執法機關辦案經驗如何應用於企業 by UBIC TAIWAN

誠摯邀請您 YOU ARE CORDIALLY INVITED

執法機關辦案經驗如何應用於企業執法機關辦案經驗如何應用於企業? 如何應用於企業? 郵件稽核所牽涉之法律議題

台大醫院國際會議中心台北市中正區徐州路 2 號 4F 402C&D

2014.08.07 13:30

主辦單位:

協辦單位:

優比克股份有限公司

中華民國電腦稽核協會

【研討會議程】研討會議程】時間

活動內容

主講人

13:00-13:30

<<報到>>

13:30- 13:40

<<開場致詞>>

13:40-14:20

14:20-15:00 15:00-15:20 15:20-16:00

數位鑑識與犯罪偵查優比克人工智慧郵件稽核系統發表會

刑事警察局

林建隆股長優比克股份有限公司技術長

Shirai Yoshikatsu 白井喜勝

(日文講述，中文翻譯)

<<休息時間>> 資訊部門蒐集的證據，資訊部門蒐集的證據，法庭竟不能用？法庭竟不能用？專業律師告訴您，專業律師告訴您，如何在法庭上使用數位證據

優比克股份有限公司法律顧問

劉偉立律師

<<綜合與談綜合與談>> 綜合與談 16:00-17:00

Host by 林宜隆教授中華民國電腦稽核協會理事長 Guest: 與會演講者(林建隆股長,Mr. Shirai Yoshikatsu, 劉偉立律師)

報名方式：報名方式：本研討會為免費並提供餐點，有意參加者請於即日起至 2014 年 8 月 6 日(星期三)前線上報名 http://www.ubictw.com/apply.php#，報名額滿為止。

聯絡人：UBIC 優比克股份有限公司王小姐 Tel: (02) 8752-3178 Email: nicole_wang@ubictw.com

【交通方式】交通方式】

優比克股份有限公司國際高科技法律支援公司(Legal High Tech Company)。

總部設於日本，在北美,台灣,韓國等地設置據點，提供全方位跨國性電子取證 (e-Discovery) 服務、數位鑑識服務(Forensics technology)、協助企業內部稽核活動(Special Audit)、企業風險管理諮詢 (Risk consulting)以及專利管理服務諮詢。優比克擁有豐富的國際訴訟支援處理經驗，包括專利訴訟, 反托拉斯,卡特爾, PL 法, ITC ,及境外反貪污行為法(FCPA)等。此外對於企業內情報洩漏或是不法金流之會計調查等也提供相關法律風險調查及諮詢服務。優比克於 2003 年成立，至今已處理超過 250 件以上完整國際訴訟的電子取證經驗，580 件以上數位鑑識調查服務。優比克的宗旨為服務亞洲企業及其美國律師事務所成為提供法務訴訟支援的橋樑與夥伴並協助透過高科技的手法協助企業降低法律風險。

優比克的優點 •

提供高品質電子取證(e-Discovery)之專業高科技服務。

•

提供台灣企業最即時之當地服務及諮詢(Local Support)。

•

提供最先進最安全的雲端科技及資料託管(hosting)服務。

•

提供全方位法律蒐證諮詢服務。

•

提供獨特的資料處理技術/關鍵字搜尋方法協助企業內部資料管理。

優比克的軟體 – Lit I View 擁有許多國際訴訟支援經驗的優比克股份有限公司，獨家研發一套國際訴訟資料管理系統 [ Lit I View ]，提供企業專利管理及電子取證之服務。透過在東京、美國、韓國及台灣的資料中心(Data Center) , 建立 24x365 之機制—不論任何時間、任何地點，透過網際網路環境都可使用雲端服務, 協助企業降低成本並提高處理效率。

法庭搜證|訴訟支援|亞洲語言|法務軟體|雲端科技

宗旨一、

推動電腦稽核及系統控制安全之學術研究發展。

二、

協助制訂電腦稽核、控制、安全之標準。

三、

協助企業強化電腦系統之控制與電腦稽核功能。

四、

與國際電腦稽核相關組織作資訊及技術之交流。

五、

協助保護個人資料等事項。

願景 •

持續為資訊科技治理與電腦稽核之先導機構。

任務 •

舉辦有關電腦稽核、控制、安全之研討會、講習會。

•

舉辦企業及機關團體之教育講習，以推廣有關電腦稽核控制，安全之實施。

•

出版電腦稽核、控制、安全之刊物及著譯叢書。

•

聯繫企業、學術界及政府機構，以促進電腦稽核理論與實務之交流。

•

接受企業、政府機構委託協助建立電腦稽核功能與電腦安全及控制制度或辦理電腦稽核之研究。

•

舉辦對電腦稽核有貢獻之表揚事項。

•

接受政府相關機關之委託舉辦電腦稽核人員資格檢定。

•

聯繫國際電腦稽核組織、進行合作。

•

辦理其他為達成本會宗旨之必要事項。

【主講人簡介】主講人簡介】林建隆股長

學歷：中央警察大學資訊管理學系、資訊管理研究所

經歷：刑事警察局（資訊室、偵九隊、研發科）一、

刑事資訊工作

（一）負責全國刑案紀錄、前科、通緝等系統維護及網路安全管理。（二）擔任「刑案知識庫」開發專案承辦人，負責刑案資料整合與系統開發，整合司法院、法務部及警政署等機關之判決、執行、起訴及移送等資料，協助偵查人員查詢與分析資料。二、

