最常用的訴訟證據：電子郵件鑑識

在許多訴訟案件中，重要的主要關鍵證據─電子郵件，扮演著重要角色。

　　美國於2006年11月修法通過電子蒐證法(E-Discovery)，即針對「電子儲存資訊」ESI(Electronically Stored Information)定義了法律認定的相關發現程序和原則，而其中電子郵件已被認定為主要的數位證據之一，另外美國於2002年所通過的沙賓法案(Sarbanes-Oxley Act)，及日本今年開始實施的日本版沙賓法案(J-SOX)中均明文規定企業有責任保存電子郵件記錄，其適用範圍遍及所有在美國或日本上市的公司，因此近年來許多的科技訴訟案例中，如何有效利用電子郵件進行舉證已成為訴訟成敗的主要關鍵因素，本篇將從一個改編的真實案例中，探討電子郵件蒐證的技術層面及該有的處理方法，並從實務經驗檢視電子郵件證據可能存在的位置供讀者參考。

機密資料外洩案例

　　知名科技公司於某次重要董事會後，發現公司此次會議的重要會議記錄檔，經由電子郵件外洩到所有客戶及員工的電子郵件信箱中，發生的時間點為8月15日（週五）中午左右且送件者署名為John_Wu （為MIS主管），此「會議記錄.Doc」包含許多重要的決策資訊，此次外洩已影響公司對外經營及部份員工向心力，高階主管開始追查整個洩密事件的真相。

　首先我們先針對任何一客戶（假設為Mr.Po客戶）所收到的此封洩密信件來進行檢視，了解是否此封郵件是由此科技公司所送出，由於電子郵件協定早期設計上的瑕疵，造成任何人均可輕易假冒他人的名義來發送信件，因此在證據搜尋的方向上可先分辨此封信件是否確實由知名科技所送出，檢視的方法可從此封郵件的詳細標頭第一行開始逐行來看，一般所有的收信端軟體（Outlook或Web mail）均可開啟郵件標頭資訊，以本案例檢視如下：

Return-Path： <john_wu@hightech.com.tw>
X-Original-To： po@customer.com.tw
Delivered-To： po@customer.com.tw

R e c e i v e d： f r o m s p a m . h i g h t e c h . c o m . t w ( s p a m . hightech.com.tw [210.169.53.6]) by Mail1.customer.com.tw (Postfix) with ESMTPS id 287EB10059

for <po@customer.com.tw>; Fri， 15 Aug 2008 12：21：40 +0800 (CST)
R e c e i v e d ： f r o m e x c h a n g e . h i g h t e c h . c o m . t w([10.150.10.31])b y s p a m . h i g h t e c h . c o m . t w w i t h E S M T P i d m7F4Jw06092832
for <po@iforensics.com.tw>; Fri， 15 Aug 2008 12：19：58 +0800 (CST)(envelope-from john_wu@hightech.com.tw)
F r o m： =？b i g 5？B？p / X E o 6 S k？= < j o h n _ w u@hightech.com.tw>
To： "''Mr. Po''" <po@customer.com.tw>
S u b j e c t ： = ？ b i g 5 ？ B ？ U k U 6 I E F i b 3 V 0 I L P 4 u /mz5g==？=
Date： Fri， 15 Aug 2008 12：21：31 +0800
Message-ID： <010601c8fe8e$65546520$2ffd2f60$@
hightech.com.tw>
MIME-Version：1.0
…（以下省略）

　　如線框所標示， 此封信件是由s p a m .hightech.com [210.169.53.6]這台郵件主機最後轉送給Mail1.customer.com.tw的po@customer.com.tw信箱。

