係る動作履歴を記録する機能と、前記原記憶媒体の機器固有情報を記録する機能と、前記情報処理装置に対するデジタル証拠作成に係る操作入力を記録する機能と、を実現することを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置においては、記憶媒体に記憶されているデジタル証拠作成プログラムを情報処理装置で実行させることにより、情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する機能を実現するとともに、解析用記憶媒体の作成に係る動作履歴を記録する機能と、原記憶媒体の機器固有情報を記録する機能と、情報処理装置に対するデジタル証拠作成に係る操作入力を記録する機能と、を実現する構成としてある。このように、デジタル証拠作成装置によれば、デジタル証拠作成装置を情報処理装置に接続することにより、原記憶媒体から解析用記憶媒体を作成する高度な技術専門性を要求する作業と、原記憶媒体から作成される解析用記憶媒体に法的証拠能力を持たせるための高度な法的専門性を要求する作業とをまとめてプログラム処理により実行できるように構成されている。このため、従来、別々に行われていたデジタル証拠作成に係る作業性が大幅に向上し、作業専門性が大きく緩和されることになる。しかも、デジタル証拠作成装置という外部記憶装置を用いたことにより、デジタル証拠作成に係る携帯性も向上する。
本発明の選択的な態様の1つは、前記記憶媒体には第1のオペレーティングシステムプログラムが記憶されており、前記デジタル証拠作成プログラムは、前記記憶媒体から読みだされて前記情報処理装置において実行される前記第1のオペレーティングシステムプログラム上で実行され、前記第1のオペレーティングシステムプログラムは、前記情報処理装置において、前記デジタル証拠作成装置を論理ディスクとしてマウントする一方、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体については論理ディスクとしてマウントせず、前記解析用記憶媒体を作成する際は前記原記憶媒体に物理ディスクとしてアクセスすることを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置においては、記憶媒体から読みだされて情報処理装置で実行される第1のオペレーティングシステムプログラムは、原記憶媒体となる記憶媒体を論理ディスクとしてマウントしないため、原記憶媒体のデータに対して作業者等の意図しない変更をオペレーティングシステムが加えて原記憶媒体の法的証拠能力を損ずる可能性を防止できる。一方、記憶媒体から読みだされて情報処理装置で実行される第1のオペレーティングシステムプログラムは、デジタル証拠作成装置を論理ディスクとしてマウントするため、デジタル証拠作成装置に記憶されているデジタル証拠作成プログラムは、第1のオペレーティングシステムプログラム上で実行することができる。
本発明の選択的な態様の1つは、前記解析用記憶媒体には、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする物理的複製が記録されることを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置は、原記憶媒体に対して物理ディスクとしてアクセスするため、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする物理的複製を、解析用記憶媒体に記録することができる。
本発明の選択的な態様の1つは、前記情報処理装置の内部又は外部の記憶媒体には第2のオペレーティングシステムが記憶されており、前記デジタル証拠作成プログラムは、前記内部又は外部の記憶媒体から読みだされて前記情報処理装置において実行される前記第2のオペレーティングシステム上で実行され、前記第2のオペレーティングシステムは、前記情報処理装置において、前記デジタル証拠作成装置を論理ディスクとしてマウントするとともに、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体を論理ディスクとしてマウントし、前記解析用記憶媒体を作成する際は前記原記憶媒体に論理ディスクとしてアクセスすることを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置については、情報処理装置が当該情報処理装置の内部又は外部の記憶媒体に記憶された第2のオペレーティングシステムによってブートされており、この第2のオペレーティングシステムは、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体を、論理ディスクとしてマウントしている。そして、第2のオペレーティングシステム上で、デジタル証拠作成装置の記憶媒体に記憶されたデジタル証拠作成プログラムが実行される構成である。すなわち、情報処理装置が起動して稼働中であって、当該情報処理装置を停止させたり再起動させたりすると消失する可能性のあるデータを、デジタル証拠作成プログラムを用いて、解析用記憶媒体に複製することが可能となる。
本発明の選択的な態様の1つは、前記解析用記憶媒体には、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体の特定領域、特定フォルダ、特定ファイルの少なくとも1つのソフトウェア的複製が記録されることを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置においては、原記憶媒体となる記憶媒体を論理ディスクとしてマウントしているため、情報処理装置の内部又は外部の原記憶媒体となる論理ディスクの特定領域、特定フォルダ、特定ファイルを、ソフトウェア的複製(イメージデータ等)として解析用記憶媒体に記録することができる。
本発明の選択的な態様の1つは、前記解析用記憶媒体には、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とするソフトウェア的複製が記録されることを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置においては、情報処理装置の内部又は外部の原記憶媒体の全体のソフトウェア的複製(イメージデータ等)を、解析用記録媒体に記録することができる。
本発明の選択的な態様の1つは、前記デジタル証拠作成プログラムを実行する前記情報処理装置は、原記憶媒体から解析用記憶媒体を作成する前後でそれぞれ当該原記憶媒体に係る耐用指標情報を取得し、解析用記憶媒体の作成に係る動作履歴として記録することを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置は、原記憶媒体から解析用記憶媒体を作成する前の原記憶媒体の耐用指標情報と、原記憶媒体から解析用記憶媒体を作成した後の原記憶媒体の耐用指標情報とを作成して記録するため、解析用記憶媒体の作成によって、原記憶媒体の耐用指標がどのように変化したかを、記録に基づいて把握することができる。
本発明の選択的な態様の1つは、前記デジタル証拠作成プログラムを実行する前記情報処理装置は、前記情報処理装置の内部又は外部の記憶媒体の耐用指標情報を取得して表示部に表示するとともに、当該耐用指標情報の取得に係る動作履歴を記録する機能を有することを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置は、任意のタイミングで原記憶媒体の耐用指標情報を取得して表示部に表示することができるため、これを見た作業者は、解析用記憶媒体の作成前に、原記憶媒体にから解析用記憶媒体を作成することの是非等を判断することが可能である。
本発明の選択的な態様の1つは、前記デジタル証拠作成プログラムを実行する前記情報処理装置は、前記情報処理装置と当該情報処理装置の内部又は外部の記憶媒体の少なくとも一方の機器固有情報を取得して表示部に表示するとともに、当該機器固有情報に係る動作履歴を記録する機能を有することを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置は、任意のタイミングで情報処理装置と当該情報処理装置の内部又は外部の記憶媒体との少なくとも一方の機器固有情報を取得して表示部に表示することができるため、これを見た作業者は、原記憶媒体とすべき記憶媒体を特定するための情報を得ることができる。
本発明の選択的な態様の1つは、前記デジタル証拠作成プログラムを実行する前記情報処理装置は、前記動作履歴、前記機器固有情報、及び前記操作入力に係る記録を前記第1記憶媒体に記録する構成であり、前記デジタル証拠作成プログラムは、前記デジタル証拠作成装置が前記情報処理装置に接続されていることを動作条件とすることを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置は、デジタル証拠作成プログラムの動作条件を前記デジタル証拠作成装置が情報処理装置に接続されていることとしてあるため、第1記憶媒体に記録される動作履歴、機器固有情報、及び操作入力に係る記録を、確実にデジタル証拠作成装置内部の第1記憶媒体内に記憶されるようにすることができる。これにより、デジタル証拠作成装置を用いて作成するデジタル証拠の散逸を防止し、証拠管理性を向上することができる。
本発明の選択的な態様の1つは、前記デジタル証拠作成装置は、前記第1記憶媒体にドライバファイル格納用の記憶領域を有し、前記第1記憶媒体の前記デジタル証拠作成プログラムを前記情報処理装置が実行することにより、前記情報処理装置は、前記記憶領域に保存されたドライバファイルを呼び出して一覧表示する機能と、一覧表示されたドライバファイルの中から選択された1又は複数のドライバファイルを前記第1OSプログラムに組込む機能と、を実現することを特徴とするデジタル証拠作成装置である。
このように構成されたデジタル証拠作成装置は、ドライバファイルを格納するための記憶領域が用意されており、この記憶領域内に格納されたドライバファイルを一覧表示する機能、一覧表示されたドライバファイルの中から選択されたドライバファイルを情報処理装置上で実行される第1OSプログラムに組込む機能と、デジタル証拠作成プログラムの実行により実現可能である。このため、第1OSプログラムに予め組込まれていないドライバを後から組込み可能であり、従来のデジタル・フォレンジックの手法ではデジタル証拠の複製や保全が不可能又は難しい態様の記憶媒体についても、技術専門性を有さない作業者が、第1OSプログラムを介して容易に複製や保全を行うことができるようになる。
以上説明したデジタル証拠作成装置は、他の機器に組み込まれた状態で実施されたり他の方法とともに実施されたりする等の各種の態様を含む。また、本技術は前記デジタル証拠作成装置を備えるデジタル証拠作成システム、上述した装置の構成に対応した機能を情報処理装置に実現させるデジタル証拠作成プログラム、当該デジタル証拠作成プログラムを記録した情報処理装置で読み取り可能な記録媒体、等としても実現可能である。
本発明によれば、記憶媒体に記憶されているデジタル証拠作成プログラムを情報処理装置で実行させることにより、情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する機能を実現するとともに、解析用記憶媒体の作成に係る動作履歴を記録する機能と、原記憶媒体の機器固有情報を記録する機能と、情報処理装置に対するデジタル証拠作成に係る操作入力を記録する機能と、を実現する構成としてある。このように、デジタル証拠作成装置によれば、デジタル証拠作成装置を情報処理装置に接続することにより、原記憶媒体から解析用記憶媒体を作成する高度な技術専門性を要求する作業と、原記憶媒体から作成される解析用記憶媒体に法的証拠能力を持たせるための高度な法的専門性を要求する作業とをまとめてプログラム処理により実行できるように構成されている。このため、従来、別々に行われていたデジタル証拠作成に係る作業性が大幅に向上し、作業専門性が大きく緩和されることになる。しかも、デジタル証拠作成装置という外部記憶装置を用いたことにより、デジタル証拠作成に係る携帯性も向上する。
請求項2に係る発明によれば、記憶媒体から読みだされて情報処理装置で実行される第1のオペレーティングシステムプログラムは、原記憶媒体となる記憶媒体を論理ディスクとしてマウントしないため、原記憶媒体のデータに対して作業者等の意図しない変更をオペレーティングシステムが加えて原記憶媒体の法的証拠能力を損ずる可能性を防止できる。一方、記憶媒体から読みだされて情報処理装置で実行される第1のオペレーティングシステムプログラムは、デジタル証拠作成装置を論理ディスクとしてマウントするため、デジタル証拠作成装置に記憶されているデジタル証拠作成プログラムは、第1のオペレーティングシステムプログラム上で実行することができる。
