USBの接続履歴は閲覧することも削除することもできる?

パソコンを操作している女性

USBメモリを使えば会社PCの情報を外部へ持ち出すことは簡単にできます。そのため、不正防止の観点からUSBメモリを始めとした外部記憶装置の使用自体が禁止されている会社も多くなってきました。
他方、退職者(退職予定者)がUSBを使用して会社の機密情報を外部へ持ち出す事件が後を絶えません。たとえば、独立開業や競合他社への転職を前提に計画的に機密情報を持ち出す事例が目立ちます。彼らはスマートフォンを充電するように見せかけて、会社PCにUSB接続し内部のメモリーカードにデータを転送することや、犯人のITリテラシーが高ければ、会社外部から不正アクセスするようなこともあります。

ところで、会社PCへのUSBの接続履歴は調査することが可能です。通常のPCでは、USBなどの外部接続端子のログがすべて記録されます。つまり、USBメモリを接続された日時を知ることができるのです。しかしながら、USBメモリの接続履歴は消去することもできるため、そのような場合にはプロによる調査が必要となってきます。いずれにせよ、USBの接続履歴や消去されたログ履歴を復元するためには、PCのログ解析などの高度な専門知識が必要です。

 

デジタルフォレンジックで消去されたUSBの接続履歴を調査

パソコン調査

たとえUSBの接続履歴が消去されていたとしても、「デジタルフォレンジック」で調査することで接続履歴を復元することが可能です。聞きなれない言葉かもしれませんが、デジタルフォレンジックを日本語に言い換えれば「デジタル鑑識」です。警察の鑑識が人間の死因を特定するように、デジタルフォレンジックのプロはPCなどに残っている証拠を精査していきます。

PCの調査であれば、Cドライブ、Dドライブ以外にもキャッシュやメモリまで緻密な調査を実施します。USBが利用された情報漏洩案件では、USBメモリのメーカーすらも特定することが可能です。

  

USB接続履歴を社内で調査する方法 

まず、社内で社員の接続履歴を調査できるかというと、初心者には難易度が高いため専門家に頼むことをお勧めします。
ただし、初動調査で既に疑わしい社員がまだ在籍している場合は、本人に気づかれないようにUSBのメーカーや機種を把握しておきましょう。
これらの情報は、実際にUSB接続履歴を調査する際に役に立ちます。

 

専門家に依頼した場合のUSB接続履歴調査費用目安

USB接続履歴の調査費用は基本的には25万円~が目安になります。
実際に調査を始めてすぐ情報が特定させるケースと時間がかかるケースがあります。
また、接続履歴調査から該当のUSBが判明している場合の特定調査を行うと、さらにプラスの料金が掛かります。

  

USB接続履歴調査の流れ

USB接続履歴調査は全体で1週間ほどかかります。PCが必要な場合は即日ご返却するため、心配は無用です。

調査では最初にPCをお預かりするところから始まります。お預かりしたPCからデータを抽出したあとは、そのデータを使ってサルベージと言う作業を行います。
この作業でアーカイブを復元、データベース化し、網羅的に展開させ、ここからヒアリングを基に必要なデータを取捨選択していきます。そして、対象者の行動に基づき必要な情報を抽出し、分析レポートを作成し、調査は終了になります。必要に応じて報告書で提出することも可能です。

 

アスエイト・アドバイザリーで対応した調査事例

実際に、弊社で調査を行った「USBによる情報持ち出し」の事例をご紹介します。

【事例1】元社員による転職先への情報資産持ち出し事案

コンサルティング会社(A社)に勤務していた社員(S氏)がA社の競合であるB社に転職。S氏がB社に転職した数か月後に、自社の極秘データをクライアント企業から入手するという事件が発生します。これを不審に思ったA社の担当者が、該当ファイルのプロパティ情報を確認。すると、退職者であるS氏の名前がありました。また、A社ではUSBメモリの使用を禁止していたものの、物理的に利用することができる状況です。以上のことから、S氏がUSBメモリで情報を抜き取り、クライアント企業へ持ち込んだのではないかという疑惑が浮上します。

デジタルフォレンジックを依頼された弊社で、退職者S氏が使用していたノートPCのUSB接続履歴を確認。すると、会社管理外のUSBメモリの接続履歴が多数確認できました。また、すべての接続日時がS氏の在職期間と一致したため、S氏が日常的に私用のUSBメモリで情報を抜き出していた可能性が高まります。さらに、S氏のPCへのUSB接続履歴と、該当ファイルへのアクセス履歴の日時を突合すると、他にも多くのファイルが流出していることが判明。

後日、これらの情報流出は、S氏の転職先であるB社の指示の下で行われたことが明らかになりました。

【事例2】従業員による特定重要ファイルの無断持ち出し事案

製造業M社の情報システム部門にて、共有フォルダ内の特定重要ファイルに対する不審なアクセスログを発見。弊社の調査により、営業部門の誰もが使用できる共用PCがアクセス元と判明しました。そこで、共用PCに対してフォレンジック調査を実施しました。ファイルのアクセス履歴をたどり、特定重要ファイルへのアクセスルートを解析。さらには、PCの外部接続機器の接続履歴を調査し、ファイルを持ち出す際に使用されたのではないかというUSBの接続まで確認されました。