　　由於郵件標頭的資訊中的Received from的欄位，主要是由各轉送的郵件主機在轉寄時所寫入的資訊，因此極富參考價值，而每封郵件的Received from欄位則會依據中間有多少台轉寄的郵件伺服器而寫入相對的資訊於此欄位，愈前面行數的Received from則代表是愈靠近的收件者端的郵件伺服器所寫入的資訊，但不代表所有的Received from欄位均是正確可供參考的資訊，因為中間的任何一台轉寄信件的主機若為駭客所控制，則可填入任意的資訊來誤導追查方向，但第一個Received from的欄位必定為真實可供舉證的欄位，因為此欄位的資訊是由收件者端的郵件伺服器所標示，以本案例而言，我們可以直接判定信件是由 hightech.com.tw（知名科技）所送出，並非有人偽裝知名科技而送出的偽造信件，另外Message-ID欄位則為此封信件的辨識資訊，可以用來比對郵件記錄檔中的對應行為並判別所有找到的郵件證物時，是否為同一封信件的主要參考資訊。

證據輔佐 加強可信度

　　在進行案件調查時，當你發現一有價值的證據時，最好還能找出其它相關的證據，使其證據力更加強化，因此接下來我們追查的重點可以在於郵件伺服器的郵件記錄檔(Mail Log)。一封郵件在傳遞的過程中，任何一台曾經在此過程中有參與轉寄信件的郵件伺服器(MTA)，均應存在郵件記錄檔。以此案例而言，此封郵件在送抵po@customer.com.tw信箱時，我們從信件標頭即可得知至少有3台主機曾經參
與此信件的傳送任務，其信件流經的順序如下：exchange.hightech.com.tw =>spam.hightech.com.tw=> Mail1.customer.com.tw

　　我們可以逐一調閱此３台主機的郵件記錄檔，來證明我們由信件標頭所觀察到的資訊是確實無誤，但實務上我們主要感興趣的是郵件送出端的資訊究竟為何？ 因此主要追查的重點則在於知名科技本身的2台郵件伺服器，特別exchange.hightech.com.tw第１台主機的郵件記錄檔，此機器為Exchange郵件伺服器，由於送件者的署名為john_wu（知名科技的MIS主管），而john_wu表示當天中午他外出午餐並不在辦公室內，此封信件並非由他本人所送出，因此我們必須判定john_wu的說法是否足以採信，從公司調閱辦公室的門口CCTV側錄影帶，顯示john_wu在此段時間的確外出用餐，而從郵件記錄檔中則發現此封信件並非由辦公室內的任何一台個人電腦（例如：outlook、outlookexpress）直接連線來寄送，而是由Exchange本機直接寄出，由於Exchange主機本身有提供Web mail機制，因此極有可能信件是經由Web mail登入編輯後而寄出，而Web mail實際上是web server上的應用系統，因此使用Web mail的操作行為可以直接由Web伺服器記錄檔(Web Server Access Log)得知，在調閱此記錄檔後發現在這段時間內有一個外部IP(220.135.145.42)曾經登入到john_wu信箱，並透過Web mail機制送出此封洩密郵件。另外再檢視8月份所有web記錄檔時，發現此IP早在8月初即多次登入到Exchange的Web mail，其中有多次進入總經理的信箱並打開了許多重要信件，其中還包含了8月中旬董事會的會議記錄信件，並下載了「會議記錄.doc」檔案，以上所有的行為均可透過Web伺服器的記錄檔中清楚得知。掌握了這些重要資訊後，我們可以比對防火牆或路由器的的連線記錄檔，很可惜知名科技的防火牆及路由器的連線記錄檔均已被清除，但經由整理以上所掌握的明確犯罪證據後，我們可向有關單位進行報案並申請調閱ISP端的網路連線通聯記錄，此通聯記錄內容將可以更進一步確認犯罪事實並追查出犯罪來源的實體地址，目前國內各大ISP端均保留有相當時間的網路連線通聯記錄，但由於此為依法受保護的資料，除非有犯罪事實的認定並經由執法單位的行文才能調閱此部份資料。