請求項3に係る発明によれば、原記憶媒体に対して物理ディスクとしてアクセスするため、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする物理的複製を、解析用記憶媒体に記録することができる。
請求項4に係る発明によれば、情報処理装置が当該情報処理装置の内部又は外部の記憶媒体に記憶された第2のオペレーティングシステムによってブートされており、この第2のオペレーティングシステムは、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体を、論理ディスクとしてマウントしている。そして、第2のオペレーティングシステム上で、デジタル証拠作成装置の記憶媒体に記憶されたデジタル証拠作成プログラムが実行される構成である。すなわち、情報処理装置が起動して稼働中であって、当該情報処理装置を停止させたり再起動させたりすると消失する可能性のあるデータを、デジタル証拠作成プログラムを用いて、解析用記憶媒体に複製することが可能となる。
請求項5に係る発明によれば、原記憶媒体となる記憶媒体を論理ディスクとしてマウントしているため、情報処理装置の内部又は外部の原記憶媒体となる論理ディスクの特定領域、特定フォルダ、特定ファイルを、ソフトウェア的複製(イメージデータ等)として解析用記憶媒体に記録することができる。
請求項6に係る発明によれば、情報処理装置の内部又は外部の原記憶媒体の全体のソフトウェア的複製(イメージデータ等)を、解析用記録媒体に記録することができる。
請求項7に係る発明によれば、原記憶媒体から解析用記憶媒体を作成する前の原記憶媒体の耐用指標情報と、原記憶媒体から解析用記憶媒体を作成した後の原記憶媒体の耐用指標情報とを作成して記録するため、解析用記憶媒体の作成によって、原記憶媒体の耐用指標がどのように変化したかを、記録に基づいて把握することができる。
請求項8に係る発明によれば、任意のタイミングで原記憶媒体の耐用指標情報を取得して表示部に表示することができるため、これを見た作業者は、解析用記憶媒体の作成前に、原記憶媒体にから解析用記憶媒体を作成することの是非等を判断することが可能である。
請求項9に係る発明によれば、任意のタイミングで情報処理装置と当該情報処理装置の内部又は外部の記憶媒体との少なくとも一方の機器固有情報を取得して表示部に表示することができるため、これを見た作業者は、原記憶媒体とすべき記憶媒体を特定するための情報を得ることができる。
請求項10に係る発明によれば、前記デジタル証拠作成プログラムの動作条件を前記デジタル証拠作成装置が情報処理装置に接続されていることとしてあるため、第1記憶媒体に記録される動作履歴、機器固有情報、及び操作入力に係る記録を、確実にデジタル証拠作成装置内部の第1記憶媒体内に記憶されるようにすることができる。これにより、デジタル証拠作成装置を用いて作成するデジタル証拠の散逸を防止し、証拠管理性を向上することができる。
請求項11に係る発明によれば、デジタル証拠作成装置内にドライバファイルを格納するための記憶領域が用意されており、この記憶領域内に格納されたドライバファイルを一覧表示する機能、一覧表示されたドライバファイルの中から選択されたドライバファイルを情報処理装置上で実行される第1OSプログラムに組込む機能と、デジタル証拠作成プログラムの実行により実現可能である。このため、第1OSプログラムに予め組込まれていないドライバを後から組込み可能であり、従来のデジタル・フォレンジックの手法ではデジタル証拠の複製や保全が不可能又は難しい態様の記憶媒体についても、技術専門性を有さない作業者が第1OSプログラムを介して容易に複製や保全を行うことができるようになる。
第1の実施形態に係るデジタル証拠作成装置の使用態様を示す図である。 第1の実施形態に係るデジタル証拠作成装置を接続したPCのハードウェア構成の一例を示すブロック図である。 デジタル証拠作成プログラムの処理の全体的な流れを示すフローチャートである。 機能選択画面において「S.M.A.R.T.の表示」が選択された際に実行される処理の流れを示すフローチャートである。 機能選択画面において「ハードウェア情報」が選択された際に実行される処理の流れを示すフローチャートである。 機能選択画面において「ディスクの複製」が選択された際に実行される処理の流れを示すフローチャートである。 機能選択画面において「ディスクの保全」が選択された際に実行される処理の流れを示すフローチャートである。 ソフトウェア使用許諾契約の同意画面の一例を示す図である。 案件情報設定画面の一例を示す図である。 機能選択画面の一例を示す図である。 S.M.A.R.T.の表示におけるディスク選択画面の一例を示す図である。 S.M.A.R.T.の表示におけるS.M.A.R.T.の結果表示画面の一例を示す図である。 ハードウェア情報におけるハードウェア情報一覧表示画面の一例を示す図である。 ディスクの複製におけるディスク選択画面の一例を示す図である。 ディスクの複製における選択内容の確認画面の一例を示す図である。 ディスクの複製におけるサマリー画面の一例を示す図である。 ディスクの保全におけるディスク選択画面の一例を示す図である。 ディスクの保全における保全内容設定画面の一例を示す図である。 ディスクの保全におけるオプション設定画面の一例を示す図である。 ディスクの保全における保全内容確認画面の一例を示す図である。 ディスクの保全におけるサマリー画面の一例を示す図である。 第2の実施形態に係るデジタル証拠作成システムの構成を示す図である。 デジタル証拠作成プログラムの処理の全体的な流れを示すフローチャートである。 機能選択画面において「パーティションの保全」が選択された際に実行される処理の流れを示すフローチャートである。 機能選択画面において「ファイル・フォルダの保全」が選択された際に実行される処理の流れを示すフローチャートである。 パーティションの保全におけるパーティション選択画面の一例を示す図である。 パーティションの保全における保全内容設定画面の一例を示す図である。 パーティションの保全におけるオプション設定画面の一例を示す図である。 パーティションの保全における保全内容確認画面の一例を示す図である。 パーティションの保全におけるサマリー画面の一例を示す図である。 ファイル・フォルダの保全におけるファイル・フォルダ選択画面の一例を示す図である。 ファイル・フォルダの保全における保全内容設定画面の一例を示す図である。 ファイル・フォルダの保全におけるオプション選択画面の一例を示す図である。 ファイル・フォルダの保全における保全内容確認画面の一例を示す図である。 ファイル・フォルダの保全におけるサマリー画面の一例を示す図である。 第3の実施形態に係るデジタル証拠作成システムの構成を示す図である。 第4の実施形態に係るデジタル証拠作成システムの構成を示す図である。 機能選択画面において「ドライバインストール」が選択された際に実行される処理の流れを示すフローチャートである。 ドライバ組込画面の一例を示す図である。 ドライバの正常組込が完了した旨の表示の一例を示す図である。
以下、下記の順序に従って本発明を説明する。
(1)第1の実施形態:
(2)第2の実施形態:
(3)第3の実施形態:
(4)第4の実施形態:
(5)その他変形例:
(1)第1の実施形態:
図1は、本実施形態に係るデジタル証拠作成装置の使用態様を示す図である。デジタル証拠作成装置1は、情報処理装置としてのパーソナルコンピューター(PC5)に外部接続して用いられる。デジタル証拠作成装置1は、USB(Universal Serial Bus)を介してPC5に接続されている。
図2は、デジタル証拠作成装置1を接続したPC5のハードウェア構成の一例を示すブロック図である。PC5は、記憶媒体50、制御部51、ディスプレイコントローラ52、ネットワークコントローラ53、光学ドライブ54、USBコントローラー55を有し、これら各部が通信バスを介して互いに通信可能に接続されている。
ディスプレイコントローラ52は、制御部51の制御に基づいて操作画面等の各種の画像を表示部としてのディスプレイ56に表示させる。USBコントローラー55にはマウスやキーボード等の操作入力機器が接続されており、ユーザが操作入力機器を介して制御部51に対して各種の操作入力を行うことができる。制御部51は、CPU(Central Processing Unit),ROM(Read Only Memory),RAM(Random Access Memory)を有し、ROM等に記憶されたプログラムに基づいてRAMをワークエリアとしてCPUが演算処理を行うことにより、PC5を統括的に制御する。
PC5は、ブートデバイスを適宜に変更して設定可能であり、内蔵する第1記憶媒体としての記憶媒体50をブートデバイスとする態様と、外部接続されたデジタル証拠作成装置1をブートデバイスとする態様とを切り替えて選択可能である。デジタル証拠作成装置1は記憶媒体11を内蔵しており、この記憶媒体11には第1のオペレーティングシステムプログラム(第1OSプログラム12)が記憶されており、外部接続されたデジタル証拠作成装置1に記憶された第1OSプログラム12によってPC5をブートすることができる。
第1OSプログラム12は、記憶媒体11から読みだされてPC5で実行する際に、デジタル証拠作成装置1を論理ディスクとしてマウントする一方、PC5の内部の記憶媒体50については論理ディスクとしてマウントしない。例えば、第1OSプログラム12をWindows(登録商標) PEにて実現する場合は、Window(登録商標) PEの所定のレジストリ値を変更することにより、Windows(登録商標) PEのマウントマネージャサービスがストレージデバイスに対して自動マウントを行わないようにしたり、接続されているローカルディスク及びストレージエリアネットワークの論理ユニット番号上のボリュームが自動的にマウントされないように変更したりする。
なお、第1OSプログラム12がPC5で実行される際に論理ディスクとしてマウントしない記憶媒体としてはデジタル証拠作成装置1の記憶媒体11に限らず、デジタル証拠作成装置1以外のPC5の内部又は外部の任意の記憶媒体について論理ディスクとしてマウントしない構成を採用することができる。
デジタル証拠作成装置1は、外部接続用のインターフェース規格と記憶媒体11のインターフェース規格との間でデータ変換を行うコントローラーチップ14を有しており、このコントローラーチップ14を介して記憶媒体11はPC5のUSBコントローラー55に接続されている。コントローラーチップ14はシリアル番号等の固有識別番号を有しており、PC5のUSBコントローラー55を介した外部からの問い合わせに対して固有識別番号を応答する。
次に、デジタル証拠作成装置1に記憶された第1OSプログラム12でPC5をブートした場合のデジタル証拠の作成手順について説明する。デジタル証拠作成装置1の記憶媒体11に記憶された第1OSプログラム12によってPC5がブートされると、第1OSプログラム12のブートが完了した後にデジタル証拠作成装置1の記憶媒体11に記憶されたデジタル証拠作成プログラム13が自動的又は手動で起動される。
デジタル証拠作成プログラム13は、PC5にデジタル証拠作成装置1が接続されていることを動作条件(起動条件、機能実行条件、等)としてある。すなわち、デジタル証拠作成プログラム13は、PC5にデジタル証拠作成装置1が接続されている場合には起動・機能実行が可能であるが、PC5にデジタル証拠作成装置1が接続されていない場合には、起動・機能実行をできない構成としてある。これにより、デジタル証拠作成プログラム13の動作中、デジタル証拠作成装置1がPC5に確実に接続された状態を実現することができる。
このような動作条件の具体的な一例としては、起動時又は機能実行時に、デジタル証拠作成装置1のコントローラーチップ14のシリアル番号などの機器固有情報を利用する態様がある。すなわち、デジタル証拠作成装置1のコントローラーチップ14の機器固有情報を取得し、取得した機器固有情報と予めプログラム中に保持する機器固有情報とが一致する場合は起動や機能実行を開始又は継続し、取得した機器固有情報と予めプログラム中に保持する機器固有情報とが一致しない場合は起動や機能実行を停止又は開始しない。