網路犯罪偵查

（一）負責網路犯罪偵查，偵破多起網路拍賣詐欺案件、大考中心資料庫入侵案、中華電信資料庫入侵案等。（二）偵查大陸網軍入侵與竊取機敏資料案件。三、

科技研發與數位鑑識

（一）偵查網路銀行帳號遭盜用與轉帳案件，分析網路銀行安全機制漏洞，請求銀行業者據以改善，有效防制網路銀行帳號遭盜用與轉帳情形。（二）負責「八里雙屍命案八里雙屍命案」數位鑑識工作，成功還原嫌犯之關鍵通話錄音檔，協助釐清案情。八里雙屍命案（三）負責「高鐵炸彈案高鐵炸彈案」數位鑑識工作，成功還原嫌犯之詳細計畫及其他相關事證，成為本案起訴高鐵炸彈案及判決之重要犯罪事證。（四）規劃及執行「厚植全國警察機關數位鑑識能量」計畫，培訓數位鑑識人員及開發現場數位鑑識工具。（五）訂定「數位證物鑑識作業程序」及「刑案現場數位證物蒐證手冊」，函頒全國警察機關使用。（六）擔任各警察機關、法官學院等單位講師，講授「數位鑑識」及「科技犯罪偵查」相關課程。

數位鑑識國際證照一、 Certified Computer Examiner(CCE, 電腦鑑識人員認證) 二、 Certified Ethical Hacker(CEH, 駭客技術專家) 三、 Computer Hacking Forensic Investigator(CHFI, 資安鑑識調查專家) 四、 XRY SMARTPHONE CERTIFICATION TRAINING(智慧型手機鑑識)

訓練一、95 年至美國芝加哥參加「電腦鑑識」訓練。二、96 年至澳洲雪梨參加微軟公司舉辦「Botnet Task Force Converence」，並獲邀發表「Botnet Investigation(殭屍網路偵查)」。三、99 年至美國拉斯維加斯市參加「Criminal Intelligence Analysis(犯罪情資分析)」訓練。四、101、102 年至美國參加「HTCIA Conference(高科偵犯罪偵查研討會)」。五、102 年參加刑事警察局「刑案現場數位證物蒐證」及「進階數位證物鑑識」訓練。

【主講人簡介】主講人簡介】

白井喜勝 Yoshikatsu Shirai 優比克股份有限公司技術長自 2007 年以來，白井先生於優比克公司發展出針對會計詐騙、內部稽核調查及機密訊息外洩…等相關解決方案。利用電腦鑑識科技及電子蒐證技術協助企業面對訴訟，並保護企業機密訊息外洩…等企業風險。

學歷：美國史丹佛大學法學碩士國立清華大學科技法律研究所法學碩士

劉偉立律師

英國倫敦大學皇后瑪莉學院法學院研究國立清華大學材料科學與工程學士

經歷：美國加州Finnegan Henderson法律事務所國際訪問律師國際通商法律事務所（Baker & McKenzie）律師國際通商法律事務所專利工程師資格：美國紐約州律師考試及格美國專利代理人考試及格中華民國專利代理人中華民國律師專長：專利與智慧財產權、營業秘密保護、跨國商務與投資、各式中英文合約撰擬與企業法律策略規劃

首創應用人工智慧軟體預測資訊漏洞

UBIC 開發「Lit i View EMAIL AUDITOR」機械可透過學習的過程提升其準確度，機械可透過學習的過程提升其準確度，幫助加強保密承諾

UBIC 公司（總公司：東京港區；總裁：Masahiro Morimoto）是一家協助企業處理國際訴訟案件服務的公司，其股票在美國那斯達克股票交易所和東京證券交易所高增長新興股票市場（MOTHERS）上市，公司目前已開發出一套軟體程式，透過運用人工智慧（AI）科技，使企業可以定期檢查員工電子郵件的通訊內容。定期檢查電子郵件已成為減少洩漏公司重要資訊風險的必要方式，但現有科技卻因為涉及繁複的程序而難以執行。 Lit i View EMAIL AUDITOR 透過應用人工智慧機械學習的專業科技進行檢查，為企業提供解決方案。預計從 2014 年 4 月 1 日開始，就可提供以此套程式進行電子郵件檢查的服務。

在此項服務中所採用的預先檢查方式，是防止資訊洩漏和詐騙的有效防護措施，因為透過定期檢查，該套程式可以事先偵測是否有洩密的跡象，而無須等到問題發生後再展開檢查。該項服務在日本和全球皆前所未見，以企業保密承諾的觀點而言，是一項理想的解決方案。其服務費用係依據必須檢查的電子郵件帳戶數目而異。

就目前而言，UBIC 預估約有 500 家公司，主要是日本的製造商，將會有興趣引進該項服務。未來 UBIC 將提供服務給其他國家與地區的公司，包括北美、台灣、南韓和中國。

以預先檢查的方式監督員工電子郵件帳戶的重要性近年來，UBIC 看到數件企業舞弊的案例，在這些案例中，日本的公司被判定需支付沈重的罰款，而員工也因為違反汽車零件和其他產品價格聯盟的反壟斷法，而在美國和歐洲被判入獄服刑。對於在世界各地尋求商機的日本企業來說，法律訴訟的威脅造成了很大的阻礙。除了損害企業的信譽之外，法律訴訟也對公司的營收造成傷害。如果接受調查的公司正處於調查的程序且被要求提出證據，則風險更大，因為重要的技術資訊可能會洩露給包括競爭對手在內的第三方實體。該如何避免員工犯下舞弊案？顯而易見的解決方案，就是定期監督員工的公司電子郵件通訊內容，以事先偵測詐騙的跡象。然而，說比做容易，只有極少數的公司能夠真正地採取預防措施。這是因為一般的電子郵件檢查功能有其限制，例如，只能以關鍵字搜尋辨識可疑的通訊內容。因此，為了提高詐騙偵測率，必須僱用稽察人員以補足自動檢查的功能。但因為會增加成本負擔，所以大多數的公司放棄採取預先檢查的措施。

