Contents
会社の更衣室からカメラが見つかった
ある日、女子社員からカメラのようなものが更衣室にあったと報告がきた。
実際に確認をしてみたら、スマートフォンの充電器のようなものにカメラレンズがついているものが見つかった。
これが本当にカメラなのかわからなかったため、電気屋に確認をし、カメラであることが判明した。
記録するためのMicroSDが抜き取られていた
カメラにはMicroSDが装着できるようになっていたが、MicroSDはすでに抜き取られていた。
これでは、実際に盗撮したのか証明することもできず、誰がやったのかもわからない。
社内では疑心暗鬼に陥っており、社員が社員を疑っている非常に良くない雰囲気になっている。
これをどうにかして解決したい。
デジタルフォレンジック24に相談
どうしたらいいかわからず、色々調べてデジタルフォレンジック24へ問い合わせをした。
状況を説明したところ、抜き取られたMicroSDを見つけることは困難なため、それを接続した可能性のあるPCを調査したほうがいい。
犯人の目星がついていないのなら社員全員のPCを調査しないといけないとアドバイスをいただいた。
しかし、それを社員に説明し、証拠隠滅をされるわけにはいかないため、休日に来てもらい、PCのHDDを複製し、証拠保全をしてもらうことにした。
休みの間に社員全員のPC内HDDの複製を作成してもらい、持ち帰って解析をしてもらうことになった。
PCの調査解析をした結果
複製した全PCの調査解析を行い、あるPCから証拠となりえるデータが見つかった。
また、盗撮写真と思われる画像データも多数でてきた。
この証拠データを元に本人に確認したところ、盗撮について自白した。
不正の証拠を発見するデジタルフォレンジック
サイバー犯罪と聞くと、「悪意あるハッカーによる外部からの攻撃」「ウィルス感染による情報流出」などが思い浮かびます。
しかし同時に、いわゆる内部犯行による不正も少なくありません。
・機密情報などの無断なデータ持ち出し
・退職者が勝手にPCを初期化
・取引先への水増し請求をメールにて行い、その後削除
IT技術の発展により、不正行為はデジタル化し、またITへの敷居が下がったため、やり方さえ分かればより容易になりました。
今回の事例は盗撮でしたが、それ以外にも「横領」「情報漏えい」「労務問題」「社内不正」などがすべてPC上で行われているのです。
そこで、デジタルフォレンジックの出番となります。
デジタルフォレンジックには、以下の特性があります。
・証拠保全:専用機器を用い、調査対象(PCなど)の複製を行います。非常に変質しやすいデジタルデータが改変される前に、証拠保全を行えます。
・解析・調査:保全したデータをもとに、削除されたデータの復元や、インターネットの閲覧履歴を調査します。
まさに今回のようなケースでは、
・証拠保全による証拠隠滅の防止
・解析・調査により、カメラの購入履歴や、該当の画像データの発見
など、成果につながっています。
その他のケースの実績をご紹介いたします。
とあるIT企業にて、在籍中のエンジニアが、社内のサーバーに不正にアクセスを行っていた。内部監査を進めたところ、名簿業者に顧客情報を渡し、金銭を受け取っていると発覚した。
業務で使用しているPCを回収し、証拠を押さえたい。しかし、どうやら遅くまで職場に残り、上司や同僚が不在の残業時間中に行っていると分かった。
過去には別件で、不当解雇だと訴えられたケースもあり、穏便に、秘密裏に調査を行いたい。
→フォレンジックの技術者が休日にオフィスに出張いたしました。エンジニアが使用しているPCを分解し、HDDのクローン作業(証拠保全)を実施いたしました。
クローンしたHDDを持ち帰り、解析・調査した結果、本来はデスクトップに保存してはいけない顧客情報を保存していた痕跡と、削除されたメールに名簿業者に送付した痕跡を発見いたしました。
社員が一身上の都合で退職することになった。手続き自体はスムーズに進み、きちんと引継ぎも行われ、退職の日を迎えた。
ところが返却された社用ノートパソコンを確認すると、完全に初期化されてしまっている状態だった。さらに退職後になって、退職した社員が勝手に機密情報を外部に漏らしている疑いが浮上した。
慌てて退職した社員に連絡したが、「次に使う方が使いやすいように」「データを残して返却しろとは言われていない」ともっともらしい回答があった。
確かにデータを残さず返却するよう通達していなかったのは会社側の落ち度だが、不正の疑いがある以上、そのままにはできない。初期化されたノートパソコンに証拠が残っていないか、調査を希望。
→お預かりしたノートパソコンのクローン作業後、専用装置にてスキャンを実施。結果、消去されたメールデータやエクセルなどのOfficeデータを検出いたしました。また、インターネット閲覧履歴や、USBメモリの外部機器の接続履歴なども復元いたしました。抽出したデータの精査を行った結果、社内規定で本来禁じられているUSBメモリの使用と、WEBメールにて顧客リストを送信している履歴を発見いたしました。
建設会社で、現場監督である従業員に、ノートパソコンを渡していた。
1年前に退職したのだが、どうやら別業者と癒着していたようで、Thunderbirdのメールが故意に消されている。
巧妙にもすべて消去されたわけではなく、特定の期間のみ消去されている(20xx年7月~20xx年10月まで)。また、Outlookも使用していたようで、そのデータはすべて残っている。
市販の復旧ソフトを試してみても、復旧することができなかった。
→メールデータは実は特殊性の高いデータのため、専用装置による解析が必須となります。つまり、データ復旧技術よりも、デジタルフォレンジック技術の有無が重要となります。フォレンジック専用装置を用いて、メールデータの解析を実施いたしました。検出したメールデータは10,000件以上になりましたが、「該当の期間」と「請求データ」で絞り込みを行い、無事に該当の水増し請求のメールを発見いたしました。
社内の不正調査はデジタルフォレンジック24に問い合わせを!
今回の事例では、お客様の対応が非常に良かったことが調査に成功した要因となります。
何か問題が発覚した場合に、社員への通達を行わなかったことで、秘密裏に調査できました。
もし本人に調査することが知られてしまうと証拠隠滅される恐れがあります。
そのため、何かあった場合はすぐにデジタルフォレンジック24に相談してください。
ご相談いただきました内容に応じ、最適な方法をご提案いたします。
選ぶなら安心と信頼の技術
一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。
デジタルフォレンジック24は
特急データ復旧ウィンゲットが運営しています
データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
デジタルフォレンジック24公式サイトはコチラ
オフィスは主要都市に6拠点
全国に受付窓口が185箇所あり
弊社は北海道(札幌)、東京都(秋葉原)、神奈川県(横浜)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に6店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。
店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。
店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。
札幌市中央区南1条西10-4-167
小六第一ビル 6F
直通TEL:011-272-0600
東京都千代田区神田須田町2-7-3
VORT秋葉原ビル5F
直通TEL:03-6206-0970
横浜市中区扇町1-1-25
キンガビル4F
直通TEL:050-2018-0428
名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561
大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423
福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705
全国の受付窓口