このように、デジタル証拠作成プログラム13の動作中、PC5にデジタル証拠作成装置1が確実に接続された状態を実現することにより、デジタル証拠の証拠管理を容易化し、証拠の散逸を防止する。すなわち、本実施形態に係るデジタル証拠作成装置1では後述するログを一律にデジタル証拠作成装置1内の所定領域(所定フォルダ等)に保存する構成を採用しており、ログの保存場所を限定することにより、ログの取り損じや取り違えを防止することができる。また、作業者が誤ってログを証拠原本である原記憶媒体中に保存して証拠原本を汚す可能性を排除している。また、ログを現場の独自判断で別の記憶媒体等に記憶して証拠散逸する可能性を排除して証拠管理性の低下を防止する効果もある。
デジタル証拠作成プログラム13を実行するPC5は、PC5の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する第1処理部F1と、解析用記憶媒体の作成に係る動作履歴を記録する第2処理部F2と、原記憶媒体の機器固有情報及び/又はPC5の機器固有情報を記録する第3処理部F3と、耐用指標情報を記録する第4処理部F4と、デジタル証拠作成に関連してPC5に対して行われる操作入力を記録する第5処理部F5と、第1OSプログラム12にドライバを組み込む第6処理部F6と、を有する。
デジタル証拠作成プログラム13を実行するPC5は、法的証拠能力あるデジタル証拠を作成するための所定の手順に則った操作入力を許容する一方、それ以外の操作入力を制限する構成となっている。すなわち、法的証拠能力あるデジタル証拠を作成するための所定の手順に則って操作画面が遷移する構成であり、各操作画面では所定の操作入力以外の操作入力を受け付けない構成であり、しかも所要の操作入力が為されるまで次の操作画面へ遷移しない構成としてある。
以下、図3〜図7に示すフローチャートに沿って、各操作入力画面について説明する。図3は、デジタル証拠作成プログラムの処理の全体的な流れを示すフローチャート、図4は、機能選択画面において「S.M.A.R.T.の表示」が選択された際に実行される処理の流れを示すフローチャート、図5は、機能選択画面において「ハードウェア情報」が選択された際に実行される処理の流れを示すフローチャート、図6は、機能選択画面において「ディスクの複製」が選択された際に実行される処理の流れを示すフローチャート、図7は、機能選択画面において「ディスクの保全」が選択された際に実行される処理の流れを示すフローチャート、図38は機能選択画面において「ドライバインストール」が選択された際に実行される処理の流れを示すフローチャートである。
デジタル証拠作成プログラム13を実行するPC5は、PC5に接続されているデジタル証拠作成装置1がデジタル証拠を受け入れ可能な状態であるかを判断する。具体的には、まず記憶領域11における後述するデジタル証拠記憶領域Rlog(デジタル証拠を保存するためのフォルダ等)の有無を確認する(S1)。記憶領域11にデジタル証拠記憶領域Rlogが存在しない場合は(S1:無)次の処理に進み、ソフトウェア使用許諾契約の同意画面を表示し(S2)、存在する場合は(S1:有)、デジタル証拠作成プログラム13が終了する(S12)。
図8は、ソフトウェア使用許諾契約の同意画面の一例を示す図である。同意画面においては、ソフトウェア使用許諾契約に対する同意/非同意を選択する操作入力が許容されている。ソフトウェア使用許諾契約への同意を示す操作入力を行うと次の手順に係る画面へ遷移する。一方、ソフトウェア使用許諾契約への同意を拒否する操作入力を行うと次の手順に係る画面へ遷移せず、例えばデジタル証拠作成プログラム13が終了される。
同意画面においてソフトウェア使用許諾契約への同意を示す操作入力を行うと、次に、デジタル証拠作成プログラム13を実行するPC5は、案件情報の入力を促す案件情報設定画面を表示する(S3)。
図9は、案件情報設定画面の一例を示す図である。案件情報設定画面においては、少なくとも、案件名、担当者名、及び証拠作成日時の入力が許容及び必須となる。証拠作成日時については、BIOS(Basic Input/Output System)が保持する日時情報を取得して案件情報設定画面に表示する構成としてもよく、このBIOSが保持する日時情報を証拠作成日時として使用してもよいし、作業者が手作業で入力した日時情報を証拠作成日時として使用してもよい。その他、案件情報設定画面においては案件内容等の付記的事項を入力可能にしてもよい。案件情報設定画面においては、必須入力要素の入力が完了すると次の操作入力画面である機能選択画面へ遷移させる操作入力が可能となる。
このようにして案件情報を設定すると、デジタル証拠作成装置1の記憶媒体11内に、当該案件のログ等のデジタル証拠を保存するための専用のデジタル証拠記憶領域Rlog(案件名のフォルダ等)が形成される。すなわち、デジタル証拠作成プログラム13は、1つのデジタル証拠作成装置1内に特定の案件に紐づけられた1つのデジタル証拠記憶領域を形成する。
このように、ステップS1の判定によりデジタル証拠記憶領域Rlogの存在しないデジタル証拠作成装置1の記憶媒体11に対してデジタル証拠記憶領域Rlogを形成する構成とすることにより、1つのデジタル証拠作成装置1内には、1つの案件名に対応する1つのデジタル証拠のみが保存されることとなり、作成済みの証拠を破損したり、複数案件の証拠が混在したりすることが無く、証拠管理性が向上する。なお、デジタル証拠の保存に使用済みのデジタル証拠作成装置1は、ワイプ処理等の工場出荷状態に戻す所定の処理を行うことにより、再び別案件のデジタル証拠の保存用に使用可能となる。
以上のソフトウェア使用許諾契約への同意、案件情報の入力の後、デジタル証拠作成に係る機能選択画面が表示される(S4)。
図10は、機能選択画面の一例を示す図である。本実施形態においては、機能選択画面には「S.M.A.R.T.の表示」、「ハードウェア情報」、「ディスクの複製」、「ディスクの保全」の少なくとも4つの項目が選択可能に表示される。また、図10には明示されていないが、項目「メイン」のドロップダウンリストから「ドライバインストール」の項目も選択可能である。なお、図10に示す機能選択画面には、「パーティションの保全」、「ファイル・フォルダの保全」の2つの項目も表示されているが、原記憶媒体を論理ディスクとしてマウントしていないため選択不可となっている。また、図10に示す機能選択画面においてタブの×アイコンを操作するとデジタル証拠作成プログラム13が終了する(S12)
機能選択画面のいずれかの項目が選択されると、第1処理部F1が選択された項目に応じた処理を実行し、第2処理部F2〜第5処理部F5が選択された項目に応じて実行される処理のログを作成する。ここで作成されるログは、いずれも原記憶媒体から作成される解析用記憶媒体の法的証拠能力を間接的に示すものであり、本実施形態においては、エビデンスログL1とオペレーションログL2の2種類のログが作成される。エビデンスログL1は、解析用記憶媒体に記録されるデータの実体面に係るログであり、オペレーションログL2は、解析用記憶媒体の作成に際して作業者が行う操作入力に係るログである。
機能選択画面において「S.M.A.R.T.の表示」を選択する操作入力を行うと、対象となり得るディスクを選択するディスク選択画面が表示される(S51)。
図11は、ディスク選択画面の一例を示す図である。ディスク選択画面には、選択可能なディスクの一覧、各ディスクに対応させて表示されるディスク選択用のチェックボックス、「診断実行」「戻る」「キャンセル」の各操作ボタンがそれぞれ表示される。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
ディスクに対応するチェックボックスにチェックを入れて「診断実行」ボタンを操作入力すると、制御部51は、記憶媒体50の自己診断機能(Self-Monitoring, Analysis and Reporting Technology)を利用してS.M.A.R.T.の各検査項目に係る情報を取得し、S.M.A.R.T.の表示画面をディスプレイ56に表示する(S52)。
図12は、S.M.A.R.T.の表示画面の一例を示す図である。S.M.A.R.T.の表示画面には、S.M.A.R.T.の結果とともに、「閉じる」ボタンが表示される。「閉じる」ボタンが操作入力されるとS.M.A.R.T.の表示画面が閉じ、図10に示す機能選択画面に戻る。
S.M.A.R.T.は、記録媒体の健康状態(寿命)を間接的に示すものであり、表示されたS.M.A.R.T.に基づいて、作業者は原記憶媒体が解析用記憶媒体を作成する際に発生するデータアクセスに耐えうるか否かの目安となる。S.M.A.R.T.は、本実施形態において原記憶媒体の耐用指標に相当する。記憶媒体50の健康状態が悪い場合、デジタル証拠作成作業が原記憶媒体に与える負荷によって、原記憶媒体の法的証拠性を損なう可能性が懸念される。
S.M.A.R.T.の各検査項目のうち、特に、記憶媒体50に対する読み・書き・転送に係るエラーを示す検査項目の値が記憶媒体50の耐用指標として重要である。例えば、読み込み時のエラー率を示す「Raw read error rate」、代替処理待ちの不良セクタ数を示す「Current pending sector count」、UltraDMA転送時のCRCエラー数を示す「UDMA CRC error rate」、書き込み時のエラー率を示す「Write error rate」が、読み・書き・転送に係るエラーを示す検査項目である。
S.M.A.R.T.の各検査項目及び/又は検査項目の値は、検査項目の値が示す記憶媒体50の健康状態に応じて表示態様を相違させてもよい。例えば、検査項目の値が示す記憶媒体50の健康状態に応じてS.M.A.R.T.の各検査項目及び/又は検査項目の値を異なる色で着色して表示してもよい。より具体的には、検査項目の値が所定の規定範囲を下回る場合は緑文字、当該所定の規定範囲内の場合は青文字、当該所定の規定範囲を超える場合は赤文字で表示する等の着色が可能である。健康状態に応じて表示態様を変えて表示することにより、記憶媒体50の健康状態の一瞥把握性が向上する。
「S.M.A.R.T.の表示」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集の開始日時、付記的説明、各種ハードウェア情報、S.M.A.R.T.の表示機能を呼び出したことを示す情報、等が記録される。各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Address、等が例示される。
「S.M.A.R.T.の表示」の実行時に作成されるオペレーションログL2には、概略、「S.M.A.R.T.の表示」の操作入力、ディスクを選択するチェックボックスに対する操作入力、「診断実行」を指示する操作入力、診断対象に選択されたディスク名、「閉じる」を指示する操作入力、等が記録される。このように、解析用記憶媒体の作成の状況を逐一記録したログを作成することにより、法的証拠能力を担保された解析用記憶媒体を作成することができる。
機能選択画面において「ハードウェア情報」を選択する操作入力が行われると、制御部51がPC5の各ハードウェアに係る情報を取得し、ハードウェア情報一覧表示画面をディスプレイ56に表示する(S61)。
図13は、ハードウェア情報一覧表示画面の一例を示す図である。ハードウェア情報一覧表示画面には、ハードウェア情報の一覧の他、「閉じる」の操作ボタンが表示される。ハードウェア情報一覧表示画面の「閉じる」ボタンを操作入力されると、図10に示す機能選択画面に戻る。
ハードウェア情報は、PC5及び記憶媒体50の機器の仕様を示す情報である。「ハードウェア情報」が選択された時に、その情報を取得・表示されるハードウェアとしては、PC5、記憶媒体50、CPU、RAM、BIOS、ネットワークアダプタ、等が例示される。これらのハードウェア情報は、PC5及び記憶媒体50の機器固有情報であり、記憶媒体50の使用環境情報でもあるため、記憶媒体50の同一性を間接的、補助的に証明する情報となり得る。
記憶媒体50に係るハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA等が例示される。PC5に係るハードウェア情報としては、Computer Manufacturer、Computer Model、Computer Serial等が例示される。CPUのハードウェア情報としては、Processor ID、Processor Manufacturer、Processor speed、等が例示される。RAMのハードウェア情報としては、Computer Memory sizeが例示される。BIOSのハードウェア情報としては、BIOS Manufacturer、BIOS Version、BIOS Date等が例示される。ネットワークアダプタのハードウェア情報としては、Network Adapter、Network Description、Network Mac Address等が例示される。
