企業でのウイルス感染や不正アクセス、機密情報や個人情報の漏洩、横領・品質不正などの社内不正などが疑われるときには、「フォレンジック調査」と呼ばれる鑑識調査が必要になります
フォレンジック調査とは、社内不正や情報漏洩などのインシデントが発生した際に行う調査のことをいいます。2006年、「ライブドア事件」の調査に使われたことで、フォレンジック調査、中でもデジタルフォレンジックの知名度は一気に上がりました。他にも、世間を騒がすような不祥事案件の「第三者委員会」でもデジタルフォレンジックが実施されています。デジタルフォレンジックは、コンピューター犯罪やデータの改ざんなど、デジタル的な手法を駆使した犯罪の解明に欠かせないものとなっており、事件に関係するデジタルデバイスから取得した情報を徹底的に解析し、真相解明に導く役割を果たしています。
フォレンジック調査が必要になるのはどのようなケースでしょうか。企業でフォレンジック調査が活用される例を具体的にご紹介します。
従業員が退職時などに企業の機密情報を持ち出したり、個人情報を抜き取ったりすることによる情報漏洩。該当従業員のパソコンなどから不正なやり取り・コピーや持ち出しの履歴を調査することで、証拠を特定します。
意図的な品質不正のためのデータ改ざん、横領やキックバック、不正経理など、社内での不正が疑われるとき、従業員は証拠隠滅をする傾向にあります。本人に察知されることなく、疑わしい社員のメール履歴を抽出するなど慎重に調査。共犯者がいる場合も想定して調べます。
入札に関わる談合、購買不正など、企業間の不正・不祥事にも、フォレンジック調査が活用されます。不正の証拠をつかむため、削除されたデータの復元や分析を実施。可能性が高いケースを予測して平時からAIによる監査を行えば、不正行為を未然に防ぐ効果もあります。
電子データは、Eメール、テキストファイル、各種社内文書、メッセージのチャット、表計算ソフト、画像データ、Webサイトの内容など、提出を合意したすべてのデータが対象となります。提出対象となるデータが改ざん、破棄されないように保全。そのなかから必要と思われるデータを収集して、合意した形式に変換。提出に合意した文章を見つけ出すレビューと分析が必要になります。
残業代の不当請求や職務怠慢などの労務関係のインシデント調査にも、フォレンジック調査が有効です。従業員のパソコンのログやEメール、チャットの履歴などから勤務の実態を調査。ハラスメントに関するやりとりの有無も同様に証拠を確認します。
ハッキングやマルウェア感染の被害に気付いたときは、情報漏えいなどの被害状況、ウイルス感染や不正アクセスがあったかどうか、それがどのような経路であったかなどを調査する必要があります。個人情報を取り扱う企業なら、事実関係を早急に把握し、個人データの漏洩が認められた場合には、法令で所定の報告が義務付けられています。
日本におけるデジタルフォレンジック黎明期よりフォレンジック調査を行ってきた「FRONTEO」。2003年の創業以来、日本における不正調査のパイオニアとして、さまざまな課題と向き合ってきました。圧倒的な件数から得た知見を活かし、あらゆるインシデントに対して効果的でコストパフォーマンスの高い調査を提案します。
独自開発のAIエンジンなどの最新技術を駆使しながら、自社開発ソフトウェアも活用。データの特定、保全・処理・レビュー・提出データ作成にいたるまでワンストップで行える高い技術力でアプローチします。長年培ってきたノウハウが幅広い企業や問題への対応力となっています。手掛けた国際訴訟や不正調査は10,900件以上。情報漏えい、データ改ざん、横領・キックバック、談合、購買不正、労務問題、怪文書作成元特定、ハラスメント問題、セキュリティ事案、捜査機関向け委託(鑑定)調査支援など、さまざまなタイプの案件調査が相談可能です。
FRONTEOのフォレンジック調査サービスは、 「ヒアリング」「データ保全」「調査」「レビュー」「報告」の5つのステップで行います。全てのステップにおいて、スピーディかつ高品質なサービスをご提供します。
20年以上に及ぶフォレンジック調査実績の中から一部をご紹介します。