　　本案例在申請調閱相關記錄後，發現此一IP(220.135.145.42)位址即為知名科技的離職MIS員工家中ADSL所使用的IP位址，且連線的時間與知名科技所提供的Web伺服器記錄檔使用行為吻合，至此整個案件輪廓已非常明確，所有客觀的證物均指向極大的機會為此離職員工所犯。最後的關鍵則在於證明此行為確實為此離職員工所為，通常直接證據最有可能存在的位置則在於嫌疑犯本身所使用的電腦，但此部份的證據也是最難取得的部份，除非有執法單位的搜索票否則將無法搜尋任何屬於私人領域的電腦或相關儲存設備，以此案例而言，最後警方則在嫌疑犯電腦中的刪除資料區中，找到了「會議記錄.doc」檔案並在整顆磁碟中找到了使用Web mail的殘留檔案而確認了直接證據。

　　在電腦鑑識領域中所有的數位證據資訊大致區分為2類：(1)人為製作的電磁記錄 (2)程式自動產生的電磁記錄，對於人為製作的電磁記錄在鑑識的程序及方法中則強調真實性及原始性，因此必須遵循必要的程序及數位證據保存方式來證明此電磁記錄自發現到最後成為呈堂證據時，整個過程中此電磁記錄均未曾更改過，也就是必須適用於證據法中「傳聞法則」的檢驗，而對於程式自動產生的電磁記錄，因為記錄並非由人為製造產生，因此只要證明程式本身的正確性即可，且證據力的價值較客觀具有說服性。以此案例而言，信件內容及附件檔案「會議記錄.doc」均屬於人為製作出來的電磁記錄內容，而信件標頭詳細資訊及郵件記錄檔則屬於程式自動產生的電磁記錄。

總結

　　我們藉此案例來逐一說明電子郵件鑑識的主要重點：

一. 可先從郵件本身的詳細標頭資訊開始分析。

二. 檢視所有相關的郵件記錄檔或Web記錄檔（使用Web mail時）。

三. 檢視相關網路或稽核設備的記錄檔。

四. 匯整成為主要的具體犯罪證據事實跟執法單位報案。

五. 藉由執法單位申請ISP端的網路通聯記錄。

六. 使用鑑識專用軟體搜尋嫌疑犯之電腦（可檢視所有刪除或檔案系統找不到的電磁記錄），若此電腦為私人擁有，則必須具有執法單位的相關搜索票方能扣押或搜尋。

　　面對任何電腦鑑識的案件時，有經驗的鑑識人員均瞭解電子證據本身的脆弱性及程序方法的重要性，因此第一時間面對數位證據現場時，首要考慮如何保持數位證據的完整及有效性，記得前期雜誌中Julie Tower-Pierc所發表的文章副標題 「談到電子蒐證(e-discovery)，你的「即興演出說」將會引來一場災難」，此篇標題的確道出許多真實案例中層出不窮的遺憾，特別在國際訟訴中，當你正高興MIS主管已找到信以為真的關鍵證據，但最後在訴訟法庭中卻落得不堪一擊的無效證據下場，其中關鍵因素往往並非證據本身的價值，而是任何無專業訓練人員的蒐證作法，只會造成證據力的嚴重傷害，甚至導致不可挽回的災難，特別是進行歐系或美系訟訴案件時，當提出任何數位證據來伸張公司權益，則此關鍵數位證據將受到嚴格的檢視及規範，對於無受過相關訓練的人員所採證的數位證據，將面對對方律師質疑採證過程中的暇疵進而提出證據無效性訴求的龐大壓力，因此本篇雖然說明了電子郵件證據主要存在的位置及技術層面的蒐證方法，但不代表你可以直接進行數位證據蒐證任務，在此提醒，當以為已掌握所有關鍵數位證據時，千萬更要謹慎諮詢專業人員來協助你順利完成最後蒐證工作。

有關數位證據的傳聞法則 　　簡單舉例：某word檔是重要的關鍵證據，當你是利害關係人，自行使用檔案總管將此檔案複製到USB碟交給執法單位時，此USB碟中的檔案將無證據力價值，主要在於無法證明USB中的檔案為原始未被竄改過的資料檔。