「ハードウェア情報」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集を開始した日時、付記的な説明、各種ハードウェア情報が記録される。各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
「ハードウェア情報」の実行時に作成されるオペレーションログL2には、概略、「ハードウェア情報」の操作入力、ハードウェア情報の一覧表示画面の「閉じる」の操作入力について記録される。
機能選択画面において「ディスクの複製」を選択する操作入力が行われると、ディスク選択画面が表示される(S81)。
図14は、ディスク選択画面の一例を示す図である。ディスク選択画面には、選択可能なディスク名の一覧、各ディスク名に対応するディスク選択用のチェックボックス、ハッシュタイプを選択するラジオボタン、「戻る」、「次へ」、「キャンセル」のボタン、がそれぞれ表示されている。作業者が「戻る」ボタンを操作入力すると図10に示す機能選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
作業者がディスク名に対応するチェックボックスにチェックを入れ、所望のハッシュタイプを選択して「次へ」ボタンを操作入力すると選択内容確認画面が表示される図15参照)。選択内容確認画面には、選択内容の他に、「戻る」、「複製実行」、「キャンセル」の各ボタンが表示されている。また、選択内容確認画面には、物理的複製の作成処理の進捗を示すプログレスバーも表示されている。作業者が「戻る」ボタンを操作入力すると図14に示すディスク選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
「複製実行」のボタンが操作入力されると、制御部51が、原記憶媒体の物理的複製を、ワイプ処理等の工場出荷状態に戻す所定の処理を行ってデジタル証拠作成装置1に接続された記憶媒体に作成する処理を開始する(S82)。制御部51は、デジタル証拠作成元となる記憶媒体50の全領域のデータを、いわゆるDisk-to-Disk方式により、PC5に接続される別の記憶媒体に保存する。併せて、デジタル証拠作成元となる記憶媒体50のデータからハッシュ関数(MD5、SHA-256等)を用いてハッシュ値を作成し、記憶媒体11に保存する。デジタル証拠作成元のデータから作成したハッシュ値を複製データとともに記憶媒体11に保存することにより、作成された解析用記憶媒体のデータが改変されていないことを証明することができる。
ディスクの複製の実行前に、デジタル証拠作成プログラム13は、ディスクの複製先となる記憶媒体の情報の有無を確認し、記憶媒体に情報が記憶されている場合は、ディスクの複製を中止する保護機能を有している。これにより、複製元と複製先の取り違えや、有用な証拠が記憶された記憶媒体を誤って複製先に使用したりする事態を防止できる。複製先となる記憶媒体の情報の有無は、例えば、パーティションの有無の確認(MBR末尾のBOOT Signature等の固定値の有無)により行うことができる。
物理的複製の作成が完了すると、複製作業のサマリーを表示するサマリー画面が表示される(図16参照)。サマリー画面には、複製が正常終了したか否か、複製に要した時間、エラーの発生回数、複製元のディスク情報、複製先のディスク情報、ハッシュタイプ、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて図10に示す機能選択画面に戻る。
このように、機能選択画面の「ディスクの複製」の項目の選択により実行される処理は、原記憶媒体の全領域に対してセクタ毎に行う複製であり、原記憶媒体のディスクの先頭セクタから末尾セクタまで、データ格納部分だけでなくデータ非格納部分も含めて、原記憶媒体のデータの並び順通りに解析用記憶媒体上に再現する。本実施形態において、ディスクの複製により作成される解析用記憶媒体は、原記憶媒体の物理的複製を構成する。
「ディスクの複製」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、複製の前処理として取得されるS.M.A.R.T.の情報、ディスクの物理的複製の設定情報、ディスクの物理的複製の進捗情報、複製の後処理として取得されるS.M.A.R.T.の情報、が記録される。ディスクの物理的複製処理の前後でS.M.A.R.T.の情報を記録することにより、ログから、ディスクの複製処理によるディスクへの影響度合を判断可能となる。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
ディスクの物理的複製の設定情報としては、複製作業の作業名(Disk Duplication等)、複製元の記憶媒体の情報、複製先の記憶媒体の情報、作成するハッシュタイプ、等が記録される。
ディスクの物理的複製処理の進捗情報としては、ディスクの物理的複製処理を開始した旨、作成したハッシュ値、複製処理のサマリー、複製の成否、複製に要した時間、等が記録される。
「ディスクの複製」の実行時に作成されるオペレーションログL2には、ディスクの物理的複製の作成を選択する操作入力、ソース記憶媒体の選択、複製先のディスクを選択する操作入力、「次へ」をクリックする操作入力、ハッシュタイプを指定する操作入力、複製開始を指示する操作入力、等が記録されている。
機能選択画面において「ディスクの保全」を選択する操作入力が行われると、保全対象ディスクを選択するディスク選択画面が表示される(S71)。
図17は、ディスク選択画面の一例を示す図である。ディスク選択画面には、選択可能なディスク名が一覧表示されており、各ディスク名に対応づけて選択用のチェックボックスが表示されている。ディスク選択画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。ディスク名に対応するチェックボックスにチェックを入れて「次へ」ボタンを操作入力すると、保全内容設定画面が表示される(S72)。
図18は、保全内容設定画面の一例を示す図である。保全内容設定画面には、保全データ名の入力部、保全用メモの入力部、ハッシュタイプを選択するラジオボタン、保全データのフォーマット(E01イメージファイル形式、DDイメージファイル形式等)を選択するラジオボタンが、それぞれ表示されている。保全内容設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。作業者が「戻る」ボタンを操作入力すると図17に示すディスク選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
保全データ名の入力部に入力される文字列は、ディスクの保全によって作成されるイメージデータのファイル名として使用される。保全用メモの入力部に入力される文字列は、保全に係る付記的なメモとしてログに記録される。所望のハッシュタイプと保全データのフォーマットを選択して「次へ」ボタンを操作入力するとオプション設定画面が表示される(S73)。
図19は、オプション設定画面の一例を示す図である。オプション設定画面には、保全データの分割保存の要否を選択するラジオボタン、不良セクタのスキップの要否を選択するラジオボタンがそれぞれ表示されている。保全内容の設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると、図18に示す保全内容選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
オプション設定画面において、分割保存の要否と不良セクタのスキップの要否を選択し、分割保存を選択した場合は分割サイズを指定して「次へ」ボタンを操作入力すると保全内容確認画面が表示される(図20参照)。保全内容確認画面には、「戻る」、「保全開始」、「キャンセル」のボタンが表示されている。「戻る」ボタンが操作入力されると図19に示すオプション選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
保全内容確認画面の表示内容に問題が無い場合は、作業者は「保全開始」のボタンを操作入力する。すると、制御部51は、原記憶媒体となる記憶媒体50のデータを、いわゆるDisk-to-File方式により、各種デジタル・フォレンジックツールで利用可能なイメージファイル形式(E01イメージファイル形式、DDイメージファイル形式等)にイメージファイル化したソフトウェア的複製を記憶媒体11に保存する(S74)。この保存処理の進捗は、図20に示す保全内容確認画面プログレスバーにより表示される。
イメージファイル形式でデジタル証拠を作成することにより、データ改変の可能性を低くすることができる。併せて、原記憶媒体となる記憶媒体50のデータからハッシュ関数(MD5、SHA-256等)を用いてハッシュ値を作成し、イメージファイルとともに記憶媒体11に保存する。原記憶媒体のデータから作成したハッシュ値をイメージファイルと共に保存することにより、作成されたイメージデータのデータが改変されていないことを証明することができる。
イメージファイルの作成と保存が完了すると、ディスクの保全の作業のサマリーを表示するサマリー画面が表示される(図21参照)。サマリー画面には、ディスクの保全が正常終了したか否か、ディスクの保全に要した時間、エラーの発生回数、保全元のディスク情報、イメージファイルの保存先のディスク情報、ハッシュタイプ、保全フォーマット、分割の有無、不良セクタのスキップの有無、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて図10に示す機能選択画面に戻る。
このように、機能選択画面の「ディスクの保全」の項目の選択により実行される処理は、原記憶媒体の全領域に対してセクタ毎に行う複製であり、原記憶媒体のディスクの先頭セクタから末尾セクタまで、データ格納部分だけでなくデータ非格納部分も含めてイメージデータ化して解析用記憶媒体上に保存する。ディスクの保全の項目の選択により作成される解析用記憶媒体は、原記憶媒体のソフトウェア的複製に相当する。
「ディスクの保全」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、ディスクの保全の前処理としてのS.M.A.R.T.の情報、ディスクの保全の設定情報、ディスクの保全の進捗情報、ディスクの保全の後処理としてのS.M.A.R.T.の情報、等が記録される。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
ディスクの保全の設定情報としては、保全作業の作業名(Evidence Collection等)、保全元のディスクの情報、保存先のフォルダ名及びファイル名の情報、作成するハッシュタイプ、作成するイメージデータのフォーマット、データ分割記録の有無、不良セクタのスキップの有無、作業の説明、が記録される。
ディスクの保全の進捗情報としては、ディスクのイメージファイルの作成処理を開始した旨、スキップした不良セクタ、作成したハッシュ値、トータルのスキップ数、トータルの読み込みエラー数、保全処理のサマリー、ディスクの保全の成否、ディスクの保全に要した時間、が記録される。
ディスクの保全処理の前後でS.M.A.R.T.の情報を記録することにより、ログから、ディスクの保全処理によるディスクへの影響度合を判断可能となる。
「ディスクの保全」の実行時に作成されるオペレーションログL2には、ディスクの保全を選択する操作入力、保全元のディスクを選択する操作入力、データ分割の可否を選択する操作入力、不良セクタのスキップの可否を選択する操作入力、保存ファイル名の入力、使用するハッシュタイプを選択する操作入力、保存イメージデータの形式を選択する操作入力、保全イメージデータの作成開始を指示する操作入力、まとめの表示と終了を指示する操作入力、等が記録されている。
機能選択画面において「ドライバインストール」を選択する操作入力が行われると、第1OSプログラム12に組み込むドライバを選択するドライバ選択画面が表示される(S111)。