接続履歴と営業部門の入退室記録情報をもとに、持ち出しの可能性がある社員を5名に絞りこみ。各々にヒアリングを実施したところ、ある社員(C氏)が同日に特定重要ファイルにアクセスしたことを認めました。ですが、ファイルの持ち出しについては関与を否定しています。そこで、C氏の社用PCをフォレンジック調査。すると、特定重要ファイルは発見されなかったのですが、共用PCに接続されたものと同一のUSBメモリによる接続履歴が確認されました。C氏へ対するヒアリング・調査は継続され、最終的にはC氏が持ち出しを認めるに至りました。

 

アスエイトアドバイザリーのデジタルフォレンジックにおける強み

1, 複数のフォレンジックツールを用いて多角的に分析

単一の調査機器では見落とすようなポイントでも複数のフォレンジックツールを用いることで特定が可能になります。
 

2,専任の調査官が担当する

調査を担当する専任の調査官は長年デジタルフォレンジックを行ってきた経験から高い知見を持ち合わせております。調査官は警察の捜査と同じように怪しいポイントを絞り込んでいき、AIでも見抜けなかったところを見破ることができ、調査期間を短縮することにも貢献します。

3, 膨大な過去の調査経験と精鋭チーム

アスエイトアドバザリーには国内外、大手企業から中小企業まで様々な会社のデータ持ち出し事件の調査経験があり、世間に広く報道された事件の不正調査を任された経験もあります。さらに、メンバーは全員デジタルフォレンジックの経験が豊富な人物ばかりで、迅速かつ高精度な調査でお客様の不安を解決します。
 
 

併せて知っておきたい会社データを持ち出しされる方法

今回の記事ではUSBで会社データを持ち出された場合を想定していますが、それ以外にも会社データを持ち出す方法はあります。

1, メールで会社データを持ち出す

この方法ではメールを通じて会社データを社外に送るという手口が使われます。ただし、メールが削除済みだとしてもメール返信に使用したパソコンが残っていれば復元できる可能性があります。さらに、外部にメールを送信した履歴やExcel、Wordなどの添付ファイルまで復元できる場合もあります。
 

2,クラウドストレージで会社データを持ち出す

この方法ではクラウドストレージにデータをアップロードして持ち出すという手口が使われます。パソコン内に同期していれば該当ファイルが削除されていたとしてもアクセス履歴が残っていることがあるため、ファイル名などの情報と紐づけて特定が行えます。
 

3,スマホで撮影して会社データを持ち出す

この方法は、私用のスマホを社内で自由に利用できるケースに多いです。スマホに取られた画像データですが、画像を復元して証拠を提出することは難しくなってきています。ただし、アンドロイドですとSDカードを使ってデータを保存していることがありますので、それを利用して復元ができた場合もあります。
画像データのExif情報を追うことで、撮影情報や撮影場所を特定するという方法もあります。ただし、個人情報を公開させるという行為はハードルがかなり高いため、会社で外に出せない機密情報を取り扱っている場合は極力私用携帯の持ち込みを禁止することをお勧めします。
 

4,LINEで会社データを持ち出す

この方法ではパソコン内にLINEを入れて情報を抜き取るという手口が使われます。
トーク履歴が仮に消されていたとしても、LINEを入れていた形跡から情報をたどることはできます。さらに、LINEのデータは抽出可能なので、前後関係の情報を見て何らかのデータを見つけられる可能性はあります。

 

再発防止へ向けた取り組みもサポートします

握手をするビジネスマン

弊社(アスエイト・アドバイザリー)は、不正が発覚した際の調査のみならず、様々な再発防止策のご提案を併せて実施しております。

社内システムの健康診断(脆弱性診断)の実施

内部不正に限らず会社外部からのサイバー攻撃は社会的な問題ともなっています。これらの脅威から会社を守るためには、定期的な脆弱性診断を実施し、リスクに応じた対応策を検討することが極めて重要です。

ログ監視サービス

本記事でご紹介したような事例のような内部不正には、犯行の兆候があるものです。イレギュラーな侵入記録、イベントのログ収集を分析することで事件発生リスクを未然に防ぐことが可能となります。

社内教育・研修サービス

今やテレワークは日常的なものとなりました。ネットワークに潜むマルウェアなどから組織を守るためには、社員一人ひとりのITリテラシーの向上が必須と言えるでしょう。

 

従業員による不正持ち出しの調査はお気軽にご相談ください

アスエイト・アドバイザリーは、不正発覚時の調査や再発防止への取り組みツールとして、「自己脆弱性診断(ASVD)」をご提案しています。一般的な脆弱性診断は、診断の都度コストがかかってしまいますが、ASVDを導入すれば自社内で常時診断が可能です。セキュリティエンジニアが貴社を全面的にバックアップし、メンテナンスも弊社が担当するため常に最新の脆弱性情報を使用しながら潜在的なリスクを発見できます。尚、弊社のデジタルフォレンジックは国内だけでなく、海外での保全や調査にも対応しています。

従業員による不正持ち出しの調査は、アスエイト・アドバイザリーへお気軽にご相談ください。

 

▼過去の対応事例はコチラから