@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

原本との同一性確認

デジタル・フォレンジック研究会 二日目の分科会でちょっと質問したお話。デジタル証拠を扱う際に原本との同一性を確認するというのは良くでるお話です。しかし、稼働中システムのディスクイメージや、記録中のログファイルは原本とハッシュ値などによる同一性の確認がとれません。
稼働中などで原本との同一性が確認できない場合、技術的にどうこうするというよりは“推奨される手順”があると良いのではないかと思うのですが、現在のところ不明。*1

*1:米国では専用ツールを利用してはいるものの、すでに判例があり稼働中システムのディスクイメージでも証拠として扱われているそうですね