有鑒於上述情況，UBIC 開發出「Lit i View EMAIL AUDITOR」這套獨特的電子郵件檢查程式，這是一套同時具有低成本和高效能特點的全新程式。這套創新的軟體程式具有三大重要特色功能：行為資訊學、人工智慧和機械學習。以下將就此三大重要功能的全新服務提供詳細敘述。

(1) 行為資訊學：行為資訊學：分析大數據的全新方式新服務可以將電子郵件通訊的內容解構成數段句子、分析文字組合、進行更詳細的檢驗，並且辨識相關的通訊內容。因而能打破一般電子郵件檢查的限制，一般的方式只能就寄出與接收信件的日期、寄信人和收信人姓名，以及電子郵件標題進行分類。UBIC 的服務透過多重關聯分析功能，可以在個人對個人與組織對組織的基礎上檢視電子郵件的通訊內容。因此可辨識出通訊群組中的關鍵人物，而在表面上並不顯著的個人對個人、公司對公司的關係也得以被偵測出來。

透過行為資訊學，UBIC 創新開發出上述程式功能。行為資訊學結合資訊學（統計學、數學、資料探勘等科學）和行為科學（心理學、犯罪學和社會學等）。鑒於一般的方式著重在分析已發生的事件以「找出事實」，行為資訊學的目標在於依據行為和溝通模式的分析，事先偵測出風險。例如，UBIC 可透過行為資訊學的方法預測某些具備特定背景，或屬於特定組織的員工所可能採取的行動。

UBIC 卓越的軟體開發技術可部分歸因於特別的研發人員組合。首先提出行為資訊學概念的研發主管，是一位具有哲學背景的軟體開發專家。開發出數據分析主邏輯的研發小組成員擁有物理博士學位，並且擁有在研究機構參與量子物理學研究的經驗。負責語言分析的小組成員是計算語言學專家，擅長日語、韓語、英語和丹麥語 4 種語言。

行為語言學是一群來自不同背景的才能之士的成就展現。

(2) AI-based Predictive Coding 簡化相關評估作業隨著全面調查支援服務這項前瞻性的業務範疇在亞洲展開，截至 2014 年 1 月，UBIC 已掌握總數件超過 355 件，包含數件日本重要企業也牽涉在內的調查案例。企業客戶委託 UBIC 的資訊量達到 450 terabytes。UBIC

依據這些巨量資訊分析的成果，開發出 AI-based Predictive Coding®科技。這項原創科技透過機械學習，將學習成果應用在電子郵件檢查中，同時結合人員稽察的調查技巧，從員工的電子郵件帳戶辨識出相互關聯的通訊內容。

目前已有人員進行電子郵件通訊稽察，作為電子化調查或其他程序的部份作業，然而在所有的案例中，由法律專業人員進行此項作業不僅成本高昂且相當耗時。然而，儲存在電子媒介上的資訊正以指數化成長：僅儲存在一台個人電腦中的檔案，就可能等於數卡車的紙本文件。如果採用 Predictive Coding 科技，則大部分的文件分析過程就可以交由應用人工智慧自動分析功能的程式，該功能是學習專業人士辨識證據的判斷模式，同時整合了法律專業和稽察人員的分析與調查技巧。相較於有經驗的律師，採用 Predictive Coding 自動檢查功能可使檢查的速度提高 4,000 倍（換句話說，自動檢查功能可承擔 4,000 位有經驗律師的工作量），且準確度超過 90%。因此，成本可減少至約原本的十分之一。

全球只有包括 UBIC 在內的少數幾間公司開發出採用演算法的 Predictive Coding 科技，並且依此提供資料分析服務。一般的服務是透過關鍵字搜尋功能選擇可能有關聯的電子郵件通訊。採用此種方式，若試圖進一步偵測可疑的通訊內容時，就必須以更多關鍵字搜尋，導致所篩選出的通訊資料過於龐大。同時，不屬於在關鍵字搜尋範圍內的電子郵件依然能躲過檢查。而 UBIC 的新服務則可以高度準確地辨識相關聯的電子郵件通訊。

(3) 機械學習提升準確度一般說來，並無法及時作出能夠確認相關聯電子郵件通訊的正確設定。必須透過定期新增與移除無用的關鍵字以改善設定運作。但 UBIC 軟體程式的機械學習功能整合了已進行檢查的電子郵件通訊相關分析資料，因此能改進辨識相關聯通訊內容的準確度。 UBIC 在支援多國語言和調查詐騙案件的經驗，也應用在開發以人工智慧為基礎的「Virtual Data Scientist」軟體程式上，該軟體已預先裝載所需的專業資料。Virtual Data Scientist 利用稽察人員的調查科技並且整合了機械學習，可自動將電子郵件通訊分類，並辨識有關聯的郵件。該套軟體也整合了關鍵字自動更新功能，因此可持續改善辨識相關聯文件的準確度將。「Lit i View EMAIL AUDITOR」搭載經過 Virtual Data Scientist 篩選與分析，且可自動更新的字典。因此，其準確度將不斷地提升。

