訴訟・調査に備えるデジタルフォレンジック

I. はじめに

私たちはビジネス、プライベートを問わず、スマートフォンやコンピュータといったデジタル機器を使用している。これらのデバイスは様々な情報を記録し保存している。私たちの一挙手一投足が刻々と記録されているといえ、インシデントが発生した時にこれらのデータは重要な証拠となる。これらのデータを集めて解析をすることで事実を解明する調査手法はデジタルフォレンジックと呼ばれる。一昔前は映画やドラマの中の話であったが、最近はデジタル機器の普及に伴って身近な存在になっている。

訴訟を起こされた、社内に不正の疑義がある、といった場合にデジタルフォレンジックが必要になることがある。そのようなインシデント発生の初動措置として正しいアクションを起こせるようにしておかなければ、訴訟で不利な立場に立たされたり、本来必要ではないコストがかかったり、必要にして十分な調査ができない、ということが起きてしまう。インシデントは発生するものだという意識の下、どのようにすればデジタルフォレンジックで失敗せずに訴訟や調査に備えることができるかについて説明する。

II. 個人による不正の調査における注意点

機密情報の持ち出し、経費の不正請求、各種ハラスメントといった、主に個人による不正の疑義の調査は、デジタルフォレンジックが有効な手法となる。ファイルやWebアクセスの記録、プログラム実行の履歴といったコンピュータの操作記録を深く掘り下げる解析作業が必要だからである。このような調査の際に 絶対にしてはならないのは、専門家への依頼の前に、調査対象のコンピュータに対象者のIDでログインして中身を調べることだ。残念なことに、このようなケースは非常に多く見られる。結果として以下のようなことが起き、証拠が破壊され調査が困難になってしまう。これらは全て実際にあったことである。

• 「最近開いたファイル」の大部分がクライアントによる調査の履歴だった
• ファイルの最終更新日が上書きされていた
• 削除ファイルを復元するソフトをインストールしていた
• Outlookで疑義のあるメールを新たに作成した別フォルダにまとめていた
• 調査者のメモをデスクトップに保存していた  
   

デジタルデータの特徴に「書き換えが容易である」という点がある。編集が容易というデジタルデータの強みは、証拠という観点から見ると弱点ともいえる。コンピュータには様々なログがあるが、ほとんどのログは一定の情報量を超えると古いものから上書きされてしまう。調査によって過去の証跡を上書きすることは避けなければならない。コンピュータを預かった日時よりも最終更新日時が後になってしまったファイルは、改ざんされたと対象者から主張された場合、それを覆すことは困難である。コンピュータを預かった後のデータ更新は証拠の能力を低くしてしまう。実機を使用しての調査は、犯行現場を土足で踏み荒らしていることと同じなので、絶対に避けなければならない。

また、コンピュータの仕組みとして、ファイルが「どのユーザーIDによって作られた」ということは記録に残るが、「誰がそのユーザーIDを使ったのか」という情報は残らない。実際にキーボードを押したのが誰だったのか、という情報はコンピュータには残らないのだ。例えば、画面をロックせずに離席している間に操作されてしまえば、コンピュータは操作をした人が変わった、ということがわからないのである。したがって、そのIDを使用したのが本人である、ということを証明する必要がある。多くの場合は、本人しか知らないパスワードでログインしている、ということを根拠として本人の操作であると認定する。しかし、社員が共通のIDとパスワードを使用している場合もあり、このような環境では、「誰が」の部分を突き止めることが難しくなってしまう。その場合は、入退室カードの記録や防犯カメラの映像を照合するといった別の角度からの特定作業が必要になってくる。

パスワードの管理を徹底する、生体認証を導入する、離席時には画面をロックするといった、セキュリティの基本がしっかりと守られていなければ、最後の詰めで逃げられてしまう可能性があるということは覚えておいていただきたい。極論を言えば、パスワードを人に教えることで、それ以降のデータはパスワードを知っている人に責任を転嫁することも可能なのである。調査のために本人のIDでログインして操作をすることは、「誰が」の部分を調査者自らが根拠を弱くする行為といえる。

