人事担当者が知っておきたい
最先端技術デジタルフォレンジックとは
 |
佐々木 隆仁 ささき たかまさ AOSリーガルテック株式会社 代表取締役社長 1989年早稲田大学理工学部卒、大手企業でOSの開発に従事し、1995年に独立。2000年よりデータ復旧ソフト「ファイナルデータ」を発売し、2001年に日経優秀製品・サービス賞受賞。同年データ復旧サービス「Data119.jp」を開始する。2002年米国支社を設立し、2003年よりデジタルフォレンジック事業に注力。2010年より毎年、BCN AWARDシステムメンテナンス部門最優秀賞6年連続受賞。2012年にAOSリーガルテックを設立。著書『デジタルデータは消えない』(幻冬舎)など。 |
元役員による顧客情報漏洩事件の顛末
「デジタルフォレンジック(Digital Forensics)」とは、不正アクセスや機密情報の漏洩(ろうえい)など電子データにまつわる犯罪や法的紛争が生じた際、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段です。退職者による情報持ち出しや、メールによるセクハラなどの労務トラブルが散見される今日、こうした情報技術は企業の人事担当者にとっても縁遠いものではなくなりつつあります。今回はそうした最新事情の一端をご紹介したいと思います。
私たちの暮らしは、PCや携帯電話、スマートフォン、タブレット端末といったデジタルデバイスに囲まれ、幸か不幸か、かつてはハッキング技術がなければできなかったことも、たやすく行うことが可能となりました。「外部に持ち出しやすく、流出させやすい」というデジタルデータの特性を利用すれば、機密情報のファイルをメールに添付したり、USBメモリへコピーしたりするだけで、「いつでも」「簡単に」情報をリークすることができます。
弊社が扱った事例をご紹介しましょう。元役員による顧客漏洩事件です。これは、A社を退職した役員Yが、退職前に顧客情報を持ち出し、退職後にA社の顧客を次々と奪い、その結果、A社の売り上げが大幅に減少してしまったという事件です。
A社は、Yが使用したパソコンを調べ、顧客情報を持ち出した痕跡を探したのですが、データは既に削除されていました。そこでA社は、弊社にデジタルフォレンジック調査を依頼しました。調査員が復元したデータからは、会社からYの個人のアドレスに顧客情報が転送されていたことが分かり、A社はYを提訴。デジタルフォレンジック調査によって検出されたデータが決定的な証拠となり、A社は勝訴したのです。
フォレンジックの調査手順とは?
デジタルフォレンジックは、証拠保全、解析、報告という三つの手順で構成されています。最初に行うのが、調査の対象となるハードディスクやスマホなどの保全。ハードディスクやスマホのデータが改ざんされていないことを証明できる専用の機械でデータの複製を行い、複製されたデータを対象に解析を行います。証拠データの保全は、調査を行うときに必ず最初に行わなければいけない手順です。デジタルデータは変質しやすく、改変が容易です。つまり、保全を行わないとデータがオリジナルのものなのか、改変されたものなのかが不明瞭になってしまいます。その結果、法的な信頼性が低く、証拠として採用されなくなってしまうケースもあります。
次に保全が終了すると、証拠となり得る情報を抽出・解析する作業に取りかかります。このとき重要なのが、削除されたデータの復元です。一口に復元と言っても、大きく分けて「浅い復元」と「深い復元」があります。前者は、削除ファイルの復元で終わってしまうもので、技術的には、"Undelete"と呼ばれるもので、意外と簡単にできてしまいます。弊社が行っているのは後者。さらに深いレベルでの復元を実施しています。
まず、データ修復のために復元すべきファイルを探し出します。それら回収ファイルには、Word書類を示す「.doc」、 Excel書類を示す「.xls」、画像ファイルを示す「.jpg」などといった拡張子を持ったファイルが持つ特徴的なヘッダ情報が含まれています。そのデータを丁寧に解析し、証拠となるデータをじっくり探っていくやり方です。同じハードディスクやスマホを対象にしたとしても、専門家として高度なスキルを持っているかどうかで証拠の出方は違ってくるのです。
削除されたデータこそ重要な証拠
弊社が使用しているパソコン用のフォレンジックツールは、「ファイナルフォレンジック」です。このソフトは、前述の「元役員による顧客情報漏洩事件」においても大いにその機能を発揮してくれました。データ復元はもちろん、データベースの復元、保全機能、偽装されたファイルの検出、ウェブ閲覧履歴の復元、分析レポート機能など、デジタルフォレンジックに必要な機能が一通り組み込まれているのが特徴です。「ファイナルフォレンジック」は、検察庁の標準的な調査ツールとして採用されています。例えば、復元されたファイルを日付別・時間別・拡張子別に分類したり、場合によっては過去数年分のウェブ閲覧の履歴を復元することも可能です。
例えば、労務訴訟で係争中の案件で、争っている従業員のパソコンのウェブ閲覧履歴を復元できれば、その従業員が就業時間中にどういうサイトを閲覧しているかという重要証拠の検出ができます。その中に業務規定に抵触するサイトへのアクセスなどの証拠が出てきて、一気に和解に進むというパターンが増えてきました。その一方、社内で独自にパソコンやスマホを調査し、「証拠が見つからない」とあきらめるケースも多いように見受けられます。デジタル証拠を検出できるかどうかは、企業や各種組織にとって運命の分かれ道です。専門家によるデジタルフォレンジック調査をお勧めするゆえんです。
メールの内容が調査の行方を左右する
セクハラ調査のためにデジタルフォレンジックが使われたケースを紹介します。オーナー店長Xが従業員Yに対し、わいせつメールを送ったという事例です。Yは、セクハラめいたメールを何十通も送られていたと主張しました。しかしXのスマホからもYのスマホからもメールは既に削除されていました。削除の理由は、前者にとっては、不都合なものだったから、後者にとっては不愉快なものだったからでしょう。そこで弊社がメールの復元作業を実施し、証拠となるメールを復元しました。
LINEの普及で大きく変わったスマホの証拠価値
最近は、LINEなどのチャットツールが急速に普及し、高い頻度で使われるようになり、スマホの証拠性が飛躍的に高まっています。以前は、携帯電話のフォレンジック調査をして、何千件という通話履歴を復元することができても、何時何分に誰と何分電話をしたというデータしか検出できませんでした。それでも、丁寧に分析を行うと、その人が誰とどういう付き合いをしているかを解析することができました。ところが、最近は、チャットツールが普及し、どういうやり取りをしたかという内容をテキストデータで抽出することができるようになりました。これにより、スマホの証拠性は、飛躍的に高まっています。
ただ、従業員の調査を行う場合、スマホが本人の所有物の場合は、任意提出に応じてもらう必要があるので、かなり、大変です。そういう場合は、弁護士に同席してもらって、自分の無実を立証するためにも提出が必要だと説得するか、最初から就業規則に、不正調査を行う際は、個人のスマホやパソコンの任意提出に応じるなどといった文面を入れておいて、本人にサインをしてもらうなどといった事前対策が有効となります。