デジタル・フォレンジックの最前線報告「第6回　デジタル・フォレンジック・コミュニティ2009 in Tokyo」

UBIC 執行役員事業部長 野崎周作氏

　UBIC執行役員事業部長の野崎周作氏は「デジタル・フォレンジックを活用しない危険性」について専門企業の立場から解説した。

　野崎氏はまず、企業内で刑事事件につながりかねない事故が発生した場合の証拠保全の重要性について強調した。証拠保全は具体的にはHDDの複製を専用の機器を使って作成することで行う。HDDなどは事故の規模によっては捜査機関や関係省庁への「原本提出」が義務となるため、提出されたまま返却されない。このため、社内でHDDの複製を保有しておかないとステークホルダーから事故についての質問があっても答えられず、また、再発防止の参考資料が社内に残らないことになり、失敗・事故の教訓を次に生かすことができなくなる。

　同氏はある企業で情報アクセス権限のある人が個人情報を漏えいした事例を紹介した。このケースでは社内調査をシステム部員が担当したが、その手順は被疑者のPCを回収し、そのPCを使ってファイル検索を行った。そこで情報漏えいの疑いがあるファイルを発見したため、被疑者のPCを使ってCDへの書き込みを行い関係者へ調査報告した。

　このように、問題のPCを後から操作してしまう対応は「極めてまずい」という。というのも、被疑者によって削除されたファイルやその痕跡に手が加わってしまい、HDDの原本性が疑われることになるからだ。 野崎氏は「調査対象となるPCのOSを直接起動したり、書き込み防止を行わずにHDDやデータに直接アクセスすると証拠が書き換わってしまうことがある。こうした事態を防ぎ、証拠データを改変せずに調査を行うためには、まず専用の機器を使ってHDDの全領域を複製し、証拠保全を図ることが第一ステップだ」と指摘した。

　また、よくあるケースとして退職者による社内情報の漏えいがあるが、これを防ぐには、重要なデータへのアクセス権限を持つ退職者や重要なデータが集まる退職者、会社に不満を持って退職する者などの退職時には証拠保全を行っておくべきで、退職者のPCを他の社員に再利用させるためHDDの内容を完全消去してOSを再インストールしてしまうと、証拠データの痕跡が消えてしまい、調査不可能となってしまうので、注意が必要だとした。

　3番目の事例は自宅のPCから情報漏えいしたケースだが、自宅PCを調査する際に事前に被疑者に調査内容を伝えていたため、被疑者に調査データを事前に削除されてしまい、重要な証拠データが消え、詳細な調査が困難になった。類似のケースはかなり多く発生しており、なかには被疑者が別のPCやデバイスを隠していることもある。

　野崎氏は自宅PCの調査では、会社から本人同行で自宅PCの回収を行い、「被疑者に隠蔽工作をする時間を与えないことが必要だ」と強調した。また、回収直前のデータ削除は調査によってすぐ明らかになること、本人が不正を認めていない場合は、「調査によって疑いを晴らすことができる」と説明することも被疑者の好ましくない行為を防ぐ上で大切だとした。