ネットの活用法や便利なアプリ、お得な買い物テクニックなど知って得する情報を毎日更新しています。

サイバー犯罪捜査で犯人を追跡する方法とは?

日々、多くのサイバー犯罪がメディアを賑わせていますが、サイバー犯罪捜査では具体的にどうやって犯人を見つけ、検挙するのでしょうか? 殺人や窃盗に比べ、ネット犯罪の追跡方法は単純です。被害を受けたサイトのサーバやルータに残された通信記録が、最初に取りかかる情報となります。


スポンサーリンク
サイバー犯罪捜査で犯人を追跡する方法とは?

サイバー犯罪捜査での通信記録

掲示板やオークションならWebサーバに、プロバイダのメールや通信サービスならルータや認証サーバに残されたアクセスログがサイバー犯罪捜査での通信記録に該当。被害届と一緒に、プリント出力やCD-ROMで提出するのが一般的です。

よくサイバー犯罪に使われたPCのHDDやSSD、スマホのフラッシュメモリなどから痕跡が出たと報道されますが、それらのフォレンジック情報は被疑者に隠滅される前に押収できた場合のみ証拠になります。これらは追跡よりも、あくまでも本人を特定できた後に自供を促し、公判の維持が目的で使われます。

通信ログとは、一般的にサーバにアクセスがあった場合に、どのIPアドレスのPCが、いつ、どのような接続をしたかを記録。デバイスはスマホなのか、PCなのか、OSはMacなのかWindowsなのか、ブラウザは何なのかといった情報が分かります。

料金が発生するログは永久保存

Wi-FiやLANのネットサービスでは、アダプタのMACアドレス(LANアダプタごとに割り振られた世の中で唯一のID)なども同様。サーバ管理者は、トラブル(ハッカーに踏み台にされて第三者を攻撃している場合もある)発生時に責任を回避するため、通常はログを残す設定にしています。

サービスの規模にもよりますが、保存期間は大抵数年。特に、通話料やパケット代などの利用料金が発生する通信は、「ログは債権」、つまりお金そのものなので、ほぼ永久に保存しています。

ただ、アクセス数の多いサイトでは、膨大なデータになってしまうため、事案とは関係ない単なるアクセスログは、解析に1件1件IPを当たる必要があり、相当の手間と時間がかかります。

サイバー犯罪捜査の被疑者特定

もちろん、デジタルデータなのでログねつ造の危険がつきまとい、侵入されたクラッカーに変造されていないことが証拠となる必須条件です。サーバへの侵入は容易でも、そのログを消すことは難しいとよく言われますが、高度なクラッカーは、犯行後にこのログの消去を行ったり、改ざんすることもあります。

管理者は確実にログを残すため、別のサーバにコピーしたり、プリントアウトして残したり、さまざまな保護手段を採ります。が、電子データに絶対はないので、ログが絶対正しいと信じて、それだけを頼りに行動するのは危険です。

PC遠隔操作事案で誤認逮捕が起きたように、IPアドレスやHDDの記録だけに注目していると、とんでもない落とし穴にはまります。IPアドレスやMACアドレスはネット上で唯一ですが、その持ち主が犯人とは限りません。サイバー犯罪捜査でも総合的な判断から、被疑者特定が必要になるのです。

この記事をシェアする



あわせて読みたい記事