では、調査が必要になった時にはどうするべきだろうか？

おそらく全てのデジタルフォレンジックの専門家は「そのまま触らずに、すぐに専門家に相談してほしい」と回答するだろう。デジタルフォレンジックの専門家は、専門の機器やソフトを使用し、データの変更を最小限に抑える手法を選択して複数の複製を作る。さらにその過程を記録し証拠化する。その複製を解析することで証拠を改変することなく調査を行うのである。この部分に関しては専門性が高いので、ITのプロであってもデジタルフォレンジックの経験がない方には作業をさせるべきではない。

III. 組織による不正の調査における注意点

会計不正や品質不正といった、組織による関与を調査する場合にもデジタルフォレンジックの技術が活用される。不祥事が起きた企業が第三者委員会や特別調査委員会などを設置してデジタルフォレンジックを実施したという報道を耳にしたことがあるだろう。組織に対する調査の場合は、コンピュータ、モバイルデバイス、サーバーなどからファイル、メール、チャットなどのデータを集めて、キーワード検索などの手法で絞り込んだデータのレビューを行い、事実認定や類似案件の有無の判断に使用されることが一般的だ。事案にもよるが、調査対象者が数人から多ければ５０人以上、調査対象期間も短くて１年間、長くなると数十年間という大規模なものになることがある。

これらの膨大な範囲から限られた時間内に調査対象のデータを特定し、保全し、収集し、抽出し、処理し、レビューを完了させなければいけないという非常に厳しい状況になる。このような局面に対する準備が整っている会社は多くはない。作業を実施するにあたり乗り越えなければならない壁が現れる。

例えば、データ抽出が難航するということがある。一定のプラン以上を契約しないとメッセージの抽出ができない製品がある。また、大量のデータの抽出を想定していないメールアーカイバーを使用していたため、全てのメールを抽出するのに数カ月かかる計算になることがある。それでは間に合わないということであれば、個々の社員のコンピュータに残っているメールを抽出するなど他の手段を講じて少しでも前に進めなければならない。

データを守ることにフォーカスしたセキュリティ製品が調査を阻害することもある。制限が強すぎて調査のために必要なデータ抽出ができないのだ。例えば、情報漏洩対策のためスマートフォンのデータを抽出できないようにし、解除すると全て初期化してしまう製品もある。このような場合はスマートフォンの画面を写真撮影するといった原始的な方法を取るしかない。コンピュータでもUSBによる書き出し制限を解除するにはセキュリティソフトのアンインストールが必要で、その際に暗号化されていたハードディスクの全領域を復号するために数日かかるという製品も存在する。証拠保全の現場でこれらのセキュリティ製品に遭遇する度に、導入時にデジタルフォレンジックの専門家に相談していれば、セキュリティを保ちつつも、有事にはスムーズにデータの抽出、調査へと進められるような仕組みを紹介できたのに、と強く思う。

また、調査対象人数が少ない場合などに、自社でメールの確認作業を行ってしまうことがある。このような内製レビューは、社内で完結する調査であれば問題になることはないかもしれないが、対外的な説明を求められた場合に問題となることがある。「メールを確認したが問題点は無かった」という結論だけが報告されるのだが残念ながらほとんどの場合、データの収集方法、絞り込み方法、レビュー（いつ、誰が）の記録、判断基準といった手続きや情報が十分ではないため、調査結果の客観性、第三者性、再現性が低下してしまう。最悪の場合は全てやり直しになってしまうこともある。

IV. おわりに

デジタルフォレンジックは専門性が高い技術分野で、新しい技術が出るとその保全や解析の手法も変わるため専門家以外がその全てを理解することは現実的ではない。インシデントが発生してから準備を始めたのでは初動に大きな遅れが出てしまうし、業者を比較検討する時間もないだろう。平時から、インシデントが起きた時にどのように行動するべきかといった相談、またセキュリティ製品の選定といったタイミングでデジタルフォレンジックの観点から助言を受けられるような専門家との関係を構築しておけば、いざという時にも素早い立ち上がりが可能になる。私たち専門家の立場としても、使用しているシステムとセキュリティ制限を把握しているクライアントでの作業はヒアリング抜きに即座に作業にかかることができるため非常に効率的である。

デジタルフォレンジックの専門家との平時からの関係構築が、訴訟や調査で最大限の効果を得るための一番の近道といえるだろう。

※本文中の意見や見解に関わる部分は私見であることをお断りする。

執筆者

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック＆クライシスマネジメントサービス
青木 和哉 （シニアマネジャー）

（2024.8.14）
※上記の社名・役職・内容等は、掲載日時点のものとなります。