退職者のPC・スマホ・HDDなどから不正行為を調査する方法を解説|サイバーセキュリティ.com

退職者のPC・スマホ・HDDなどから不正行為を調査する方法を解説

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。



退職者が退職前に「社内不正を行っていた」「情報を持ち出している」などの疑惑が上がったときには、使用していた機器を細かく調べることが重要になります。使用していた機器(PC・スマホ・HDDなど)に含まれているデータや履歴を調査・分析を行うサービスを、「退職者調査サービス」といいます。

社内不正が起きた場合、「企業の競合力低下」や「顧客情報の漏えい」「業務停止」といった取り返しのつかない被害が発生する可能性があるため、すぐに事実調査が可能な会社に依頼する必要があります。

本記事では、退職者の不正行為を調査する方法や調査で判明すること、調査会社の選び方を紹介します。

退職者調査(フォレンジック調査)とは

犯罪調査においては、フォレンジック(データの分析による証拠の発見)が重要な役割を果たします。

フォレンジックを実施するにあたって、まずは対象者が利用していたPCやサーバ上のデータを欠けることなく確保・保存する必要があります。

しかし、退職者が犯罪に関与していた場合、証拠を隠滅するためにデータを消去したり、暗号化したりするケースもあります。そのため、利用していたPCなどの機器を早急に確保してデータを保全する必要があります。その後、データの中身を分析することが重要となります。

これには、データの復元や暗号化の解除、ログファイルの検証、メールやメッセージの復元、ストレージの調査などが含まれます。また、捜査対象者の人物像を把握するために、通信履歴の解析なども必要です。これらの作業により、より多くの情報を収集し、正確な証拠をつかむことができます

PC調査サービス(フォレンジック調査)が利用されるケースとは?

退職者PC調査サービスが利用されるケースとしては以下のようなものが多いです。

  • 機密情報の漏洩の疑いがある
  • 法的紛争や訴訟が発生した
  • コンプライアンスや規制要件の遵守確認

また、退職後ではなく、退職前からそういった不正を行っているケースもあるため、性悪説を前提とした対策をあらかじめ行うことが望ましいです。

機密情報の漏洩の疑いがある

退職者が機密情報を外部に持ち出した可能性がある場合、その証拠を収集するためにPC調査サービスが利用されます。情報のコピー履歴やファイルアクセスログ、通信履歴などを調査し、機密情報の漏洩があったかどうかを特定します。

法的紛争や訴訟が発生した

退職者との間で法的な紛争や訴訟が発生した際、退職者のPC内のデータや活動履歴を調査することで証拠を収集します。不正行為や契約違反の証拠を見つけるためにPC調査サービスが活用されます。

コンプライアンスや規制要件の遵守確認

企業はコンプライアンスや規制要件を遵守する必要があります。

この際、退職者のPCを調査することで、企業が適切なセキュリティ対策やデータ管理手順を実施しているか確認することがあります。


退職者調査(フォレンジック調査)が利用されるケースについては下記の記事でも詳しく解説しています。

退職者調査(フォレンジック調査)で判明すること

退職者調査(フォレンジック調査)では、デジタル機器に保存されているデータやログを調査し、証拠や事実を収集します。

この事実をもとに、各方面への報告や罰則通知、懲戒解雇などの対処をしていくことになります。証拠を利用する目的を明確にしておくと、必要なデータも明確になるため、調査をスムーズに進めることができます。

退職者調査で判明することは以下のようなものがあります。

  • アクセス履歴と活動(アクティビティ)
  • ファイルやデータの操作履歴
  • メールや通信履歴
  • 接続されたデバイスの調査

アクセス履歴と活動(アクティビティ)

フォレンジック調査では、退職者がアクセスしたシステムやファイル、ネットワークへの接続履歴が特定します。具体的には、ログイン情報、ファイルの閲覧や編集の記録、データベースへのアクセス履歴などが含まれます。これにより、退職者がどのような活動を行ったかを特定することが可能です。

