ノートPC紛失事件、暗号化しなかった顧客情報へのアクセスを追う：萩原栄幸の情報セキュリティ相談室（2/2 ページ）

[萩原栄幸，ITmedia]

外観はそのまま。中身のデータは？

　この連絡にA君はとても喜び、これから警察署へ取りに行くというので、筆者もお役御免だと帰宅することにした。だが、A君は筆者を帰してくれない。顧客情報のファイルを暗号化フォルダに保存しないまま紛失したので、「このファイルがコピーされたり、見られたりしていないかチェックしてほしい」という。

　あまりに性急な相談に筆者も急いで駆け付けたので、何の道具も持ち合わせていなかった。A君には、「専門会社に依頼するのが一番の得策だ。費用はかかるが、会社で負担するだろう？」と話した。すると彼は、「実はこのことを上長にも報告していない。バレずに何とかならないか？」を切り出したのである。「それは自業自得だ。見つかっただけもマシじゃないか。これでクビになることはないよ」と答えるしかなかった。

　A君はさらに食い下がって、「分かったよ。上長に自分で報告するから、せめて情報がコピーされたかどうかだけでも、調べてくれないか」と何度もお願いする。ここまで来たこともあり、警察署まで同行することにした。

　警察署ではA君がノートPCを受け取るために身元確認や同意書への捺印などをし、筆者は受付で待っていた。その時に警察官が、「ノートPCがあなたのものかをチェックしたい。電源を入れてもいいか」とA君に尋ねた。彼は言われるがままに「はい」と答え、ノートPCの電源を入れる。デスクトップには彼が事前に届け出た状態の画面が表示され、暗号化せずそのままにしていた顧客情報のファイルもあった。

　A君からこのやりとりを聞いた瞬間、筆者は彼を叱った。その理由は、彼がノートPCの電源を入れてしまったからだ。ノートPCが紛失に遭った当時のままであるかを詳しく調べる（フォレンジック調査）には、電源を入れずに、PCの内部データをそのまま別のコンピュータにコピーして解析しなくてはならない。電源を入れてしまうと、その時点でデータが書き換えられてしまうからだ（ファイルへの最終アクセス時間などの記録が何百も更新される）。これからフォレンジック調査をするという前提なら、ノートPCの電源を絶対に入れてはいけない。

　しかし叱ったところで、既に電源が入れられているので問題解決にはならない。筆者は気を取り直してA君に「調査するか？」と聞いたが、A君は「そんなことは初めて知った。会社でその知識や規則を決めないといけないなあ……」という。まず事実を整理して、次の事実を確認した。

1. 警察署の担当者はA君の同意を得るまでノートPCの電源を入れてはいない
2. ノートPCの発見者は公園近く交番ではなく、やや離れた交番に持参した
3. 発見者はその姿から駅や公園や駅前のデパートによくいる浮浪者であると思われる

　筆者はノートPCの発見者がよくいるという場所に向かった。警察署で聞くと、発見者は警察官に「ノートPCを拾ったお礼がほしい」と頼み込んだそうだ。そこで、「ノートPCを拾ったお礼をしたい」とそれらしき人に尋ねると、10分もしないでその発見者が現れた。彼に1万円を謝礼として渡し、色々と聞いてみた。その結果はこうである。なおカッコ内は、この発見者の本心を犯罪心理学的に分析したものである。

• 公園に落ちていたんだ（どうやら寝ている。このまま持ち去っていけそうだ）
• これを売れば多少のお金になると思った。駅前で数人に声をかけたけど、誰も相手にしてくれなかったよ（本音）
• そこで駅の近くの交番に届けた。でも、住所不定で連絡しようが無いというから、お礼だけでもほしいとお願いしたんだ（これも本音）

　さらに筆者は「PCの内容を見ましたか？」と聞いた。すると発見者の彼は「PCなんてどうやって動かしていいかも分からないよ」という。最後に「交番にはいつ届けましたか」と聞くと、「日曜日のお昼ごろ」と答えた。これは警察署で聞いた時間と一致した。これで状況確認をほぼ終えたので、ノートPCの電源を入れてみたのである。

　筆者は、まずデスクトップにある暗号化されていない顧客情報のファイルを幾つか調べた。それらのファイル情報を見ると、通常は「最終更新日時」との表示がある。このタイミングで最終更新日時を調べても意味は無いので、次に「最終アクセス日時」を調べた。この程度ならフォレンジック調査せずとも簡単に分かる。

　その手順は、コマンドプロンプト画面から「dir [ファイル情報]/t:a（例えば、dir d:\test\yamada.doc /t:a）」と入力する。これでDドライブのtestフォルダの中にある「yamada.doc」というワードファイルの「最終アクセス日時」が表示される。

　その結果、警察署ではノートPCの電源を入れただけで、ファイルの内容を閲覧していないことが確認された。暗号化せずそのままにしていた全ての顧客情報のファイルを調べたが、A君が最後に作業した時間と一致していた。「これで完璧とは言えないが、状況的には安心していい」とA君に話した。

　その後、A君は事の顛末を報告したそうだ。彼はこの手のミスでは最も軽い処分になった。この金融機関ではA君の事案をきっかけに、情報漏えい防止策を再考し、ファイルの暗号化ではなくHDD全体の暗号化を実装することにした。これで営業担当職員が意識しなくても自動的に暗号化できる仕組みになったのである。

　なお、フォレンジック調査のためにA君が警察署で取った行動（電源を入れてしまう）をしないように規則化すべきかも検討された。「なぜいけないのか」と「どう対処すべきか」について職員への指導を重ね、1年後にようやく決まったという。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。