USBの接続履歴は閲覧することも削除することもできる?

パソコンを操作している女性

USBメモリを使えば会社PCの情報を外部へ持ち出すことは簡単にできます。そのため、不正防止の観点からUSBメモリを始めとした外部記憶装置の使用自体が禁止されている会社も多くなってきました。
他方、退職者(退職予定者)がUSBを使用して会社の機密情報を外部へ持ち出す事件が後を絶えません。たとえば、独立開業や競合他社への転職を前提に計画的に機密情報を持ち出す事例が目立ちます。彼らはスマートフォンを充電するように見せかけて、会社PCにUSB接続し内部のメモリーカードにデータを転送することや、犯人のITリテラシーが高ければ、会社外部から不正アクセスするようなこともあります。

ところで、会社PCへのUSBの接続履歴は調査することが可能です。通常のPCでは、USBなどの外部接続端子のログがすべて記録されます。つまり、USBメモリを接続された日時を知ることができるのです。しかしながら、USBメモリの接続履歴は消去することもできるため、そのような場合にはプロによる調査が必要となってきます。いずれにせよ、USBの接続履歴や消去されたログ履歴を復元するためには、PCのログ解析などの高度な専門知識が必要です。

 

デジタルフォレンジックで消去されたUSBの接続履歴を調査

パソコン調査

たとえUSBの接続履歴が消去されていたとしても、「デジタルフォレンジック」で調査することで接続履歴を復元することが可能です。聞きなれない言葉かもしれませんが、デジタルフォレンジックを日本語に言い換えれば「デジタル鑑識」です。警察の鑑識が人間の死因を特定するように、デジタルフォレンジックのプロはPCなどに残っている証拠を精査していきます。

PCの調査であれば、Cドライブ、Dドライブ以外にもキャッシュやメモリまで緻密な調査を実施します。USBが利用された情報漏洩案件では、USBメモリのメーカーすらも特定することが可能です。

 

アスエイト・アドバイザリーで対応した調査事例

実際に、弊社で調査を行った「USBによる情報持ち出し」の事例をご紹介します。

【事例1】元社員による転職先への情報資産持ち出し事案

コンサルティング会社(A社)に勤務していた社員(S氏)がA社の競合であるB社に転職。S氏がB社に転職した数か月後に、自社の極秘データをクライアント企業から入手するという事件が発生します。これを不審に思ったA社の担当者が、該当ファイルのプロパティ情報を確認。すると、退職者であるS氏の名前がありました。また、A社ではUSBメモリの使用を禁止していたものの、物理的に利用することができる状況です。以上のことから、S氏がUSBメモリで情報を抜き取り、クライアント企業へ持ち込んだのではないかという疑惑が浮上します。

デジタルフォレンジックを依頼された弊社で、退職者S氏が使用していたノートPCのUSB接続履歴を確認。すると、会社管理外のUSBメモリの接続履歴が多数確認できました。また、すべての接続日時がS氏の在職期間と一致したため、S氏が日常的に私用のUSBメモリで情報を抜き出していた可能性が高まります。さらに、S氏のPCへのUSB接続履歴と、該当ファイルへのアクセス履歴の日時を突合すると、他にも多くのファイルが流出していることが判明。

後日、これらの情報流出は、S氏の転職先であるB社の指示の下で行われたことが明らかになりました。

【事例2】従業員による特定重要ファイルの無断持ち出し事案

製造業M社の情報システム部門にて、共有フォルダ内の特定重要ファイルに対する不審なアクセスログを発見。弊社の調査により、営業部門の誰もが使用できる共用PCがアクセス元と判明しました。そこで、共用PCに対してフォレンジック調査を実施しました。ファイルのアクセス履歴をたどり、特定重要ファイルへのアクセスルートを解析。さらには、PCの外部接続機器の接続履歴を調査し、ファイルを持ち出す際に使用されたのではないかというUSBの接続まで確認されました。

接続履歴と営業部門の入退室記録情報をもとに、持ち出しの可能性がある社員を5名に絞りこみ。各々にヒアリングを実施したところ、ある社員(C氏)が同日に特定重要ファイルにアクセスしたことを認めました。ですが、ファイルの持ち出しについては関与を否定しています。そこで、C氏の社用PCをフォレンジック調査。すると、特定重要ファイルは発見されなかったのですが、共用PCに接続されたものと同一のUSBメモリによる接続履歴が確認されました。C氏へ対するヒアリング・調査は継続され、最終的にはC氏が持ち出しを認めるに至りました。

 

再発防止へ向けた取り組みもサポートします

握手をするビジネスマン

弊社(アスエイト・アドバイザリー)は、不正が発覚した際の調査のみならず、様々な再発防止策のご提案を併せて実施しております。

社内システムの健康診断(脆弱性診断)の実施

内部不正に限らず会社外部からのサイバー攻撃は社会的な問題ともなっています。これらの脅威から会社を守るためには、定期的な脆弱性診断を実施し、リスクに応じた対応策を検討することが極めて重要です。

ログ監視サービス

本記事でご紹介したような事例のような内部不正には、犯行の兆候があるものです。イレギュラーな侵入記録、イベントのログ収集を分析することで事件発生リスクを未然に防ぐことが可能となります。

社内教育・研修サービス

今やテレワークは日常的なものとなりました。ネットワークに潜むマルウェアなどから組織を守るためには、社員一人ひとりのITリテラシーの向上が必須と言えるでしょう。

 

従業員による不正持ち出しの調査はお気軽にご相談ください

アスエイト・アドバイザリーは、不正発覚時の調査や再発防止への取り組みツールとして、「自己脆弱性診断(ASVD)」をご提案しています。一般的な脆弱性診断は、診断の都度コストがかかってしまいますが、ASVDを導入すれば自社内で常時診断が可能です。セキュリティエンジニアが貴社を全面的にバックアップし、メンテナンスも弊社が担当するため常に最新の脆弱性情報を使用しながら潜在的なリスクを発見できます。尚、弊社のデジタルフォレンジックは国内だけでなく、海外での保全や調査にも対応しています。

従業員による不正持ち出しの調査は、アスエイト・アドバイザリーへお気軽にご相談ください。

 

▼過去の対応事例はコチラから

 

お問い合わせ・ご相談はコチラから