目次:
- 早期発見は、成功した調査にとって重要です。残念なことに、受動的または反応的な検出手法(監査証跡や偶発的な発見など)は、通常コンピュータ犯罪の規範であり、しばしば寒さの証拠を残します。更なる損失や損傷を最小限に抑えるために封じ込めが不可欠です。
- 直接的証拠:
ビデオ: Microsoft Digital Trust Summit 2019 基調講演 2025
コンピュータフォレンジック は、何が起きたのかを調べ、誰が責任を持っているかを知り、コンピュータ犯罪事件で使用するための認められる証拠。
調査と密接に関連していますが、調査とは明らかに異なるのはインシデント対応です。調査の目的は、何が起こったのかを判断し、誰が責任を負うのかを判断し、証拠を収集することです。 事故対応 は、何が起こったのかを判断し、損傷を含み、評価し、正常な動作を回復させる。
<!調査とインシデント対応は、いずれかの活動の初期行動が証拠を破棄したり、組織の資産をさらに損なうことがないように、しっかりと調整された方法で同時に実行されることが多い。このため、コンピュータ事故(または緊急事態)対応チーム(それぞれCIRTまたはCERT)は、証拠を保存しながら犯罪現場または事件を確実に訓練し、資格を持つ必要があります。理想的には、CIRTには調査を行う個人が含まれています。<!コンピュータ犯罪の捜査は、コンピュータ犯罪または事件の報告直後に開始する必要があります。最初に、予備調査で別途判断されるまでは、コンピュータ犯罪調査として処理する必要があります。調査プロセスに従わなければならない一般的な手順は次のとおりです。
検出と包含:早期発見は、成功した調査にとって重要です。残念なことに、受動的または反応的な検出手法(監査証跡や偶発的な発見など)は、通常コンピュータ犯罪の規範であり、しばしば寒さの証拠を残します。更なる損失や損傷を最小限に抑えるために封じ込めが不可欠です。
- 通知管理: できるだけ早く調査を通知する必要があります。調査の知識は、可能な限り少数の人に限られ、知っておく必要があるはずです。調査に関する機密通信が傍受されないようにするには、帯域外通信方法(個人での報告)を使用する必要があります。
- これは実際に犯罪が起きたかどうかを判断するために必要です。ほとんどの事件は犯罪行為ではなく、正直な間違いです。このステップには以下が含まれます:•苦情または報告のレビュー•999•被害の検査 •証人へのインタビュー
- •ログの調査 •さらなる調査要件の特定
開示決定の開始:
決定する最も重要なことは、犯罪または事件の開示が法律によって要求されるかどうかである。次に、開示が望まれるかどうかを決定する。これは、組織の広報担当者または広報担当者と調整する必要があります。
調査を行う:
•
潜在的な容疑者を特定する。
- これには組織の内部者と外部者が含まれます。潜在的な容疑者を特定または排除するのに役立つ標準的な弁別者の1つは、MOMテストです:容疑者は、犯罪を犯す動機、機会、手段を持っていましたか? •
- 潜在的な目撃者を特定する。
誰がインタビューを受けるのか、誰がインタビューを行うのかを決定する。調査の可能性のある疑いのある人物に注意を払わないように注意してください。目撃者の声明で、意見ではなく事実を得ることに焦点を合わせる。 • 検索と発作の準備をします。
これには、検索または押収されるシステムおよび証拠のタイプの特定、検索および押収チームメンバー(CIRT)の指定および訓練、適切な検索ワラントの取得および提供(必要な場合)、システムへの潜在的リスクの判断検索と発作の努力中に。 報告書の所見: 証拠を含む調査結果は、経営陣に報告し、適切な法執行官または検察官に引き渡さなければならない。
証拠 証拠 は、論争中の事実を確認または却下するために裁判所に提出された情報です。ケースをサポートするのに十分な証拠がなければ、ケースを試行することはできません。したがって、証拠を適切に収集することは、研究者にとって最も重要で最も困難な課題の1つです。
- 証拠の種類 法廷に提出できる法的証拠の源泉は、一般的に4つの主要カテゴリの1つに分類されます。
直接的証拠:
これは口頭による証言または具体的な事実や問題を立証したり否定したりする証人の五感(目撃証言)を通して集められた情報。 •ツールと武器
•盗難または損害を受けた財産
•ビジュアルまたはオーディオの監視テープ(999)実際の犯罪からの実体
- コンピュータ犯罪による身体的な証拠はめったに入手できません。 ドキュメンテーションの証拠:
- コンピュータ犯罪の場合に示されるほとんどの証拠は、証拠資料である。 •業務記録の原本とコピー
•コンピュータで作成されコンピュータに保存された記録
•マニュアル
•ポリシー
-
•標準
- •手順 •ログファイル >コンピュータ記録を含むビジネス記録は、伝統的に、これらの記録が正確で信頼性が高いと証明できないため、大部分の裁判所の証拠とみなされています。コンピュータ犯罪の訴訟で検察官が克服する最も重要な障害の1つは、コンピュータ記録を証拠として認めていることです。
証拠の証拠。
裁判所が事件の理解を助けるために使用します。意見は実証的な証拠とみなされ、
専門家:
個人的専門知識と事実に基づく
•
なし:
事実のみに基づく
-
証拠には、モデル、シミュレーション、図表、イラストが含まれます。上記の主要カテゴリーの少なくとも1つに該当する可能性のある他のタイプの証拠には、
- 最良の証拠: 元の変更されていない証拠が含まれる。裁判所では、これは二次的証拠よりも好ましい。コンピュータから抽出されたデータは、最良の証拠ルールを満たし、通常、裁判手続に導入されることがあります。
証拠の重複またはコピー •テープバックアップ •スクリーンキャプチャ
•写真 裏付け証拠: 提示されたその他の証拠を裏付けるある場合には。
-
決定的な証拠:
控え目で反駁できないもの:喫煙銃。
- 証拠の証拠: 他の出来事に直接的または結論的に関連することはできないが、合理的な推論が可能な関連する事実。 証拠の可否
- コンピュータで生成された証拠は、しばしば容易に操作、改ざん、改ざんされることがあり、容易かつ一般的に理解されないため、この種の証拠は通常法廷で容疑とみなされます。 関連性:
事件に関連して重要な事実を証明または反証する傾向がなければならない。
信頼性:
証拠として提示されるものはもともと収集されたものであり、証拠自体が信頼できるものであることが合理的に証明されなければならない。これは、部分的には、適切な証拠の取り扱いと保管の連鎖を通じて達成される。
- 法的に許可される: 法的手段によって取得されなければならない。法的に認められていない証拠には、以下の手段によって得られた証拠が含まれている可能性があります。
- • 不正な検索と差押え:
- 法執行官は、しかし、監督者やシステム管理者などの法執行機関の職員は、状況によっては認定された検索を行うことができます。 •
不正な盗聴または電話タップ:
盗聴または電話タップを行う人は、事前に裁判所命令を受けなければなりません。
•
- 陥没または搾取: 罠
- は、誰かが犯罪を犯して、犯行の意思がない可能性があることを奨励します。逆に、 誘惑
- は、その個人が既に犯罪を犯した後、ある証拠(もしあればハニーポット)に向けて誘惑します。誘惑は必ずしも違法ではないが、倫理的主張を提起し、裁判所で認められない可能性がある。 •
強制: 強制的な証言や告白は法的に認められていません。 •
不正または不適切なモニタリング: アクティブモニタリングは、適切に承認され、標準的な方法で実施されなければなりません。ユーザーに監視の対象となる可能性があることを通知する必要があります。
