2022年5月1日

退職者のパソコンから不正の証拠を確保するための調査

度々、企業による情報漏えい事故がメディアで取り上げられていますが、このような漏えい被害のうち、半数が退職者による情報の持ち出しであるといわれています。

そのため、最近では退職者の使用していたパソコンを調査し、不正の有無をチェックする企業も増えてきています。

では、この調査を実施するとどのような情報が分かるのでしょうか。調査の流れとあわせて紹介します。

退職者のパソコン調査の重要性

退職者のパソコン調査とは、退職者が業務で使用していたパソコンから、証拠隠滅のために削除されたデータや操作ログ、USB差し込み履歴などを確認する調査です。

退職者が使用していたパソコンは初期化して再利用されることが多いと思われますが、退職者の不正行為が退職後に発覚するケースも少なくありません。

不正の痕跡は様々な種類のものが多数残りますが、時間の経過に伴って徐々に消失していきます。何年も残る種類の痕跡もあれば、短期間で消えてしまう種類の痕跡もあります。痕跡は多いに越したことはないので、退職直後にパソコン調査を実施し、なるべく早い時点で確実に証拠を抽出、確保することが望ましいです。

退職者がおこなう場合がある不正行為として、よくあるものが以下の2つです。

競合他社へのデータ持ち出し

競合他社への転職や起業する場合に機密情報を持ち出し、顧客や取引先の情報をそのまま営業活動に利用したり、ノウハウを悪用したりするケースです。

持ち出される情報としてよくあるものが、会社の利益を上げるために役立つ顧客情報やノウハウ、研究データなどです。

機密情報に閲覧権限の制限を設けていなかったり、管理がずさんな状態だったりすると、データをメールで外部送信する、USBメモリに記録する、などの手法で容易に持ち出せてしまいます。

ダークウェブやリスト屋への転売

金銭を得る目的で、機密情報をダークウェブや個人情報などの売買をおこなうリスト屋に転売するケースもあります。

このような場所や相手に機密情報が渡ると、そこからさらに誰かが情報を閲覧、購入して悪用される場合もあり、被害拡大に歯止めが掛からなくなる可能性もあるでしょう。

退職者のパソコン調査で分かること

退職者のパソコンを調査すると、不正の有無の確認に役立つ、つぎのような情報を入手できる可能性があります。

パソコンのログ

パソコンのログとは、電源のON／OFFやログイン／ログオフ、アクセスの時間やファイルの削除履歴など、パソコンでおこなわれた操作の記録のことです。

これを調べることで、いつパソコンを操作していたのか、そして持ち出されて削除されたデータはあるか、などが分かります。

USBメモリや外付けHDDなどの接続履歴の確認

USBメモリや外付けHDDなど記録媒体の「初回および最終接続日時」、また接続された場合は不正にデータが書き込まれた形跡がないかも調べられます。

接続されたUSBやHDDの「メーカー・型番など機器情報」も分かるため、社内にある製品と異なるものであれば、調査が必要でしょう。

外部デバイス接続痕跡の確認

近年ではUSBではなくネットワークを悪用して外部デバイスにデータをコピーする手口のリスクが高まっています。例えばBluetoothデバイスにコピーするとか、Wi-Fiで私物スマホにコピーするなど。

外部デバイスの痕跡を確認すれば、私物などといった不審な機器の接続を検知できます。

パソコン内の全ファイルリスト

パソコン内にある全ファイルをリスト化し、権限のないファイルの利用状況、直近にアクセスしたファイルの履歴などを確認できます。

メール履歴

データをメールで持ち出す（外部送信する）という手口の場合は、ほぼ間違いなくその送信メールは削除される（証拠隠滅される）こととなります。そのように削除されたとしても、パソコンの内部には他にも多数の痕跡が残されるので、フォレンジック調査で削除メールの復元や送信履歴の事実確認ができる可能性があります。

インターネットおよび社内サーバーアクセス履歴の確認

退職者のパソコンから社内サーバー上のファイルにアクセスしていないか、またクラウドサービスを利用していないかを確認できます。

これにより、社内サーバー上の重要なデータを閲覧していないか、また抜き出した情報をクラウドに移している可能性があるかを調べられます。

不審なアプリ

持ち出しに悪用される「ファイル共有アプリ」や、不正の発覚を避けて「通信アプリ」「暗号化アプリ」などが使用されるケースがあります。アプリのインストール状況や、プログラムの実行痕跡を調べることで、業務に関係のない不審なアプリが使用されていないかを確認できます。

削除したファイルの調査

すでに削除されたファイルのファイル名、削除した日時も調査できます。

不正に情報を抜き出した場合、その痕跡が分かるファイルを削除する場合が多いため、権限のないファイルを利用していないか、不自然に削除されたものがないか確認できます。

退職者のパソコンを調査する流れ

では、退職者のパソコン調査はどのような手順で実施するのか、その流れを解説します。

使用していたパソコンの確保

まずは、退職者が使用していたパソコンを確保します。

不正の証拠が消えるおそれがあるため、退職直後に再利用する前にキープしておく必要があります。

データ収集と保全

パソコンに記録されたデータは、電源のオン・オフやファイルの閲覧だけでも状態が変容してしまうものです。

そのため、パソコン調査をおこなう際はデータが改変されないよう、調査対象のオリジナルのHDDと完全に同一のHDDのコピーを作成する、またはディスクイメージを作成するなどして「証拠保全」をおこなう必要があります。

これにより、オリジナルのHDDのデータが改変されることなく、証拠性を保持して調査が可能になります。

収集したデータの分析と調査

「退職者のパソコン調査で分かること」でご紹介したようなデータを収集したら、そこから不正行為の有無、不正があった場合はなにが証拠になるのか、などを分析します。

このような一連の調査・分析が完了すれば、パソコンは再利用しても問題ありません。

パソコン調査はデジタルフォレンジックが有効

パソコンに保存されたデータを確保・保全し、不正行為の痕跡を調査することを、デジタルフォレンジックといいます。

退職者のパソコン調査をおこなうにはさまざまな知識やノウハウが求められ、誤った操作により重要な証拠を紛失してしまうおそれもあります。

そのため、自社での対応が厳しい場合、専門家によるデジタルフォレンジックサービスを利用されるとよいでしょう。

デジタルフォレンジックでは法的措置に必須となる証拠保全媒体と報告書が作成されるため、裁判、刑事告訴、慰謝料請求などといった法的な対応を検討されている場合はご検討下さい。