近年注目を集めているデジタルフォレンジックとは?
ITが企業経営の根幹を担う今日、デジタル化による業務や組織改革など、企業のデジタル・トランスフォーメーション(DX)が注目されています。その反面、企業外部からの不正アクセスによるデータ改ざんや、内部不正による情報の持ち出しなどにより、多額の損害賠償請求に発展する事案が非常に増えてきています。
企業間のセキュリティトラブル発生時には原因究明を求められることもあります。また、労災トラブルでは遺族から会社貸与PCのログ情報の詳細開示が求められることもあります。反対に雇用主からは「実際に仕事をしていたのか?」という業務実績情報の調査を依頼されます。このような時代背景から、デジタルフォレンジックのニーズが高まっているのです。
フォレンジック(Forensics)とは、ハードディスク、SSD、USB、スマートフォン、クラウドなどに格納されている電磁的記録を収集し、法的証拠を抽出する手法を意味します。フォレンジックは、従業員の不正や犯罪の調査、ハッキングやマルウェアなどのセキュリティ脅威の特定などに活用されています。
社内不正の証拠隠蔽が発生するケースとは?
企業における内部不正は業界を問わず発生しています。代表的な事例は以下のとおりです。
・社員による横領・情報漏洩
・役員や管理職による背任行為
・社内の盗撮・盗聴行為
内部不正事例は、既存社員のみならず、退職した社員が競合他社に機密データを持ち出しているような事例も珍しくありません。これらの不正行為を行う人間は、何らかの形で証拠を隠蔽します。こうした不正行為は会社のメールアカウントを経由せずに、USBメモリなどの記憶媒体、クラウドメールなどを利用することが多いため、その証拠をつきとめることは決して容易ではありません。無論、PC内のデータも”表向きは”全て削除されているでしょう。
隠蔽された証拠を会社内部で調べることは可能?
PC内で消去された証拠となるデータを復元できるソフトは、無料のものから有料のものまで多数存在します。
専門知識がない人でも「ゴミ箱から消されたファイルを復元する」程度ならできるでしょう。しかし、データの復元は時間との戦いです。時間が経過すればするほどデータの抽出は難しくなります。また、訴訟対応を前提とした重要データの復元であれば、プロに依頼することを強くお勧めします。なぜなら、知識が不十分な人が復元を試みると、誤ってデータを「上書き」してしまい、とれたはずの証拠がPCから取り出せなくなってしまうこともあるからです。
プロがPCから証拠を取り出す調査の方法とは?
デジタルフォレンジックを日本語に言い換えれば、デジタル鑑識です。警察の鑑識が人間の死因を特定するように、私たちはPCなどに残っている証拠を精査してきます。PCの調査であれば、Cドライブ、Dドライブ以外にもキャッシュやメモリまで緻密な調査を実施します。USBが利用された情報漏洩案件では、USBメモリのメーカーも特定することもできます。
証拠隠滅はどのようにして行われるのか?
不正に取得したり、流出させたりしたデータやメールをそのままにしておくということはあまり考えられません。ほとんどの場合、証拠隠滅を図ることが多いです。なかには、データやメールを消去したり、パソコン自体を破損させたりするケースもあります。
デジタルフォレンジック調査を行う上では、不正を行った社員がどのようにして証拠隠滅を図るのかを知っておく必要があります。この章では、これまでに行われてきた証拠隠滅の手口をご紹介します。
パソコンの初期化
不正を行っていた社員が、退職のタイミングでパソコンを初期化することで証拠隠滅を図るケースは少なくありません。基本的に、初期化されるとデータは消えてしまいますが、初期化にも方法がいくつかあり、そのやり方によっては復元が可能な場合もあります。
パソコンを故障させる
パソコンを故障させることで証拠隠滅を図ることがあります。
かつての依頼では、不正の疑いがある社員から故障したと返却されていたPCをたまたま総務が保管していたことがありました。そのパソコンは電源が入らないようになっていましたが、恐らく意図的に故障させたものでしょう。実際に、壊れたパソコンから大量のメールのやりとりを取り出すことができました。そしてそのメールは転職先ドメインに送られていました。
クラウドを利用する
証拠隠滅ではありませんが、端末に証拠が残らないようにクラウドを使用するケースも多いです。その場合は、フォレンジック調査を行うことで端末からログイン情報を取り出すことができます。パソコンを隅々まで探すことでバイナリデータ(0と1のみで表される二進数のデータ)から発見できたケースもあります。
拡張子変えて隠す
画像ファイルをテキストにして隠していたケースもありました。フォレンジック調査を行うと拡張子に関係なく該当データを見つけることができます。
証拠隠滅されたデータを取り出すまでの流れ
PCから証拠を取り出すデジタルフォレンジック調査は、以下のような流れで進めていきます。
状況のヒアリング
電子データは時間が経過するとともに改変する恐れがあるため、現状を極力短時間でヒアリングし早急に調査に着手する必要があります。まず、インシデント発生時から現在までの状況を把握した上で初動対応の方針を決定し、解析対象を決定します。