總之，相較於現有的服務，UBIC 的服務大幅降低了檢查電子郵件程序的成本與工作負擔。

對許多公司來說，欲達成檢查大量員工電子郵件通訊內容的目標是一大挑戰。然而，目前是必須更深入且定期檢查員工電子郵件通訊的時候，如此公司才能夠降低詐騙與法律訴訟的風險。在這個電子資訊的世代，檢查電子郵件是保密承諾的必要途徑。檢查電子郵件的最終目標並非監督員工，而是保護員工與客戶。由 UBIC 所提出的解決方案，將可減少詐騙的風險，使公司和員工比起以往更能致力於主要的業務運作上。該項解決方案將可幫助加強員工的的保密協定，同時提升公司的社會信譽。

數位鑑識與犯罪偵查科技研發科數位證據股股長林建隆

個人簡介 學歷：中央警察大學資訊管理學系、資訊管理研究所 經歷：刑事警察局（資訊室、偵九隊、研發室） - 自1999年起從事電腦網路相關工作15年。 - 2002年開發「刑案知識庫」。 - 2006年起多次至國外參加科技研討會與訓練。 - 2008年開發「PIA譯文系統」。 - 偵辦駭客入侵案件：104人力銀行、大考中心等網站遭入侵竊取個資料案件。 - 重大刑案數位鑑識工作：八里雙屍命案、高鐵炸彈案等。 國際認證: 2

簡報大綱一.數位鑑識工作發展與領域二.數位鑑識重大案例三.數位鑑識與私人企業四.結論

一.數位鑑識工作發展與領域鑑識科學的基礎理論：凡走過必留下痕跡

數位證據定義

數位資料係以0與1二進位方式編碼，儲存於數位媒體中，並可加以處理、運算、修改與還原。  原始的數位資料是給「電腦」運算的，對於一般人的感官並不具有任何意義，必須經由編碼轉換或是工具程式加以轉化為「具可讀性」之資料。下列資料對一般人並不具可讀性，但是… 



5YSq5q+U5YWL56CU6KiO5pyDLS3ln7fms5XmqZ/pl5zov qbmoYjntpPpqZflpoLkvZXmh4nnlKjmlrzkvIHmpa0/ 看似無意義的字元，其實… 4

透過正確的轉碼程式，還原符號的真實文字

數位鑑識發展 

2006年8月成立警察機關第一座數位鑑識實驗室，接受法院、地檢署及警察機關等執法單位送鑑數位證物。



2008~2010年建置數位鑑識實驗室及充實數位鑑識設備



2011~2012年精進數位鑑識技術與人才培育



2013~2014年:執行「厚植全國警察機關數位鑑識能量計畫」，制定現場數位鑑識作業流程及開發現場數位

鑑識工具，培訓現場數位證物蒐證人員507名，考取21 張數位鑑識國際證照。 9 7

數位鑑識工作領域儲存設備鑑識

數位鑑識

•硬碟 •記憶體 •隨身碟

手機鑑識

網路鑑識

•SIM卡 •智慧型手機 •APP對話還原

•封包分析 •惡意程式分析 •駭客追蹤 6

數位鑑識工作項目與能量 •刑案現場搜索與扣押 •電腦檔案還原及破解 •手機資料存取與解讀 •惡意程式分析與鑑識 •網路封包解析與還原 •鑑識技術研發與推廣

數位鑑識人員與鑑識案件統計 本局數位鑑識人員共11員，橫跨刑事、資訊及法律等

3大領域，其中9位具有碩士學歷，3位大學學歷。 統計102年送鑑證物數為1157件，較101年增加67%

。

1400 1200 1000 800 600 400 200 0

98年證物數 431

99年 672

100年 101年 102年 561 694 1157

數位鑑識成為破案關鍵證據

數位證據之重要性  隨著智慧型手機的興起、社群網路、雲端科技的發展及遠端遙控程式的應用，犯罪已然趨向數位化，辦案之方式及案件流向思考已不能再套用以往犯罪偵查之概念，數位證物已不再專屬於電腦犯罪案件，各類刑案都有可能有數位證物的存在。  從「龍門客棧」到「九陰白骨爪」都有數位證據的存在。龍門客棧翻版！恐怖「媽媽嘴咖啡」謀財誘殺副教授夫妻

高鐵炸彈犯列嫁禍計畫

「九陰白骨爪」

現場數位鑑識之重要性  任何載有電磁紀錄的裝置，如電腦、筆電、平板電腦、智慧型手機、各式儲存媒體，都可能存在與犯罪相

關之數位證據。  消逝性資料與雲端儲存資料必須在犯罪現場立即採證，這些資料可能無法在數位鑑識實驗室中還原。  刑案現場的蒐證人員並非全是電腦技術專業人員，因此必須訂現場數位鑑識作業程序。

 不當的扣押程序可能導致證據消失，ex:行車紀錄器、數位相機等。 13

什麼是Triage  Triage : 檢傷分類 - 野戰外科學中檢傷分類是指將傷員分類，確定醫療與後送順序的過程

- 在近代和現代戰爭中大批傷員的救治是催生 Triage最的大動力

特色 - 不需要安裝，隨到隨掃描 - 不需要常駐，符合鑑識調查需求 - 自動化，快速與簡單操作，增加事件處理能量

功能 -

主機系統資訊鑑識使用者活動分析密碼破解全自動化記憶體鑑識關鍵字搜尋

作業系統支援 - MS Windows 24

二.數位鑑識重大案例 BMW竊車集團

成功破解竊車集團電腦紀錄，取得多筆失竊車輛號碼。

八里雙屍命案

高鐵炸彈案

解析命案關係人智慧型手機，還原案發前後關鍵對話，有效釐清案情。

還原嫌犯已經格式化之磁碟，成功取得「高鐵計畫」資料。

蟲蟲恐嚇案

鑑識嫌犯電腦，比對恐嚇信件內容，取得恐嚇信件圖片及地址等相關資料。 13

三.數位鑑識與私人企業 由於科技發展，帶動數位產品的普及化，無論工作與日常生活幾乎都離不開電腦與手機。 數位鑑識與個資法：企業必有效保存證據，並負責舉證責任。 - 罰則求償金額最高2億元，企業主最多5年刑責 - 企業舉證責任企業必須自行舉證沒有違反個資法