デジタル証拠作成装置1には、ドライバ格納用の記憶領域Rdrv(フォルダ等)が予め用意されている。デジタル証拠作成装置1を解析で用いるパソコン等に論理ディスクとしてマウントされると、デジタル証拠作成装置1の記憶領域Rdrvには当該解析で用いるパソコン等を介して各種デバイスのドライバファイル(INFファイルを含むその他ドライバファイル(SYS、DLL、CAT等))を保存することができる。デジタル証拠作成プログラム13を実行するPC5が有する第6処理部F6は、記憶領域Rdrvにアクセスして記憶領域Rdrvに記憶されているドライバの一部又は全部を第1OSプログラム12に組込むドライバ組込機能を提供する。
図39は、ドライバ組込画面の一例を示す図である。ドライバ組込画面には、ドライバセットアップ情報を記述したINFファイルを選択するためのドロップダウンメニューと、選択されたINFファイルに対応するドライバの情報を表示するドライバ内容表示部と、が設けられている。ドライバ組込画面には、「ドライバ組込み」、「キャンセル」のボタンも表示されている。「キャンセル」ボタンが操作入力されると、ドライバ組込機能を終了して、図10に示す機能選択画面に戻る。
ドロップダウンメニューでINFファイルを選択して「ドライバ組込み」ボタンを操作入力すると、デジタル証拠作成プログラム13は、ドロップダウンメニューで選択されたINFファイルのドライバを、第1OSプログラム12に組み込む処理を行う(S112)。ドライバの組み込みが完了すると、図40に示すように、ドライバの正常組込が完了した旨の表示を行う。その後、必要に応じて、ドロップダウンメニューに表示される他のINFファイルに対応するドライバについても同様の操作を行ってドライバ組込みを行うことができる。
このように、専用のドライバ保存用の記憶領域Rdrvを用意し、当該記憶領域に作業者自らが必要なドライバファイルを保存して自由にドライバ組込みを行えるようにしてあるため、第1OSプログラム12に予め組み込み済みのドライバではアクセスが不可能であったPC5内のデバイスや外部接続機器にもアクセスしてデジタル証拠を作成可能となる。
具体的な一例を挙げると、PCI Expressで接続されるSSD(Solid State Drive)のように通常のインターフェース接続の記憶媒体と異なる態様で接続された記憶媒体についても、所要のドライバを組み込むことによりアクセス可能となる。また、複数台の記憶媒体を組み合わせて構築するディスクアレイ装置は、従来、ディスクアレイ装置を構成する記憶媒体毎にディスクの複製や保全を行っており、解析時に各記憶媒体に分散記憶された情報を再構築して一連の情報を復元する手間を要していたが、本実施形態に係るドライバ組込機能を利用してRAIDコントローラーのドライバを組み込むことにより、ディスクアレイ装置に記憶された情報を一連の情報として読みだして複製や保全を作成することが可能となる。
「ドライバインストール」の実行時には、特にエビデンスログL1へのログの記録は行われないが、ドライバインストールによって新たにドライバを組み込んだデバイスについては、他の項目の実行時に記録されるハードウェア情報の中に、組み込まれたドライバファイルに記録されている当該デバイスの名称等が記録されるようになる。
「ドライバインストール」の実行時に作成されるオペレーションログL2には、インストールするドライバを選択する操作、選択したドライバをインストールした事実、ドライバインストール画面を閉じる操作等が記録される。
(2)第2の実施形態:
図22は、本実施形態に係るデジタル証拠作成システム200の構成を示す図である。デジタル証拠作成システム200は、上述した第1の実施形態と同様に、デジタル証拠作成装置1をPC5に接続した構成により実現される。
本実施形態において、PC5の記憶媒体50には第2のオペレーティングシステム(第2OSプログラム57)が記憶されており、記憶媒体50がPC5においてブートデバイスに設定されている。このため、PC5の電源を投入すると、記憶媒体50に記憶された第2OSプログラム57によってブートされる。
第2OSプログラム57は、記憶媒体50から読みだされてPC5で実行される際に、デジタル証拠作成装置1、及び、PC5の記憶媒体50を論理ディスクとしてマウントする。その後、PC5で稼働する第2OSプログラム57上で、デジタル証拠作成装置1の記憶媒体11に記憶されたデジタル証拠作成プログラム13が実行される。
第2OSプログラム57上で実行されるデジタル証拠作成プログラム13は、上述した第1の実施形態に係るデジタル証拠作成プログラム13とほぼ同様の機能を実現する。ただし、第1の実施形態の機能選択画面(図10参照)の「ディスクの複製」の項目及び「ドライバインストール」の項目については選択不可となる一方、「パーティションの保全」、「ファイル・フォルダの保全」の2つの項目は選択可能になる。原記憶媒体としての記憶媒体50を論理ディスクとしてマウントしているためである。なお、パーティションは特定領域に相当し、ファイル・フォルダは、特定フォルダ又は特定ファイルに相当する。
このため、上述した第1の実施形態の図3に示すフローチャートに対応する処理は、図23に示す流れとなる。図24は、図23に示す「パーティションの保全」の操作項目が選択された際に実行される処理の流れを示し、図25には、図23に示す「ファイル・フォルダの保全」の操作項目が選択された際に実行される処理の流れを示す。なお、「パーティションの保全」及び「ファイル・フォルダの保全」以外の操作項目が選択された際に実行される処理は、第1の実施形態と同様であるため(上述した「ディスクの複製」の項目と「ドライバインストール」の項目は除く)以下では説明を省略する。
機能選択画面において「パーティションの保全」を選択する操作入力が行われると、保全対象パーティションを選択するパーティション選択画面が表示される(S91)。
図26は、パーティション選択画面の一例を示す図である。パーティション選択画面には、選択可能なパーティション名が一覧表示されており、各パーティション名に対応づけて選択用のチェックボックスが表示されている。パーティション選択画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。パーティション名に対応するチェックボックスにチェックを入れて「次へ」ボタンを操作入力すると、保全内容設定画面が表示される(S92)。
図27は、保全内容設定画面の一例を示す図である。保全内容設定画面には、保全データ名の入力部、保全用メモの入力部、ハッシュタイプを選択するラジオボタン、保全データのフォーマット(E01イメージファイル形式、DDイメージファイル形式等)を選択するラジオボタンが、それぞれ表示されている。保全内容設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。作業者が「戻る」ボタンを操作入力すると図26に示すパーティション選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
保全データ名の入力部に入力される文字列は、パーティションの保全によって作成されるイメージデータのファイル名として使用される。保全用メモの入力部に入力される文字列は、保全に係る付記的なメモとしてログに記録される。ハッシュタイプと保存データのフォーマットを選択して「次へ」ボタンを操作入力するとオプション設定画面が表示される(S93)。
図28は、オプション設定画面の一例を示す図である。オプション設定画面には、保全データの分割保存の要否を選択するラジオボタン、不良セクタのスキップの要否を選択するラジオボタンがそれぞれ表示されている。保全内容の設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると、図27に示す保全内容選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
オプション設定画面において、分割保存の要否と不良セクタのスキップの要否を選択し、分割保存を選択した場合は分割サイズを指定して「次へ」ボタンを操作入力すると保全内容確認画面が表示される。
図29は、保全内容確認画面の一例を示す図である。保全内容確認画面には、「戻る」、「保全開始」、「キャンセル」のボタンが表示されている。「戻る」ボタンが操作入力されると図28に示すオプション選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
保全内容確認画面の表示内容に問題が無い場合は、作業者は「保全開始」のボタンを操作入力する。すると、制御部51は、原記憶媒体となる記憶媒体50の指定されたパーティションを、いわゆるDisk-to-File方式により、各種デジタル・フォレンジックツールで利用可能なイメージファイル形式にイメージファイル化したソフトウェア的複製を記憶媒体11に保存する(S94)。この保存処理の進捗は、図29に示す保全内容確認画面プログレスバーにより表示される。
イメージファイル形式でデジタル証拠を作成することにより、データ改変の可能性を低くすることができる。併せて、原記憶媒体となる記憶媒体50のデータからハッシュ関数(MD5、SHA-256等)を用いてハッシュ値を作成し、イメージファイルとともに記憶媒体11に保存する。原記憶媒体の指定されたパーティションのデータから作成したハッシュ値をイメージファイルと共に保存することにより、原記憶媒体から作成されたイメージファイルがその後改変されていないことを証明することができる。
パーティションの保全が完了すると、保全作業のサマリーを表示するサマリー画面が表示される(図30参照)。サマリー画面には、保全が正常終了したか否か、保全に要した時間、エラーの発生回数、保全元のパーティション情報、保全先のファイル情報、ハッシュタイプ、保全フォーマット、分割の有無、不良セクタのスキップの有無、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて図10に示す機能選択画面に戻る。
「パーティションの保全」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、パーティションの保全の前処理としてのS.M.A.R.T.の情報、パーティションの保全の設定情報、パーティションの保全の進捗情報、パーティションの保全の後処理としてのS.M.A.R.T.の情報、が記録される。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
パーティションの保全の設定情報としては、保全作業の作業名(Evidence Collection等)、保全元の記憶媒体の情報、作成したイメージデータの保存先とファイル名の情報、作成するハッシュタイプ、作成するイメージデータのフォーマット、データ分割記録の有無、不良セクタのスキップの有無、作業の説明 、が記録される。
パーティションの保全の進捗情報としては、パーティションの保全処理を開始した旨、作成したハッシュ値、パーティションの保全処理のサマリー、パーティションの保全の成否、パーティションの保全に要した時間、が記録される。
パーティションの保全の前後でS.M.A.R.T.の情報を記録することにより、パーティションの保全処理による原記憶媒体としての記憶媒体50に対する影響度合を、ログから判断可能となる。
「パーティションの保全」の実行時に作成されるオペレーションログL2には、パーティションの保全を選択する操作入力、保全元の記憶媒体を選択指定する操作入力、データ分割の可否を選択する操作入力、不良セクタのスキップの可否を選択する操作入力、保存ファイル名の入力、使用するハッシュタイプを選択する操作入力、保存するイメージデータの形式を選択する操作入力、バックアップの開始を指示する操作入力、まとめの表示と終了を指示する操作入力、等が記録されている。
機能選択画面において「ファイル・フォルダの保全」を選択する操作入力が行われると、保全対象ファイル又はフォルダを選択するファイル・フォルダ選択画面が表示される(S101)。
図31は、ファイル・フォルダ選択画面の一例を示す図である。ファイル・フォルダ選択画面には、選択可能なファイル名やフォルダ名が一覧表示されており、各ファイル名・フォルダ名に対応づけて選択用のチェックボックスが表示されている。ファイル・フォルダ選択画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると図10に示す機能選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