データ情報の保全
エンジニアが現地へ伺い、PC、スマートフォン、各種サーバ内にあるデジタルデータを保全します。具体的には、調査対象端末のHDDをコピーし、証拠保全用と調査分析用のHDDを作成します。証拠データに変更が生じないように、原本への書き込み(改ざん)を防止した状態でコピーを取得することが重要です。
保全したデータの調査解析
証拠となり得る情報を見つけ出すために、周辺機器の中にある情報を調査・分析した上で原因を特定します。保全データに対してファイルシステム、ログ、データ形式に応じた調査を実施します。
フォレンジック調査報告
第三者機関の立場でフォレンジック調査の結果を報告します。フォレンジック調査は、事案により対応方法は異なりますが、お問い合わせをいただいた翌日に北海道や九州・沖縄に伺うことも珍しくありません。また、不正が疑われる社員の休暇中に調査を依頼されることもあります。調査期間については、3日程度で終わることもあれば、1年間継続するような複雑な案件もありますが、1週間程度で何らかの結論に辿り着くことが多いです。
アスエイト・アドバイザリーは、デジタルフォレンジックのプロ集団です
アスエイト・アドバイザリーは、捜査機関でも採用されている最先端ツールを活用し、お客様の様々な課題解決に取り組みます。年々巧妙化していくサイバー攻撃に対応すべく、弊社は常に最新の技術をキャッチアップしています。
私どもは、各種インシデント対応、第三者委員会、E ディスカバリ(米国の裁判における電子データについての証拠開示制度)から、企業の情報漏洩、横領、労災トラブルの解決まで多種多様な案件に対応しております。
また、調査を担当するのは、CFE(公認不正検査士)、CISA(公認システム監査人)、情報セキュリティスペシャリスト、情報システム監査専門内部監査士などの国家資格を有するスペシャリストです。元サイバー捜査官や大手通信業界セキュリティ部門出身者など、経験豊富な専門家に基づく調査・助言・報告を行います。プロとして事前のヒアリングから細心の注意を払いお客様が話しやすく、少しでも安心いただけるよう心がけています。
ここで、アスエイト・アドバイザリーのデジタルフォレンジック調査事例を2つご紹介します。
従業員による会社資産横領・帳票偽造
クライアントM社の元従業員が、小口伝票の偽造などで5年にわたって約7千万円を横領した事案です。本件の犯行は情報システム部門の2名によるもとと断定されたため、対象者にヒアリングを実施するとともに、会社・個人のPC4台、携帯電話4台、クラウド上のデータを調査。独自のフォレンジック手法で膨大なデータを絞り込みながら4万件のファイル調査を完了し、事件の全容が解明されました。
海外支店支社長による回転木馬詐欺関与
A社のシンガポール現地法人にて、支社長と営業幹部が還付金詐欺に関与している疑いがありました。証拠隠滅を図られる前に、対象者らが帰宅した深夜を見図りPCデータを証拠として保全しました。時間的猶予がなかったことから、現地シンガポールのホテルにて即席のラボを展開し、調査を実施した案件です。
海外支社で不正に対してのリスクマネジメントが行き届いていないケースはよく見受けられますが目が届きにくいからこそ監査体制を強めないといけません。
関連記事:海外子会社で不正が発生した際の調査方法とリスクマネジメント
デジタルフォレンジック調査にかかる費用はどのくらい?
フォレンジック調査にかかる費用は、調査内容や調査規模によって大きく異なりますが、PC1台につき10万円前後から対応可能です。データ保全だけ、特定PCのデータ復元だけ、など部分的な依頼をいただくこともあります。従来は大手企業が中心だったフォレンジック調査ですが、中小零細企業からのニーズも年々高まっています。アスエイト・アドバイザリーでは従業員数10人規模の企業から1万人規模の大手企業まで幅広く対応しております。
デジタルフォレンジック調査は誰に頼めばいい?
今回ご紹介した証拠隠滅調査では、データ復元ツールを使うだけではなく、それによって取り出せた膨大な情報からいかにあたりを付けて、重要な証拠に辿り着けるかがポイントになります。
例えば、競合の社名は重要な証拠になりえますが、社名だけでも何百、何千回と使われていることがあります。「OOO社とのサービス比較資料」などの問題ない社名の使われ方もある中で、”クロの証拠”を割り出すのは経験と信念によるところが大きいのです。
私達アスエイトアドバイザリーは、これまでに多くの証拠隠滅を図られたデータを取り出してきましたが、それは経験や技術以上に、ご依頼にできる限り応えたいという強い信念があるからだと自負しています。
機密情報の持ち出しは会社の存続にかかわることもあります。情報持ち出しの疑いがある場合は一刻も早く相談するのがおすすめです。
アスエイト・アドバイザリーでのデジタルフォレンジック調査サービスのご紹介
また、今回はPCの調査はデータを復元するだけでなく、USBの接続履歴を調べることも可能です。
関連記事:USBの接続履歴からデータの不正持ち出しを突き止めるには?
社内に不正の疑いがある場合は、迅速に調査を行うべきですのでまずはご相談ください。