ファイルやデータの操作履歴

フォレンジック調査では、退職者が操作したファイルやデータに関する履歴(ファイルのコピー、移動、削除、改ざんなどの操作)を解析します。

これにより、退職者が機密情報や重要なデータにアクセスし、それらを外部に持ち出したり損失したりしたかどうかを判別します。

メールや通信履歴

退職者が送受信したメールや他の通信の内容や履歴は、不正調査において欠かせません。

フォレンジック調査では、機密情報の漏洩や不正行為の証拠を見つけるために、退職者と関連する電子メールやインスタントメッセージ、社内チャットなどの通信内容を解析します。仮に削除・改善されていた場合でも高度なデータ復旧をおこなうことで、出来る限り復元した状態でデータを解析します。

接続されたデバイスの調査

退職者が使用していたコンピュータやモバイルデバイスに接続された外部のデバイス(USBメモリ、外部ハードドライブなど)の履歴や使用状況も調査できます。これにより、不正なデータの転送や外部デバイスの使用による情報漏洩の可能性を特定できる場合があります。

デジタル機器は、そもそも調査可能かどうかを自力で判断するのは難しいため、まずは無料で相談できるような調査会社に相談し、調査できるかどうか確認するようにしましょう。

フォレンジック調査を依頼するメリット

退職者の機器を調査する時にフォレンジック調査会社に依頼するメリットは、大きく3つあります。

  • 証拠保全した状態で調査可能
  • 短期間で正確な調査が可能
  • 報告用のレポートの作成が可能

証拠保全した状態で調査可能

フォレンジック調査で一番重要なメリットは、抽出したデータの「証拠保全」が可能なことです。

証拠保全とは

フォレンジック調査の際、調査対象となるデータが改ざんされていないことを証明し、法的証拠としてそのデータを確保します。この作業を証拠保全といい、所定の手続きにのっとって行う必要があります。

デジタルデータは誰でも簡単に改変・改ざんが可能であるため、法執行機関に提出する際や公的機関に不正事実を報告する際には、データの改変・改ざんが行われていないことを証明することができます。

また、デジタルデータを証拠として認めさせるには、機器自体のクローンも作成する必要があります。

クローンとは

クローンとは、「システム関係も含めたバックアップ」を指します。機器のデータをコピーするだけでなく、元データとクローンのハッシュ値や、デジタル署名などが一致するようにバックアップを取ることで、データの完全性を証明することができます。

デジタル機器の調査を専門としているフォレンジック調査会社では、この証拠保全を正確に行うことができるため、抽出したデータの信頼性や正確性を担保することが可能です。

短期間で正確な調査が可能

フォレンジック調査会社では、短期間で正確な調査が可能です。膨大なデータ量から目的のデータを抽出するために、一般的なソフトや技術では、数か月・数年かかる作業がほとんどです。しかし、フォレンジック調査会社では、約1週間から2週間ほどで調査を完了することができます。

調査する機器の台数が大規模な場合にはさらに時間がかかることもあり、期間が決まる要因は調査機器の台数・調査項目・調査目的などが挙げられます。

裁判の証拠提出期日や調査結果の公表期限が決まっている場合でも、短期間で調査することが可能ですので、インシデント発生時すぐに調査会社に相談しましょう。

報告用のレポートの作成が可能

フォレンジック調査会社では、公的機関に報告するためのレポートの作成が可能です。法律知識のある経験豊富なエンジニアが所属する会社では、裁判で重要証拠となる情報を網羅したレポートを作成することができます。

証拠保全の工程を経たクローン機器から抽出され、調査された事実が記載されており、「第三者の中立的な資料」として法廷利用可能な資料になります。

報告が必要な目的での調査依頼はフォレンジック調査会社に相談することが必須になりますので、すぐに相談するようにしましょう。

おすすめフォレンジック調査会社

フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。

そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。

▶フォレンジック調査会社の選び方はこちら

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計2.4万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。

調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。

また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス 社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、マルウェアランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、デジタル遺品、離婚問題・浮気調査 など
特長 官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査
(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年)