數位鑑識與營業秘密法：越來越多營業秘密洩密事件凸顯資訊科技相關風險管理重要性，一旦企業面臨營業祕密或個資洩密事件時，對數位證據的舉證能力與有關概念，在台灣則仍處萌芽階段。（聯合報）

個資外洩情形

個資外洩偵查方法 異常流量分析 - 駭客通常在晚上及假日活動，避免流量過大影響正常作業，且假日不易被發現。

Web log 分析 - 異常ip大量瀏覽、錯誤訊息。

網站異常檔案分析 - 是否存在非正常檔案，通常放於script目錄下(web shell)。

- 是否有壓縮檔(zip,rar …)，駭客喜歡打包帶走，或是整包木馬程式放進來。

非上班時間流量是否正常?

異常ip-大量、cn ip

購物網站紀錄—上傳後門程式

利用uploader.swf上傳後門程式至購物網站

jsps.jsp程式—所有目錄一瀏無遺

利用jsps.jsp程式可瀏覽網站目錄及下載檔案

數位鑑識讓證據說話

報告完畢敬請指教 39

UBIC EMAIL AUDITOR 2014 UBIC Seminar

Cutting-edge Email Analysis: Using artificial intelligence to accurately identify risky e-mails

UBIC, Inc. Proprietary and Confidential.

Objectives of Email Audit 1. Protect employees from doing fraudulent activity, not try monitoring them. 2. Prevent and detect fraudulent activity early. The later any problem is found, the worse and aggravated the situation, which increase further social responsibilities of the corporation. 3. Prevent and suppress employees from wrongdoing in future. ⒸUBIC, Inc. 2014 All Rights Reserved.

UBIC, Inc. Proprietary and Confidential.

１. Difference between Post Incident and Pre Incident 1.1 Post Incident Handling

・Employee(s) who conducted wrongdoing are target to investigate ・Scope of investigation (e.g. PC/Server target custodian have) is easily identified. ・Specific issue of fraud have already been identified

Target and scope of Investigation can be identified 1.2 Pre Incident Audit ・Can’t identify the investigation target. ・Target employees are too broad since the issues cannot be specified. ・Need to narrow down target issues.

UBIC, Inc. Proprietary and Confidential.

２．Issues with Conventional Email Audit Software Division 1

Email Auditing System

Mail Server

Key Word Search

Auditor Review

Division 2

① ② ③ ④ ⑤ ⑥

Too many search hits can be resulted in as review target. Critical emails might not be retrieved by too narrow downed KW. Need to change KW set in accord to the situation change. Search results are not prioritized in order of relevance. Some software cannot search attachment files. Privacy issues of internal audit. Employees monitor other employees…

UBIC, Inc. Proprietary and Confidential.

3. Difference between Traditional Method of Email Audit and UBIC’s Email Auditor Traditional Method

Requires significant time and resources for reviewing too many emails without any priority. Audit by Human

UBIC’s Email Auditor Early finding with proper priority; Industrial spy, FCPA, Antitrust….

Low Relevancy

Relevant Not Relevant

Evaluates and Digitizing

VDS High Relevancy

Only selected emails need to be audited

UBIC’s “Artificial Intelligence (AI)” “Virtual Data Scientist (VDS)” learns signs of wrongdoing, and extract critical emails. The review speed is equals to 4,000 times of human auditors. ⒸUBIC, Inc. 2014 All Rights Reserved.

UBIC, Inc. Proprietary and Confidential.

4. Why UBIC’s EMAIL AUDITOR is the Solution for all Email Audit issues?

Issues:

①

Too many search hits can be resulted in as review target

②

Critical emails may not be retrieved by too narrow downed KW.

③

Need to change keyword set in accord to the situation change.

④

Search results are not prioritized in order of relevance.

⑤

Some software cannot search attachment files.

⑥

Privacy issues of internal audit. Employees monitor other employees…

All evaluation results can be prioritized for review based on the score which is evaluated by VDS (AI). Important words can be automatically extracted and allocating the score. It hardly causes dropping keywords. No keyword maintenance because of automatic learning system.

Same Lit i View Engine which covers eDiscovery process from A to Z. Highly relevant data only can be distributed to auditors. All of subject data can be monitored by VDS (AI). UBIC, Inc. Proprietary and Confidential.

５. Mechanism of Email Auditor “Virtual Data Scientist” automatically learns and evaluates emails. Audit by Human

Email Server

Audit by subject matter expert

AI based on Behavior Informatics

VDS (AI) Automatically Extracts

AI automatically learns based on Expert audit result. Lit i View EMAIL AUDITOR: ・Automatically extract relevant emails by VDS (AI). ・VDS (AI) automatically learns from the decisions made by the audit experts. ・The system automatically inform alerts and extract target emails to the human auditors. ・The key is to set proper training data set for VDS (AI). VDS works as trained. If the training data is wrong, it works wrongly. ⒸUBIC, Inc. 2014 All Rights Reserved.

