ニュース
» 2010年03月10日 07時10分 公開

不正事件に学ぶ社内セキュリティの強化策:ノートPCの紛失調査で分かった意外な事実 (2/3)

[萩原栄幸,ITmedia]

2つのファイルに不審な履歴

 調査では、まず友人が会社でOA端末からノートPCへデータをコピーする時に使ったUSBメモリの中を確認し、全部で178個のファイルが見つかりました。友人によれば、すべてのファイルが社内情報でした。次に紛失したノートPCを調査するため、本体の裏蓋を取り外してHDDを取り出そうとしましたが、作業はとても複雑でPCの専門家でなければ取り外すのが難しいタイプでした(編注:調査対象データが改変しないよう、PCからHDDを取り外して外部端末で調査するという方法です)。

 友人は月曜日に会社へ報告しなければならず、HDDを取り外して詳しい調査をすることは断念せざるを得ませんでした。本来ならHDDを取り外して調べることで、システム情報から最後に電源を入れた日時などが簡単に分かるのですが、仕方ありません。そこで、紛失したノートPCの電源を入れて、できる範囲の方法で調べていきました。

 まずわたしが注目したのは、友人が会社から持ち帰ったファイルの「最終アクセス日」の確認です。通常は、フォルダを開くとファイル単位で一覧が表示されますが、その日付は「最終更新日」で、被疑者がファイルを見ただけではこの日付は変化しません。よって、ファイルを見ただけでも日付が変更される最終アクセス日に注目したのです。

 最終アクセス日の日付は、フォルダ内のファイルを指定してプロパティを開けば分かります。プロパティには「作成日付」「更新日付」「アクセス日付」が表示されるので、アクセス日付がファイルへの最終アクセスの日時となるわけです。

 しかし、調査で178個のファイルについて毎回この操作をするのは大変でした。そこでコマンドプロンプトを利用し、友人がこれらファイルを保存したというマイドキュメント内フォルダの直下まで移動して「dir /t:a」を入力しました。例えば「C:\Users\hagiwara\Documents\abc>」のところで「dir /t:a 」を入力すると、178個すべてのファイルのアクセス日時を表示できます。

 その結果、何と178個のファイルのうち2個のファイルだけアクセス日時が土曜日(つまりこの調査をしている日曜日の前日)になっていました。友人は金曜日の夜以降はまったくノートPCに触っていませんので、何者かが2つのファイルにアクセスして情報を見ていたことが分かりました。

PCに触ったのは誰か!

 誰がPCの情報を見たのかについて、まずは交番に届けたというホームレスの人を疑うしかありませんでした。彼に状況を聞くために、わたしは次のように尋ねました。

 「かばんやPCの中には重要な情報が入っていて、それが第三者の手に渡ったかどうか、どうしても知りたいのです。正直に話してくれませんか。あなた以外に、このかばんやPCを見たり触ったりした人はいましたか?」

 彼は「わたし以外は触っていないでしょう。他人には渡していません。PCなんて使えないので、かばんと一緒に近くの交番へ土曜日の夜に届けました」と言います。さらにわたしが「PCの電源は入れましたか?」と聞いたところ、「いいえ。スイッチがどこにあるのかも分からなくて、変に触って故障でもしたらまずいと思い、何も触っていません」と答えました。

 彼が嘘の証言をしているとも思えず、PCを触っていないと信用することにしました。PCとかばんはホームレスが交番に届け、その後に交番から警察署に搬送されて、友人に返却されたわけですが、ホームレスの彼ではないとすれば、いったい誰がPCに触ったのでしょうか……。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