退職者PC調査サービス(フォレンジック調査)の流れ

通常、退職者PC調査サービスの流れは以下のようになります。

  1. 依頼者と調査会社との間で相談・ヒアリング
  2. 退職者が利用していたPCを確保
  3. データの確保・保全(必要に応じて消去済みデータを復元)
  4. 確保したデータの分析と調査
  5. 報告書を作成

1.依頼者と調査会社との間で相談・ヒアリング

まず依頼者と調査会社との間で相談・ヒアリングを行います。ここでは、調査対象の確認や調査範囲の決定など、具体的な要件を明確にします。このステップでは、調査の目的や範囲を明確にし、調査の信頼性や効果を高めます。

2. 退職者が利用していたPCを確保

退職者が利用していたPCを確保します。これは、データの消失などによって必要な情報が得られなくなることを防ぐためです。もし犯罪などのケースで、必要な情報が得られない場合、証拠がないということになりかねません。

3. データの確保・保全(必要に応じて消去済みデータを復元)

調査の対象物から、専用機器を使用して必要な情報・データを保全します。このステップで保全されたデータは、法的な証拠能力を備えたデータとして保存・保管されます。このステップが重要である理由は、調査が行われた状況を正確に把握することができるためです。

なお、データがすでに消去されている場合は、特殊な技術をもとにデータの復元を試みます。

4. 確保したデータの分析と調査

保全されたデータは、専門の調査員が適切な手法で調査・解析を行います。(この過程でパソコンのログデータや通信記録、ファイルのアクセス履歴などが分析されます)

5. 報告書を作成

ステップ5では、解析が行われた証拠データに関する報告書が作成されます。この報告書には、調査結果や証拠の詳細、今後の対応に関するアドバイスなどが報告されます。このステップでは、調査の結果を明確に体系化されるため、企業や団体が人事戦略を策定する上での参考になります。

退職者調査(フォレンジック調査)の事例

フォレンジック調査により、退職者のパソコンや電子メールのログが分析され、機密情報の持ち出しと競合他社への提供が明らかにすることができます。これにより、企業は情報漏洩の特定と予防策の強化に取り組むことができ、競争力の維持と将来的な損失の回避につながったケースは多く存在します。

ここでは、会社が退職者調査(フォレンジック調査)を実施した事例を紹介します。

  • 人材派遣会社の顧客情報漏えい事件
  • 航空会社の保安情報持ち出し事件

人材派遣会社の顧客情報漏えい事件

ある人材派遣会社では、退職した元社員Aが情報持ち出しをしている可能性が浮上した。Aは退職後に自分で人材派遣会社を設立していた。

調査した結果、約15,000人分の顧客情報を在職中に持ち出していることが発覚した。自身の人材派遣サービスで利用することが目的で、登録者の性別や時給額、派遣先企業名などの営業情報が流出した。
出典staffservice.co.jp

航空会社の保安情報持ち出し事件

ある航空会社では、退職者Aが業務上の地位を地位を利用して同社保有の保安情報を不正アクセスし、外部に持ち出した疑いが上がった。Aは調査時点で、競合の航空会社に入社していた。

退職後に返却されたパソコンをフォレンジック調査したところ、Aが会社貸与のパソコンから会社サーバーの機密情報に不正アクセスし、保安情報を私物のUSBメモリにコピーし外部に持ち出していたことが発覚した。
出典yomiuri.co.jp

おわりに

このように退職者PC調査サービスは、退職者のみならず現職にある内部の人物などに対しても同じような調査が必要になるケースもあります。

しかし、共通していることとしては、以下の3点が挙げられます。

  • 証拠が含まれると思われるデータを早急かつ確実に確保し保全すること
  • 確実に証拠を見つけ出すこと
  • そして対象者本人には気づかれずにすべてを行うこと

特定の人物から社外に流出させられたり、不正な取引をされたりした場合、莫大な損失と信頼の失墜という結果を招くケースもあります。当然ながら犯罪として扱わなければなりませんが、裁判で立証するためには明確な証拠が必要です。そのために、この「退職者PC調査サービス」は非常に重要なものです。

関連ページ一覧


SNSでもご購読できます。