UBIC, Inc. Proprietary and Confidential.

6. Multi-purpose parallel audit by EMAIL AUDITOR Audit by subject matter expert

Domestic Server

Cartel Knowledge Base

Offshore Server Information leakage Knowledge Base

• •

Enable to investigate in foreign subsidiary through connecting with offshore server. Implement investigation for multi-purpose audit in parallel such as cartel, accounting fraud, information leakage, any harassment. Utilize the past case knowledge as training data set for VDS (AI). UBIC, Inc. Proprietary and Confidential.

7. Analysis of information leakage by a former employee Brewing Stage

Preparation

Execution 3/1

11/1 Dissatisfying to the company

12/1 Job search started

Symptom１・Information exchanged due to dissatisfaction. ・Complain about the salary or the human relation ship. ・Negative Input to social media like SNS.

2/20 Notice of resignation was submitted

Symptom 2 ・Information exchanged for job search. ・Access to job search Web site. ・Access to the Web site that explain how to write resignation notice.

Acceptance the notice of resignation

Symptom ３・Hunting for valuable information asset ・Transmitting some company assets to personal control（USB memory）・Download big data volume information.

Predict the risk of information leakage from indicators and prevent it.

UBIC, Inc. Proprietary and Confidential.

8. Email AUDITOR Concept for information leakage 3 steps:

Brewing Stage

• Dissatisfying to the company. • Interacted with other companies and employment agencies.

• Start investigating company securities. Preparation • Access to confidential data and copy them Stage

Execution Stage

AI based on Behavior Informatics

Brewing Detect VDS

AI based on Behavior Informatics AI based on Behavior Informatics

Preparation Detect VDS

Comprehensively evaluated by each

• Sending the data via emails AI based on Behavior Informatics

Confidential Detect VDS

UBIC, Inc. Proprietary and Confidential.

9. Sample screen for EMAIL AUDITOR Review Target

Document List

Coding

UBIC, Inc. Proprietary and Confidential.

10. EMAIL AUDITOR : Advanced Analytics /Central Linkage Central Linkage Virtual Data Scientist can analyze not only human relation but organizational one.

Main contact among organization

UBIC, Inc. Proprietary and Confidential.

11. EMAIL AUDITOR ďź&#x161; Behavior Extraction Human Behavior Extraction Verb+Noun set in one sentence is extracted and sorted by its appearance frequency. Thus the reviewers can understand the type of the communications without reviewing the documents.

Behavior Extraction Algorithm Emails

List of Behavior Information

Get

Information

Gather

Information

Provide

Price

Negotiate

Meeting

Have

Sample

Deliver

Price

Exchange

Technology

Order

New

Internally

Discuss

UBIC, Inc. Proprietary and Confidential.

12．Audit Report Example of EMAIL AUDITOR

Risky Emails by Date

Filters Audit Summary

Risky custodians’ address

UBIC, Inc. Proprietary and Confidential.

Behavior Extractor

13-1. Performance of artificial intelligence VDS: Recall Rate% How it has been demonstrated in real many projects? Recall Rate Evaluation

VDS (AI) Engine of EMAIL AUDITOR has been proven its performance in many actual US e-discovery cases.

If 10 documents of total 100 documents are Relevant, Recall Rate 100% means all of 10 Relevant documents. Set X-axis as Document number ratio % and Y-axis as Recall Rate %, then reviewing documents randomly, we can get the recall rate result as green dotline in the figure, which is called “Linear Review”. If the perfect machine like 100% accurate system can make it possible to review the documents from higher relevant documents, the chart is like Red dot-line. In this real world, with using Predictive Coding technology, we can get like blue actual line. Better performance system result is closer to Red dot-line. This is the method to evaluate the efficiency of the predictive coding. ⒸUBIC, Inc. 2014 All Rights Reserved.

UBIC, Inc. Proprietary and Confidential.

13-2ďź&#x17D;Performance of artificial intelligence VDS: Quality Control How it has been demonstrated in real many projects?

Easily found out good and bad quality reviewers by comparing VDS (AI=Predictive Coding) Score and Relevant Ration distribution chart. Reviewer 1 and 4 are not good since each chart shape is far from average. â&#x2019;¸UBIC, Inc. 2014 All Rights Reserved.

UBIC, Inc. Proprietary and Confidential.

14-1. VDS (AI) Engine : Predictive Coding Flow 3 main phases

UBIC, Inc. Proprietary and Confidential.

14-2. VDS (AI) Engine: Predictive Coding Process e.g. “The Predictive Coding is easy to use.” “Predictive Coding は容易に使⽤できます”

Morphological Analysis

Separate

Identifying keywords in Asian languages is far more challenging because, unlike English where spaces are used to separate words, Asian characters/words run together without the use of spaces between them.

The Predictive Coding Is Easy to use

UBIC’s Predictive Coding extracts significant words while ignoring common words.

Predictive Coding は容易に使⽤できます Remove Common Words

Predictive Coding easy use

UBIC, Inc. Proprietary and Confidential.

Predictive Coding 容易使⽤

14-3. VDS (AI) Engine: Predictive Coding Word Weighting

Weighting • Keywords are numerically weighted and used as part of the calculation to determine the likely significance of a document. • The weight of words found only in Responsive documents is higher than words appearing in both Responsive and Non-Responsive documents

Calculate

[Keywords] Predictive Coding easy use

UBIC, Inc. Proprietary and Confidential.