ファイル・フォルダに対応するチェックボックスにチェックを入れて「次へ」ボタンを操作入力すると、保全内容設定画面が表示される(S102)。
図32は、保全内容設定画面の一例を示す図である。保全内容設定画面には、保全データ名の入力部、保全用メモの入力部、が表示されている。保全内容設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。作業者が「戻る」ボタンを操作入力すると図31に示すファイル・フォルダ選択画面に戻る。作業者が「キャンセル」ボタンを操作入力すると図10に示す機能選択画面に戻る。
保全データ名の入力部に入力される文字列は、ファイル・フォルダの保全によって作成されるフォルダ名として使用される。保全用メモの入力部に入力される文字列は、保全に係る付記的なメモとしてログに記録される。その後、「次へ」ボタンを操作入力するとオプション設定画面が表示される(S103)。
図33は、オプション選択画面の一例を示す図である。オプション設定画面には、不良セクタのスキップの要否を選択するラジオボタンが表示されている。保全内容の設定画面には、「戻る」、「次へ」、「キャンセル」のボタンも表示されている。「戻る」ボタンが操作入力されると、図32に示す保全内容選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
オプション選択画面において、不良セクタのスキップの要否を選択し、「次へ」ボタンを操作入力すると保全内容確認画面が表示される(図34参照)。保全内容確認画面には、「戻る」、「保全開始」、「キャンセル」のボタンが表示されている。「戻る」ボタンが操作入力されると図33に示すオプション選択画面に戻る。「キャンセル」ボタンが操作入力されると、図10に示す機能選択画面に戻る。
保全内容確認画面の表示内容に問題が無い場合は、作業者は「保全開始」のボタンを操作入力する。すると、制御部51は、原記憶媒体となる記憶媒体50の指定されたファイル又はフォルダをAS IS(ファイル名、フォルダ名、サイズ、タイムスタンプ等を維持した形式)で、且つ読み取り専用属性で記憶媒体11に保存する(S104)。この保存処理の進捗は、図34に示す保全内容確認画面プログレスバーにより表示される。
なお、このパーティションの保全やファイル・フォルダの保全においては、第2OSプログラム57が使用中のファイル等の保全が必要な場合もあるため、本実施形態に係るデジタル証拠作成プログラム13は、ボリューム上のファイルを使用・非使用に関わらず現在の状態のコピーを作成するコピー機能を有している。このようなコピー機能の一例として、OSに実装されているボリューム・シャドウ・コピー・サービス(VSS)があるが、本実施形態では、これと同様又は類似のコピー機能をアプリケーションであるデジタル証拠作成プログラム13に実装しており、第2OSプログラム57が使用中のファイル等の保全を可能化してある。
このように、本実施形態に係るパーティションの保全やファイル・フォルダの保全では、第2OSプログラム57の稼働中に当該第2OSプログラム57が使用中のファイル等も含めて限りなく原本の中身と同様の状態で保全できる。これにより、サイバー攻撃等のように情報処理装置内で活性中のマルウェア等をタイムスタンプを維持した状態で捕獲することができる。また、クラウド上で閲覧するメールやブラウザ等の場合のようにRAM等の一時的な記憶媒体にキャッシュされた情報についても保全することができる。
また、AS ISでファイル・フォルダを保存することにより、解析に特殊な専門的機器を使わずに保全データの解析を行うことができる。併せて、上述したように保全データを読み取り専用属性で保存しているため、特殊な専門的機器を使わずとも、AS ISのデータを改変することがない。
保全が完了すると、保全作業のサマリーを表示するサマリー画面が表示される(図35参照)。サマリー画面には、保全が正常終了したか否か、保全に要した時間、エラーの発生回数、保全元のファイル・フォルダ情報、保全先のファイル情報、保全フォーマット、分割の有無、不良セクタのスキップの有無、等が表示される。サマリー画面の「終了」ボタンを操作入力すると、サマリー画面が閉じて機能選択画面に戻る。
「ファイル・フォルダの保全」の実行時に作成されるエビデンスログL1には、概略、案件識別情報、作業者識別情報、情報収集開始日時、付記的な説明、各種ハードウェア情報、ファイル・フォルダの保全の前処理としてのS.M.A.R.T.の情報、ファイル・フォルダの保全の設定情報、ファイル・フォルダの保全の進捗情報、ファイル・フォルダの保全の後処理としてのS.M.A.R.T.の情報、が記録される。
各種ハードウェア情報としては、Disk Type、Disk Model、Disk Serial、Disk Size、Disk LBA、Computer Manufacturer、Computer Model、Computer Serial、Processor ID、Processor Manufacturer、Processor speed、Computer Memory、BIOS Manufacturer、BIOS Version、BIOS Date、Network Adapter、Network Description、Network Mac Addressが例示される。
ファイル・フォルダの保全の設定情報としては、保全作業の作業名(Evidence Collection等)、保全元の記憶媒体の情報、作成した書庫ファイルの保存先とファイル名の情報、作成する書庫ファイルのフォーマット、データ分割記録の有無、不良セクタのスキップの有無、作業の説明 、が記録される。
ファイル・フォルダの保全の進捗情報としては、ファイル・フォルダの保全処理を開始した旨、ファイル・フォルダの保全処理のサマリー、ファイル・フォルダの保全の成否、ファイル・フォルダの保全に要した時間、が記録される。
ファイル・フォルダの保全処理の前後でS.M.A.R.T.の情報を記録することにより、ログから、ファイル・フォルダの保全処理による原記憶媒体への影響度合を判断可能となる。
「ファイル・フォルダの保全」の実行時に作成されるオペレーションログL2には、ファイル・フォルダの書庫ファイルの作成を選択する操作入力、保全元のファイル・フォルダを選択する操作入力、データ分割の可否を選択する操作入力、不良セクタのスキップの可否を選択する操作入力、保存ファイル名を入力する操作入力、使用するハッシュタイプを選択する操作入力、バックアップの開始指示の操作入力、終了を指示する操作入力、等が記録される。
(3)第3の実施形態:
図36は、本実施形態に係るデジタル証拠作成システム300の構成を示す図である。デジタル証拠作成システム300は、上述した第1の実施形態のPC5が内蔵又はPC5に外部接続されるCD−ROMドライブ等の記憶媒体読取装置301に、デジタル証拠作成プログラム13が記憶されたCD−ROM等の記憶媒体302をセットした構成により実現される。
記憶媒体302には、上述した第1の実施形態で説明した第1OSプログラム12及びデジタル証拠作成プログラム13が記憶されており、PC5は記憶媒体読取装置301をブートデバイスに設定されている。このため、PC5の電源を投入すると、記憶媒体読取装置301にセットされた記憶媒体302に記憶された第1OSプログラム12によってブートされる。その後、PC5で稼働する第1OSプログラム12上で、記憶媒体302に記憶されたデジタル証拠作成プログラム13が実行される。
このようにして第1OSプログラム12上で実行されるデジタル証拠作成プログラム13は、上述した第1実施形態に係るデジタル証拠作成プログラム13と同様の機能を実現することができる。上述した各ログは、CD−ROM等の記憶媒体302に記憶されたデジタル証拠作成プログラム13の実行時にも、PC5に接続されたデジタル証拠作成装置1の記憶媒体11に記憶される。また、CD−ROM等の記憶媒体302に記憶されたデジタル証拠作成プログラム13の実行時にも、上述した第1の実施形態と同様に、PC5に接続されたデジタル証拠作成装置1の記憶媒体11に設けられたドライバ記憶領域Rdrvに記憶されたドライバファイルを第1OSプログラム12に組み込むことができる。
なお、記憶媒体302に記憶されているデジタル証拠作成プログラム13においても、PC5にデジタル証拠作成装置1が接続されていることを動作条件(起動条件、機能実行条件、等)としてある。すなわち、デジタル証拠作成プログラム13は、PC5にデジタル証拠作成装置1が接続されている場合には起動・機能実行可能であるが、PC5にデジタル証拠作成装置1が接続されていない場合には、起動・機能実行できない構成としてある。
(4)第4の実施形態:
図37は、本実施形態に係るデジタル証拠作成システム400の構成を示す図である。デジタル証拠作成システム400は、上述した第1の実施形態と同様にPC5にデジタル証拠作成装置1を接続した構成、又は上述した第3の実施形態と同様にPC5にデジタル証拠作成装置1を接続しつつ記憶媒体読取装置301にデジタル証拠作成プログラム13が記憶された記憶媒体302をセットした構成であるが、本実施形態においてはPC5に他の記憶装置401,402が外部接続されている。本実施形態においては、記憶装置401が原記憶媒体を構成し、記憶装置402が解析用記憶媒体となる。
本実施形態においては、デジタル証拠作成装置1を接続されたPC5は、いわゆるデュプリケータと同様の機能を実現するものであり、デジタル証拠作成装置1からブートされてPC5上で実行される第1OSプログラム12は、記憶装置401,402を論理ディスクとしてマウントせず、物理ディスクとしてアクセスする。これにより、原記憶媒体としての記憶装置401の法的証拠能力を低下させることなく、記憶装置401内のデータを複製等した解析用記憶媒体としての記憶装置402を作成することができる。
(5)その他変形例:
デジタル証拠作成装置1は、ディスクの保全、パーティションの保全、ファイル・フォルダの保全、等の保全機能で作成したイメージデータや書庫ファイル等の保全データを、証拠性を担保しつつ他の記憶媒体に複製する機能を有していてもよい。この複製機能は、例えば、デジタル証拠作成装置1に添付して頒布されるCD−ROM等に記憶された保全データ複製プログラムを情報処理装置にインストールして実行することにより実現することができる。
この複製機能は、保全データと一緒に保存されているハッシュ値と、保全データから新たに生成するハッシュ値とを比較し、ハッシュ値が一致する場合には保全データと当該ハッシュ値とを他の記憶媒体に複製する。このように、保全データの複製に先立ってハッシュ値の比較を行うことにより、保全データを解析用パソコンに複製したり、別の記憶媒体に複製したりする際に、証拠の正当性を担保された複製を作成することができる。
また、デジタル証拠作成装置1に添付して頒布されるCD−ROM等に、デジタル証拠作成装置1を工場出荷時の状態に回帰させるワイプ機能を実現する初期化プログラムを記憶しておく。この初期化プログラムを情報処理装置上で実行することにより、デジタル証拠作成装置1の記憶媒体の全セクタにヌル文字を書き込む等の初期化が行われる。逆に言えば、添付のCD−ROMに記憶された初期化プログラム以外では、工場出荷時の状態に回帰させることができない構成とする。これにより、デジタル証拠作成装置1に記憶された保全データが誤って消去されることを防止できる。
なお、本発明は上述した実施形態に限られず、上述した実施形態の中で開示した各構成を相互に置換したり組み合わせを変更したりした構成、公知技術並びに上述した実施形態の中で開示した各構成を相互に置換したり組み合わせを変更したりした構成、等も含まれる。また、本発明の技術的範囲は上述した実施形態に限定されず、特許請求の範囲に記載された事項とその均等物まで及ぶものである。
1…デジタル証拠作成装置、11…記憶媒体、12…第1OSプログラム、13…デジタル証拠作成プログラム、14…コントローラーチップ、5…PC、50…記憶媒体、51…制御部、52…ディスプレイコントローラ、53…ネットワークコントローラ、54…光学ドライブ、55…USBコントローラー、56…ディスプレイ、57…第2OSプログラム、200…デジタル証拠作成システム、300…デジタル証拠作成システム、301…記憶媒体読取装置、302…記憶媒体、400…デジタル証拠作成システム、401…記憶装置、402…記憶装置、F1…第1処理部、F2…第2処理部、F3…第3処理部、F4…第4処理部、F5…第5処理部、F6…第6処理部、L1…エビデンスログ、L2…オペレーションログ、Rdrv…ドライバ記憶領域、Rlog…デジタル証拠記憶領域

