AIフォレンジック分析は、専門的なクエリ言語ではなく普段の言葉で始められます。良い質問は、調査目的、対象、期間、出力形式を少しずつ絞り込み、前の回答と自然につながります。
| 目的 | 質問例 | 期待される結果 |
|---|
| 侵害痕跡 | "このケースで侵害の痕跡を探してください" | 実行、アカウント、ネットワーク、永続化、回避の証拠 |
| 外部流出 | "外部へのデータ流出の兆候があるか確認してください" | USB、クラウド、圧縮、大量アクセス、外部通信 |
| 個人情報露出 | "個人情報を含むファイルのアクセスや持ち出し痕跡を探してください" | ファイル名、パス、アクセス時刻、媒体・通信の文脈 |
| 内部不正 | "退職者PCで不審な活動を探してください" | 夜間活動、USB利用、大量アクセス、アカウント変更、削除痕跡 |
| マルウェア感染 | "マルウェア感染の可能性がある証拠を探してください" | 実行痕跡、自動実行、不審プロセス、IOC、MITREマッピング |
| AI利用痕跡 | "AIツール利用やAIコーディング痕跡を確認してください" | ブラウザ、コーディングツール、プロジェクト変更、ダウンロード、実行文脈 |
1. このケースで侵害の痕跡を探してください。
2. 外部流出に関係する項目だけに絞ってください。
3. 重要な時間帯3つを中心にタイムラインを再構成してください。
4. その時間帯のユーザー、実行ファイル、ネットワーク接続を一緒に示してください。
5. レポートに使えるよう証拠引用中心で要約してください。
- 期間: "昨日18時以降", "USB接続前後30分"
- 対象: ユーザー名、ファイル名、フォルダ、IP、ドメイン、ハッシュ、プロセス名
- 行為: 実行、コピー、削除、圧縮、アップロード、ログイン、権限変更
- 判断: 確認済み証拠と推測を分けるよう依頼
- 形式: タイムライン、表、レポート要約、次の調査リスト
| 弱い質問 | 良い質問 |
|---|
| "変なことはありますか?" | "直近7日間の時間外実行、USB、外部通信から侵害関連の兆候を探してください" |
| "流出しましたか?" | "文書フォルダアクセス後にUSB接続、圧縮ファイル作成、クラウドアクセスが続いたか確認してください" |
| "これはマルウェアですか?" | "実行痕跡、自動実行、外部接続、ファイル変更を根拠に感染可能性を評価してください" |
- 引用された証拠を開き元のアーティファクトを確認します。
- タイムラインで前後イベントを確認します。
- 手動レビューでパス、ユーザー、ハッシュ、元ログを再確認します。
- 確認済み証拠と推測をレポートで分けます。
- 法的利用前には有資格の専門家が原本証拠を検証します。