Weight “ ” 0.5 容易 0.2 使⽤ 0.1

Training Data 18

Yoshikatsu Shirai Client Technology UBIC, Inc. Meisan Takahama building 7F, 2-12-23, Kounan, Minato-ku, Tokyo 108-0075, Japan TEL: +81-3-5463-7577 FAX: +81-3-5463-7578 yoshikatsu_shirai@bic.co.jp ⒸUBIC, Inc. 2014 All Rights Reserved.

UBIC, Inc. Proprietary and Confidential.

如何在法庭上完整呈現數位證據? 如何在法庭上完整呈現數位證據劉偉立律師 August 7, 2012

個人簡歷工作經驗：

UBIC公司顧問

美國Finnegan Henderson法律事務所國際訪問律師

國際通商法律事務所 (Baker McKenzie)台北所律師

證照：

中華民國律師、中華民國專利代理人

美國紐約州律師與美國專利代理人考試合格

學歷：

史丹佛大學法律碩士

國立清華大學科技法律研究所碩士

講綱 1. 優比克服務介紹 2. 美國與台灣的證據要求 3. 案例分享 4. 有效數位蒐證的基本概念

1.優比克服務介紹

優比克公司簡介 2003年創立於日本東京日本東證股票上市 (2007) 以及美國那斯達克股票上市 (2013) 別於一般美國的電子蒐證與數位鑑識同業,

優比克結合高科技以及法律顧問專業,並研發自有的專業數位資料分析軟體

Advanced Forensics

Legal Intelligence （eDiscovery Support））

UBIC, Inc. Proprietary and Confidential.

Audit

(prevention email audit system)

三大營業項目(解決方案)

郵件稽核

※ New product, just released on Apr 2014

Audit 數位證據鑑識調查 Forensics

美國訴訟海量資料取證 eDiscovery

UBIC, Inc. Proprietary and Confidential.

實績案例 *美國/歐洲民事訴訟 •FTC調查經驗, DOJ 反壟斷訴訟, ITC調查經驗, 專利訴訟集體訴訟(Class Action) 美國訴訟海量資料取證 (eDiscovery)

＜2005年～2014年4月＞

378件以上

・技術資料外洩・營業秘密外洩・假帳・回扣案・惡意挖角・其他勞務糾紛

數位鑑識調查

（Digital Forensics）

＜2004年～2014年4月＞

・採購弊案

819件以上

日本各警察廳、國防部、全國各縣市警察單位其他政府單位、企業（製造業・IT・電力・通信業・金融機関等）教育訓練

（Digital Forensics）

＜2005年～2014年4月＞ 7

812名以上

全球據點(24x7 global support)

先進的證據處理實驗室右圖為處理美國訴訟 eDiscovery證據資料之實驗室下圖為數位鑑識工作站, 約40位左右的鑑識專家在此服務

資料處理過程中, 嚴格禁止連接外部網際網路, 杜絕一切資料汙染可能, 保障企業重要資料的安全。

台灣優比克 • 內湖辦公室 Neihu Office

• 獨立Data Center • 在地工程師與調查專員

2. 美國與台灣的數位證據法律

美國聯邦證據法規定 Article X.

Article VIII.

Contents of Writings, Recordings, and Photographs

Hearsay

Federal Rule of Evidence Article IX.

Article VII.

Authentication and Identification

Opinions and Expert Testimony

需先定性 • 是否為傳聞證據？是否為被告以外之人陳述？是否為審判外之陳述？例外？

• 文書類證據：電腦作成文書？日常業務文書？

台灣數位證據相關法律刑法

電磁記錄定義

• 第10條第6項：稱電磁記錄者，謂以電子、磁性、光學或其他相類之方式所製成，而供電腦處理之記錄。刑事訴訟法

準文書得為證據

• 第165條之1 第2項：錄音、錄影、電磁紀錄或其他相類之證物可為證據者，審判長應以適當之設備，顯示聲音、影像、符號或資料，使當事人、代理人、辯護人或輔佐人辨認或告以要旨。民事訴訟法

準文書得為證據

與美國類似之規定 • 是否為傳聞證據 (§ 159) ？是否為被告以外之人陳述？是否為審判外之陳述？例外？

• 文書類證據(§ 159-4) ：電腦作成文書？日常業務文書？

大陸數位證據相關法律刑事訴訟法

第48條

• 可以用於證明案件事實的材料，都是證據。證據包括：（一）物證；（二）書證；（三）證人證言；（四）被害人陳述；（五）犯罪嫌疑人、被告人供述和辯解；（六）鑑定意見；（七）勘驗、檢查、辨認、偵查實驗等筆錄；（八）視聽資料、電子資料。證據必須經過查證屬實，才能作為定案的根據。

民事訴訟法

第63條

• 第63條證據包括：（一）當事人的陳述；（二）書證；（三）物證；（四）視聽資料；（五）電子資料；（六）證人證言；

（七）鑒定意見；（八）勘驗筆錄。

影音

文書

流程記錄

數位證據

數位證據法律定位與蒐集程序均視個案而定

大陸最高人民法院司法解釋第七節視聽資料、電子數據的審查與認定第九十二條對視聽資料應當著重審查以下內容： 1) 是否附有提取過程的說明，來源是否合法； 2) 是否為原件，有無複製及複製份數；是複製件的，是否附有無法調取原件的原因、複製件製作過程和原件存放地點的說明，製作人、原視聽資料持有人是否簽名或者蓋章； 3) 製作過程中是否存在威脅、引誘當事人等違反法律、有關規定的情形； 4) 是否寫明製作人、持有人的身份，製作的時間、地點、條件和方法； 5) 內容和製作過程是否真實，有無剪輯、增加、刪改等情形； 6) 內容與案件事實有無關聯。對視聽資料有疑問的，應當進行鑒定。