Claims (13)

  1. 情報処理装置に接続して用いるデジタル証拠作成装置であって、
    デジタル証拠作成プログラムが記憶された第1記憶媒体を備え、
    前記第1記憶媒体の前記デジタル証拠作成プログラムを前記情報処理装置が実行することにより、前記情報処理装置は、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する機能と、当該解析用記憶媒体の作成に係る動作履歴を記録する機能と、前記原記憶媒体の機器固有情報を記録する機能と、前記情報処理装置に対するデジタル証拠作成に係る操作入力を記録する機能と、を実現することを特徴とするデジタル証拠作成装置。
  2. 前記第1記憶媒体には第1のオペレーティングシステムプログラムが記憶されており、
    前記デジタル証拠作成プログラムは、前記第1記憶媒体から読みだされて前記情報処理装置において実行される前記第1のオペレーティングシステムプログラム上で実行され、
    前記第1のオペレーティングシステムプログラムは、前記情報処理装置において、前記デジタル証拠作成装置を論理ディスクとしてマウントする一方、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体については論理ディスクとしてマウントせず、前記解析用記憶媒体を作成する際は前記原記憶媒体に物理ディスクとしてアクセスすることを特徴とする請求項1に記載のデジタル証拠作成装置。
  3. 前記解析用記憶媒体には、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする物理的複製が記録される
    ことを特徴とする請求項2に記載のデジタル証拠作成装置。
  4. 前記情報処理装置の内部又は外部の記憶媒体には第2のオペレーティングシステムが記憶されており、
    前記デジタル証拠作成プログラムは、前記内部又は外部の記憶媒体から読みだされて前記情報処理装置において実行される前記第2のオペレーティングシステム上で実行され、
    前記第2のオペレーティングシステムは、前記情報処理装置において、前記デジタル証拠作成装置を論理ディスクとしてマウントするとともに、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体を論理ディスクとしてマウントし、前記解析用記憶媒体を作成する際は前記原記憶媒体に論理ディスクとしてアクセスする
    ことを特徴とする請求項1に記載のデジタル証拠作成装置。
  5. 前記解析用記憶媒体には、前記情報処理装置の内部又は外部の原記憶媒体となる記憶媒体の特定領域、特定フォルダ、特定ファイルの少なくとも1つのソフトウェア的複製が記録される
    ことを特徴とする請求項4に記載のデジタル証拠作成装置。
  6. 前記解析用記憶媒体には、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とするソフトウェア的複製が記録される
    ことを特徴とする請求項1〜請求項5の何れか1項に記載のデジタル証拠作成装置。
  7. 前記デジタル証拠作成プログラムを実行する前記情報処理装置は、原記憶媒体から解析用記憶媒体を作成する前後でそれぞれ当該原記憶媒体に係る耐用指標情報を取得し、解析用記憶媒体の作成に係る動作履歴として記録する
    ことを特徴とする請求項1〜請求項6の何れか1項に記載のデジタル証拠作成装置。
  8. 前記デジタル証拠作成プログラムを実行する前記情報処理装置は、前記情報処理装置の内部又は外部の記憶媒体の耐用指標情報を取得して表示部に表示するとともに、当該耐用指標情報の取得に係る動作履歴を記録する機能を有する
    ことを特徴とする請求項1〜請求項7の何れか1項に記載のデジタル証拠作成装置。
  9. 前記デジタル証拠作成プログラムを実行する前記情報処理装置は、前記情報処理装置と当該情報処理装置の内部又は外部の記憶媒体の少なくとも一方の機器固有情報を取得して表示部に表示するとともに、当該機器固有情報に係る動作履歴を記録する機能を有する
    ことを特徴とする請求項1〜請求項8の何れか1項に記載のデジタル証拠作成装置。
  10. 前記デジタル証拠作成プログラムを実行する前記情報処理装置は、前記動作履歴、前記機器固有情報、及び前記操作入力に係る記録を前記第1記憶媒体に記録する構成であり、
    前記デジタル証拠作成プログラムは、前記デジタル証拠作成装置が前記情報処理装置に接続されていることを動作条件とする
    ことを特徴とする請求項1〜請求項9の何れか1項に記載のデジタル証拠作成装置。
  11. 前記デジタル証拠作成装置は、前記第1記憶媒体にドライバファイル格納用の記憶領域を有し、
    前記第1記憶媒体の前記デジタル証拠作成プログラムを前記情報処理装置が実行することにより、前記情報処理装置は、前記記憶領域に保存されたドライバファイルを呼び出して一覧表示する機能と、一覧表示されたドライバファイルの中から選択された1又は複数のドライバファイルを前記第1のオペレーティングシステムプログラムに組込む機能と、を実現する
    ことを特徴とする請求項1〜請求項10の何れか1項に記載のデジタル証拠作成装置。
  12. 情報処理装置と、当該情報処理装置に接続して用いるデジタル証拠作成装置とを備えるデジタル証拠作成システムであって、
    前記デジタル証拠作成装置は、デジタル証拠作成プログラムが記憶された第1記憶媒体を備え、
    前記情報処理装置は、前記デジタル証拠作成装置の前記第1記憶媒体の前記デジタル証拠作成プログラムを実行することにより、前記情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する機能と、当該解析用記憶媒体の作成に係る動作履歴を記録する機能と、前記原記憶媒体の機器固有情報を記録する機能と、前記情報処理装置に対するデジタル証拠作成に係る操作入力を記録する機能と、を実現する
    ことを特徴とするデジタル証拠作成システム。
  13. 情報処理装置の内部又は外部の記憶媒体を原記憶媒体とする解析用記憶媒体を作成する機能と、
    当該解析用記憶媒体の作成に係る動作履歴を記録する機能と、
    前記原記憶媒体の機器固有情報を記録する機能と、
    前記情報処理装置に対するデジタル証拠作成に係る操作入力を記録する機能と、
    を、前記情報処理装置に実現させることを特徴とするデジタル証拠作成プログラム。
JP2015057064A 2015-03-20 2015-03-20 デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム Active JP6559984B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015057064A JP6559984B2 (ja) 2015-03-20 2015-03-20 デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015057064A JP6559984B2 (ja) 2015-03-20 2015-03-20 デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム

Publications (2)

Publication Number Publication Date
JP2016177525A true JP2016177525A (ja) 2016-10-06
JP6559984B2 JP6559984B2 (ja) 2019-08-14

Family

ID=57069434

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015057064A Active JP6559984B2 (ja) 2015-03-20 2015-03-20 デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム

Country Status (1)

Country Link
JP (1) JP6559984B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114943071A (zh) * 2022-07-21 2022-08-26 飞天诚信科技股份有限公司 一种认证设备获取时间的方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086617A (ja) * 2002-08-27 2004-03-18 Workbit Corp バックアップ装置
JP2006178521A (ja) * 2004-12-20 2006-07-06 Ubic:Kk デジタル・フォレンジックの方法及びフォレンジックitセキュリティシステム
JP2008216342A (ja) * 2007-02-28 2008-09-18 Tokyo Denki Univ カメラを利用した操作記録正当性証明システム及び方法
US20080243955A1 (en) * 2004-12-09 2008-10-02 New Technologies Armor, Inc. Bit Stream Backup Incorporating Parallel Processes

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086617A (ja) * 2002-08-27 2004-03-18 Workbit Corp バックアップ装置
US20080243955A1 (en) * 2004-12-09 2008-10-02 New Technologies Armor, Inc. Bit Stream Backup Incorporating Parallel Processes
JP2006178521A (ja) * 2004-12-20 2006-07-06 Ubic:Kk デジタル・フォレンジックの方法及びフォレンジックitセキュリティシステム
JP2008216342A (ja) * 2007-02-28 2008-09-18 Tokyo Denki Univ カメラを利用した操作記録正当性証明システム及び方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"アーク情報システム HD革命/CopyDrive Ver.3 Pro", PCFAN, vol. 2009年 1月1・15日号, JPN6018035511, 15 December 2008 (2008-12-15), JP, pages 174, ISSN: 0003969812 *
ARMAN GUNGOR, S.M.A.R.T.DATA IN COMPUTER FORENSICS, JPN6019024525, 9 January 2014 (2014-01-09), ISSN: 0004065078 *
池上 成朝, 改訂版 デジタル・フォレンジック事典, JPN6018035510, 26 April 2014 (2014-04-26), JP, pages 14 - 15, ISSN: 0003969811 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114943071A (zh) * 2022-07-21 2022-08-26 飞天诚信科技股份有限公司 一种认证设备获取时间的方法及装置
CN114943071B (zh) * 2022-07-21 2022-10-04 飞天诚信科技股份有限公司 一种认证设备获取时间的方法及装置

Also Published As

Publication number Publication date
JP6559984B2 (ja) 2019-08-14

Similar Documents

Publication Publication Date Title
US10296423B2 (en) System and method for live virtual incremental restoring of data from cloud storage
US10216936B2 (en) Method of preventing computer malfunction, computer program, and computer
KR100860447B1 (ko) 선택된 기능성을 갖는 오퍼레이팅 시스템 생성 및 이용을위한 방법 및 시스템
TWI475402B (zh) 遠端備份系統及其遠端備份方法
JP2014503895A (ja) システム・リセット
US20140046902A1 (en) Method for a cloning process to enable cloning a larger System drive to a smaller system
US20060106896A1 (en) System and method for creating list of backup files based upon program properties
KR101615646B1 (ko) 컴퓨터시스템, 그 제어방법과, 그 컴퓨터프로그램이 저장된 기록매체
US20070294332A1 (en) Processing device for end customer operation
TWI450194B (zh) 作業系統處理方法以及系統、以及儲存其之電腦可讀取記錄媒體
US20080288769A1 (en) Method for adjusting set-up default value of bios and mainboard using the same method
US20040107357A1 (en) Apparatus and method for protecting data on computer hard disk and computer readable recording medium having computer readable programs stored therein
Jeong et al. Forensic signature for tracking storage devices: Analysis of UEFI firmware image, disk signature and windows artifacts
JP6559984B2 (ja) デジタル証拠作成装置、デジタル証拠作成システム、及び、デジタル証拠作成プログラム
JP4538838B1 (ja) 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法
JP2017060154A (ja) デジタル証拠作成装置、デジタル証拠作成プログラム及びデジタル証拠作成方法
CN108009039B (zh) 终端信息的记录方法、装置、存储介质及电子设备
US8549273B1 (en) Method and apparatus to present a unique background image on a personal computer display when the computer system is booted from an external drive
JP7426269B2 (ja) 情報処理装置および情報処理システム
JP2011040044A (ja) 仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法
Varsalone Mac OS X, iPod, and iPhone forensic analysis DVD toolkit
CN113010107B (zh) 数据存储管理方法、装置、计算机设备及存储介质
JP7103804B2 (ja) ユーザインタフェース制御装置、ユーザインタフェース制御方法、及び、ユーザインタフェース制御プログラム
JP2009064301A (ja) リムーバブルメモリユニット
JP6204555B1 (ja) 不揮発性メモリに格納した変数を保護する方法、システム・ファームウェアおよびコンピュータ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171225

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180911

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190408

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190718

R150 Certificate of patent or registration of utility model

Ref document number: 6559984

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250