不正行為をおこなった退職者は、証拠隠滅を図るために退職前にパソコンを初期化することがほとんどです。

初期化することでパソコン内のデータはきれいに消去され、通常の調査では証拠が見つかることはありません。

しかし、初期化されてもデータを復元できるのがデジタルフォレンジックです。

この記事では、退職者が初期化したパソコンをデジタルフォレンジックで復旧する方法について解説します。

 

退職者がパソコンを初期化するとき

パソコンの初期化は、特別な事情があるときにおこなうものです。

たとえば、使用中のパソコンを中古で売りに出したいときに初期化をします。
データが入ったままだと購入した人が使いにくいですし、個人情報が残っていれば悪用されるおそれもあるからです。

あとは、ハードディスクの空き容量がなくなって仮想メモリが使えなくなり、パソコンの動作が極端に遅くなってどうしようもなくなったときぐらいでしょうか。

原因不明のトラブルが発生したときに打開策として初期化をすることもありますが、いずれにせよ限られた場合のみです。
多くのユーザーが購入後1回も初期化をすることなく、次のパソコンへと買い換えていきます。

初期化が必要な状況でもないのに、退職者が初期化をおこなうとしたら「パソコンのデータを消去するため」と考えるのが妥当です。
なぜなら、初期化にはデータ消去以外の用途が特にないからです。

では、なぜデータを消去するのでしょうか。

退職者の次にパソコンを使う人が使いやすいようにと配慮したのだとも考えられます。

しかし、不要なデータの削除は次にそのパソコンを使う人がやるか、ほかの社員に任せれば済むことです。

むしろ、仕事の引き継ぎをするうえでは、資料やデータがパソコンに残っていたほうがやりやすい場合もあります。初期化すればパソコンが使いやすくなるとは必ずしも言えません。

それなのに退職者が初期化にこだわる理由はただひとつ「不正行為の証拠を消したいから」です。

 

初期化されてもデジタルフォレンジックで解析可能

パソコンの初期化をおこなうと、OSや各種アプリケーションの設定がすべて消え、ブラウザの履歴やメールデータなどもまっさらな状態になります。

ただし、それはパソコンの画面上だけの話であって、実際にデータが記録されているハードディスク内部では状態が異なります。

わかりやすく説明すると、あるデータが削除されたとしても、そのデータを格納している部分を「読み込まない」ようにしているだけです。
ハードディスクにはそのままデータの痕跡が残り続けます。
そのため、復元ツールやデジタルフォレンジックの技術によって簡単に復旧させることが可能です。

ただし、ハードディスク上で「読み込まない」とされた箇所は、いずれ新たなデータによって上書きされます。

データが削除されてからパソコンを使用し続けると、痕跡のあった場所へ次々と上書きデータが記録されていくため、復元が難しくなります。

デジタルフォレンジックはさまざまな解析技術を駆使しておこなうので、ある程度時間が経っても復元に成功する可能性は高いですが、やはり上書きがされていない状態が望ましいです。
上書きだらけになってしまうと、デジタルフォレンジックでも痕跡を調査するのが難しくなり、復元率が低くなってしまいます。

退職者が初期化をおこなったのを確認した時点で、すぐにパソコンの使用をやめさせるのが得策です。

退職者にアンチフォレンジックをさせない！

不正行為をおこなった退職者がパソコンに詳しい場合は、初期化からさらに一歩進んだ「アンチフォレンジック」を施すリスクがあります。

アンチフォレンジックとは、デジタルフォレンジックによる調査を妨害するための操作をすることです。

前述したように、削除したデータの痕跡がある保存領域へ新しいデータを記録させれば復元が難しくなります。デジタルフォレンジックの失敗確率を上げるために、意図的な上書き行為を繰り返すのがアンチフォレンジックの基本的な手法です。

一般には手に入りませんが、痕跡を狙い撃ちして上書きする「アンチフォレンジックツール」そのものも存在しています。
市販の完全削除ツールも復元されないようにするためのツールです。アンチフォレンジックに悪用する可能性もあるでしょう。

もし退職者が不自然なパソコン操作や見慣れないツールの操作をしていたら、アンチフォレンジックをおこなっているかもしれません。
パソコンの初期化だけでなく、これらの不審な行動にも注意しましょう。

デジタルフォレンジックなら初期化されても削除データを復元できる！

退職者が初期化をおこなったときは要注意です。

特別な状況でなければ初期化をする理由がなく、データ削除が目的であると推測されるからです。

初期化によって表面的には不正行為の証拠隠滅ができますが、ハードディスク上には痕跡が残ったままであるため、復元ツールやデジタルフォレンジックで復元可能です。

問題は初期化後も使用を継続した場合で、痕跡がある保存領域に上書きが起こると解析が難しくなります。
退職者に意図的に削除と上書きを繰り返す行為が見受けられたら、パソコンの使用をやめさせて早急に調査をするべきです。

デジタルフォレンジックによるデータ復元をする際は「デジタルフォレンジック24」に問い合わせてみてください。

---

 

選ぶなら安心と信頼の技術

一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。

デジタルフォレンジック24は

特急データ復旧ウィンゲットが運営しています

 

オフィスは主要都市に6拠点
全国に受付窓口が185箇所あり

弊社は北海道（札幌)、東京都(秋葉原)、神奈川県(横浜)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に6店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。

店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。

店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。

全国の受付窓口

---