大陸最高人民法院司法解釋第七節視聽資料、電子數據的審查與認定第九十三條對電子郵件、電子數據交換、網上聊天記錄、博客、微博客、手機短信、電子簽名、域名等電子數據，應當著重審查以下內容： 1) 是否隨原始存儲介質移送；在原始存儲介質無法封存、不便移動或者依法應當由有關部門保管、處理、返還時，提取、複製電子數據是否由二人以上進行，是否足以保證電子數據的完整性，有無提取、複製過程及原始存儲介質存放地點的文字說明和簽名； 2) 收集程序、方式是否符合法律及有關技術規範；經勘驗、檢查、搜查等偵查活動收集的電子數據，是否附有筆錄、清單，並經偵查人員、電子數據持有人、見證人簽名；沒有持有人簽名的，是否註明原因；遠程調取境外或者異地的電子數據的，是否註明相關情況；對電子數據的規格、類別、文件格式等註明是否清楚； 3) 電子數據內容是否真實，有無刪除、修改、增加等情形； 4) 電子數據與案件事實有無關聯； 5) 案件事實有關聯的電子數據是否全面收集。 • 對電子數據有疑問的，應當進行鑒定或者檢驗。 Copyright © UBIC, Inc. 2014 All Rights Reserved.

大陸最高人民法院司法解釋第七節視聽資料、電子數據的審查與認定第九十四條視聽資料、電子數據具有下列情形之一的，不得作為定案的根據： 1) 經審查無法確定真偽的； 2) 製作、取得的時間、地點、方式等有疑問，不能提供必要證明或者作出合理解釋的。

各國相同點 • 未設有同一蒐證程序規定 • 資料種類、技術更新、待證明事實不同 • 法官及訴訟當事人之「科技水準」至關重要 • 蒐證機構扮演重要角色 – 美國 – 台灣與大陸

3. 案例分享

What is metadata? Metadata，又稱元資料、中介資料，為描述資料的資料（data about data），主要是描述資料屬性（property）的資訊，用來支援如指示儲存位置、歷史資料、資源尋找、檔案紀錄等功能。執法單會通常將metadata使用於數位資料之驗真︒

侮辱公務員案例台中高分院100年上易689 • 警察執行公務，遭被告公然侮辱。 • 被告抗辯：公務員以私人手機錄影，且遭影片竄改。 • 法院請調查局勘驗：錄影之記憶卡與證物光碟片是否相同、是否曾遭竄改？ • 以鑑識軟體驗證Metadata，影片檔案並無編輯修改之記錄。 • 討論：Metadata 是否可以變造？ Copyright © UBIC, Inc. 2012 All Rights Reserved.

著作權歸屬案例智慧財產法院102年民著上13 • 背景：原告離職後，投稿至被告公司，後被告編輯英文教材，遭稱侵害著作權。 • 以鑑識軟體驗證Metadata，法院發現該著作檔案之著作人有多人，實際上著作人並非原告。 • 附論：PDF

照片真偽案例台灣高等法院102侵上訴字486 • A、B二人共同出遊，後A指控遭B迷昏後性侵害。 • 被告B抗辯證據包含二人共同拍攝之數位照片，拍攝時點為A所稱之迷昏時間之後。 • 原審鑑定結果：照片檔案建立時間為案發當日深夜，但鑑定機關因數位證據具有易於修改之特性，故無法判定送鑑手機內的圖(照)片是否為原始檔案及其內容是否曾遭修改。後本件被告B 因其他證據獲判無罪。 • 討論：若照片是唯一證據，圖片的Metadata可協提供更多資訊。

4. 有效數位蒐證的基本概念

完整複製

UBIC稽核流程證據保全

資料復原複製後證據保存硬碟

複製對象PC

復原資源回收桶內之資料複製

搜尋、抽出

使用專門軟件進行調查利用關鍵字搜尋、刪除系統檔等方式縮小資料量

解說、分析

製作報告

以內部稽查配合外部機關經由公司內部稽查所留存的法律證據, 一旦意外事件或訴訟發生時, 可藉由這些證據請外部機關配合調查企業內調查

外部機関

調查負責人

針對調查對象進行調查

上傳調查對象之資料

調查/搜索令

案例：

營業秘密洩漏調查：

懷疑某高層員工洩漏公司營業秘密、經由實際調查並蒐集證據之後訴諸法庭。

回扣調查：

懷疑某員工暗中收取廠商回扣、經由實際調查並蒐集證據後訴諸法庭。

UBIC, Inc. Proprietary and Confidential.

除了驗證資料真假、Email分析，還可以找到什麼？

瀏覽器歷程記錄

外接式存取裝置log(登錄檔) ■ External devices (USB memory or external HDD) are frequently used in fraud. In that case, the device connected to the PC can be identified by investigating the registry files as below. Key of each connected device

The unique internal identifier

Name of the external device Last connection date Even if the user make a fraud report, the connection to the PC can be proved. Since the specific information to the device is recorded, matching can be made. Copyright © UBIC, Inc. 2014 All Rights Reserved.

附論：個人資料保護法與數位蒐證數位蒐證

個資法

告知義務

隱私權

特定目的

合理隱私期待 35

Thank You

優比克有限公司(UBIC Taiwan Inc.) 劉偉立律師