第14回 IT絡みの不正事件で活用する調査とは？：会社を強くする経営者のためのセキュリティ講座（2/2 ページ）

[萩原栄幸，ITmedia]

フォレンジックの注意点

　米国などでは、デジタル情報がそのまま裁判の「証拠」になり得るケースが数多くありますが、それには「根拠」が必要です、フォレンジックによって「証拠」とその「根拠」を得るためには、調査前のPCの状態（原本）を必ず「保全」しなければなりません。調査によってPCの環境が変化してしまう場合があるからです。原本を確実に保全しておかなければ、被疑者が「その証拠は調査関係者がでっち上げたもので、自分のものではない」と主張することもあるでしょう。証拠としても極めて不完全なものになってしまいますので、やはり専門家に委ねるべきです。

　フォレンジックを行う際の具体的な注意点を幾つか紹介しましょう。

電源を入れた瞬間に「証拠」でなくなる

　PCの電源を入れただけでも、システム系のファイルを中心にファイルの最終更新の日付や最終アクセスの日付が変わります。フォレンジックを行う時は、それらの内容が変化していない（つまり押収した時点）間に全てのデータ（HDD全体）をコピーします。しかし、コピーのために電源を入れただけでも数多くのファイル内容が変化してしまうので、内容が変化しない専用機材を利用しなければなりません。

PCに詳しいだけでは絶対に触らせない

　繰り返しになりますが、専門家以外の人間が対象のPCに触れることは、調査そのものの意義を打ち消す自殺行為にも等しいものです。警察の鑑識担当者が事件現場を「関係者以外立ち入り禁止」にするのは、一重に犯人につながる重要な証拠や痕跡、遺留品、指紋が消えてしまったり、散逸してしまったりするのを恐れるからです。その現場（フォレンジックならPCの内部）に自称「専門家」が乗り込んでしまうと、こうしたものが次々と消えてしまい、元も子もありません。

証拠隠滅は「百害あって一利なし」

　証拠になりそうなファイルやメールを完全に削除すれば済む――不正の当事者たちはそう考えがちですが、そのような状況でも証拠を見つけ出すのがフォレンジックです。

　一般に言われるように、あるデータが保存されている領域を別のデータで上書きすれば、元のデータを復元することは、ほぼ不可能です。しかし、フォレンジックの観点ではその領域にあったデータが完全に削除されたとしても、あまり影響しません。そのデータの「分身」が別の領域に保存されていることもありますし、メールのようなケースでは証拠に直接つながるデータが削除されたとしても、「証拠となり得るデータが存在した痕跡」を前後に交わされたデータから突き止めることもできます。

---

　万が一不正が疑われるような事案が起きても、フォレンジックによって不正の真相を明らかにすれば、企業として適切な対応がとれるでしょう。ぜひ活用を検討していただきたいと思います。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから