サイバー事件の捜査手法をひも解く 「デジタル・フォレンジック」の使い方：“迷探偵”ハギーのテクノロジー裏話（1/2 ページ）

サイバー事件の捜査では行われる「デジタル・フォレンジック」。前回はその存在を解説したが、今回は具体的な利用シーンを紹介していこう。

[萩原栄幸，ITmedia]

　前回に続いて「デジタル・フォレンジック」を解説したい。初めてご覧になる読者は、ぜひ前回の記事「『フォレンジック』とは何か？」もお読みいただきたい。今回は、前回記事の後半で紹介したフォレンジックの手順（保全作業・解析作業・報告作業）の続きを取り上げる。

報告作業後にすること

　現役のフォレンジック調査員から次の質問を受けたことがあった。

「フォレンジックの仕事は、顧客に作業報告をすれば、それで完了ではないでしょうか？　私はフォレンジックを専門にしている会社で仕事をしています」

　質問者が務める会社は、筆者が以前に技術指導をしていた。本人は入社3年目なので、そのことをご存じなかったようだ。

　狭義としては、解析作業の後に「作業報告書を書いてしまえばおしまい」と思っても不思議ではない。ただ、それで終了ではない。なぜなら、前回述べたようにフォレンジックでは原本を丸ごと複製した2つのディスクを用いる。その後の対応は事案によって異なるが、依頼者が何も指示をしない場合は、調査・分析したディスクを完全に丸ごと消去（Wipeという）して再利用をすることが多い。本来なら完全に破壊した方が、情報漏ろいにつながらないだろうが、費用対効果からは止むをえないと思う。

　フォレンジック作業は通常、監視カメラとドアに認証装置を設置して、物理的に外とは断絶した環境において実施している。この中で調査分析されたディスクがWipeされる。

　一方、原本のディスクは調査会社で一定期間保存する。なぜなら、作業した後に依頼企業で何が起きるか分からないからだ。もし訴訟で証拠として提出した解析作業の結果の原本性を問われた場合、調査会社に保存している原本が、解析作業が正しく行われたことを証明する証拠の１つになる。

　調査会社では施錠可能な金庫や倉庫（調査会社によって多少は違うが）に、原本のディスクを最低でも半年ほど封印して保管し、期限が過ぎたら、これも完全消去して再利用していく。当然ながら、完全消去の作業は一人では行わない。複数人で必ず相互にチェックしつつ、本当に中身のデータが消えたのかをツールを使って検証する。そして「完全消去済み」のシールを添付する。調査会社によって作業内容や手順がやや異なる場合もあるが、作業者が不正できないよう複数人で確認し、その作業の様子や内容も記録している。

　フォレンジック作業を調査会社に依頼する際に、「価格だけで判断してはいけない」と言われる。上記の作業は手間もコストもかかる。こうした作業で手を抜けばコストダウンできるが、同時に信用や信頼も低下しかねない。サイバー事件において自身の証明に万全を期したいなら、この点を十分に考えていただきたい。

フォレンジック利用の事例

　筆者は、企業の内部不正や内部犯罪の対策で15年近く活動をしているが、過去に関わった事案にはさまざまなケースの相談や依頼があり、また他の調査員や依頼側の企業、団体からもいろいろな情報を聞いてきた。具体的な事例をここで紹介しよう。なお、特定の個人や企業・団体を明らかにできないので一部改変していることを予めお断りしておく。

• 「うちの夫が不倫しているかもしれない……。いや、絶対にしているはず！　その証拠をつかみたいので、ぜひ夫の書斎のPCを確認してほしい」
• 「社長が役員や労働組合に内緒で外資系企業に、会社の株を売却しようとしている。社長と親族の持ち株は約67％、従業員の持ち株会や親族以外の役員が18％、残りは金融機関です。証拠を押さえて何とか止めさせたい」
• 「婚約者の素行があやしい。アパートの鍵を持っているので、彼が仕事をしている間にPCの中を調べてほしい。私が調べてみたが、あやしいファイルは全てパスワードが掛かっていて中身をチェックできなかった」

　これらは全てメールでの相談であり、依頼者の状況を確認せず、全てメールでお断りしたケースだ。依頼通りに調べれば、確かに証拠はつかめるだろう。しかし、その後が問題である。これらは法的に問題だったり、証拠を発見した途端に修羅場となって第三者である調査会社や調査員が巻き込まれたりする恐れがあるからだ。ある人は筆者が依頼を断ったら、「商売だろ！　自信が無いのか！　ネットで炎上させてやる！」という怒りのメールを返信してきた。これには無視するしかない。

　通常、一番多いのは企業の不正関連である。有名な企業から零細企業まで業種、業態、規模などは問わない。千差万別である。その内容は、

• 役員の不正
• 経理部の不正
• 営業の不正
• プロジェクト全員の不正
• 談合
• 特許情報の漏えい
• 従業員名簿、顧客名簿のコピー

　その内容は、「金銭」に絡むものが圧倒的に多い。名簿のコピーは、一見すると金銭に関係ないようにみえるが、それは現実をご存じ無い方である。名簿のコピーのほとんどは売買されてしまう。その昔、ライバル企業に就職した人がお土産に退職企業の顧客名簿を持参したというケースも、結局はお金が関係している。そういう人は今なお多い。罪悪感が薄く、簡単にできてしまうのも要因である。

　コンプライアンス教育をやり過ぎるということはない。毎年1回ではなく年に何回も、しかも実効を伴う教育が必要だ。しかし人事部やコンプライアンス部の社員では力不足の感もある。専門家の指導を受け、何年間にもわたって包括的に教育を行っていくべきだが、企業もそこまで検討しているところは極めて少ない。情報の漏えいで何億円もの被害を出す前に、そうしたリスクを可能な限り減らす努力を専門家の協力も得ながらしていただきたい。その手段の1つとして「フォレンジック」という道具をそろえておくことも良いだろうし、結果的に一番安価に済むことにつながるのである。