元従業員が競合企業へ転職後、自社製品に類似した製品が無断で製造・販売されていることが発覚。社内調査では退職直前の大量コピーの痕跡は確認されたものの、データ量が膨大で不正行為の特定には至らず、FRONTEOが調査を実施。証拠性を担保したログ保全と独自データベースによる解析により、USBへの約30万件のデータコピーや、その後の削除・上書き行為(約120時間)を特定し、不正な情報持ち出しの実態解明に貢献しました。
詳しく見る>>企業PCがマルウェアに感染し、個人情報漏洩の可能性が発覚。感染源が不明のため数百台規模の端末が調査対象となり、FRONTEOが調査を実施。解析ツールを用いて攻撃ルートを可視化し、被害端末および感染経路を特定。さらにダークウェブ上の複数の闇市場を調査した結果、実際に情報が流出していた事実まで確認し、被害の全容解明に貢献しました。
詳しく見る>>「近日退職する社員が秘密情報を外部に持ち出している」という内部告発情報があり、調査の必要性が生じた案件。社用PCから業務範囲外の営業秘密情報の保有などが発覚したため、弁護士が本人に対してヒアリングを実施。事実を認めたため、関連情報の完全削除をFRONTEOが対応。情報漏洩の未然防止につながりました。
A社の従業員の素行が派手である旨の指摘が取引先のB社から入り、社内調査した結果、請求額と支払い額に齟齬があることが発覚。FRONTEOは自社開発のドキュメントレビューツールでA社内のメールを調査し、キックバックを行っている事実と共犯者2名を確認。顧問弁護士らによって聴取が行われ、関係者が刑事告訴されました。
「C社を名乗る不審なメールが届いている」と取引先から連絡を受け、C社で社内調査を行ったところ業務管理システム専用の端末からウイルスが検出。個人情報漏洩の有無を確認する必要性が生じ、FRONTEOの調査によってメールデータから複数のウイルスを確認しました。C社では不審メールに対する注意と謝罪、経緯と被害範囲についての説明を関係者に対して実施し、FRONTEOのトレーニングによる再発防止対策も行いました。
フォレンジック調査に関する質問にお答えします
Q.
A.
対象者のデバイスをネットワークから切断し、そのままの状態で保全することが最優先の対応となります
Q.
A.
会社貸与の端末であり、就業規則や社内規程に「調査を行う可能性がある」等が明記されていれば一般的に適法となります。ただし、私的な領域への過度な介入などプライバシー権の侵害には配慮が必要となります
Q.
A.
「法的証拠としての能力(証拠保全性)」を担保できるかどうかが最大の違いと考えられます。データが改ざんされていないことを証明する厳格な手続き(ハッシュ値の取得など)を経て調査を行います
Q.
A.
情報漏えい、横領などの不正調査、ランサムウェア等のマルウェア感染、労務問題(ハラスメントや残業代請求)、データの改ざん・破壊など、事実関係の証明が必要なインシデントでご依頼をいただくケースが多いです
Q.
A.
一般的に可能です。ファイルのメタデータ(作成日時や位置情報など)の抽出や、削除された画像・動画の復元・解析が行われます
Q.
A.
状況によりますが、簡易な初期化であればデータの抽出や復元が可能な場合もあります。一方で暗号化された状態での初期化や、完全消去(ゼロ書き込みなど)が行われている場合は極めて困難です
Q.
A.
100%見つかるとは断言できません。しかしUSBの接続履歴、ファイルへのアクセス履歴、クラウドストレージへのアップロード痕跡などを複合的に解析することで、持ち出しの事実を強く推定できるケースは多いです
Q.
A.
私物端末の場合、本人の明確な同意が必須となります。同意が得られた範囲内(特定のアプリやフォルダのみ等)でのみ調査が可能です
Q.
A.
適切なフォレンジック手順(データの完全性を保つ証拠保全手順)を踏んで抽出・解析された結果であれば、客観的な証拠として裁判や懲戒処分の根拠に使用可能です
Q.
A.
基本的に可能です。クラウドサービス上のアクセスログの取得や、クラウドストレージ上のデータの保全・解析などを行います
Q.
A.
調査対象のデバイス数、データ容量、調査の深さ(難易度)、緊急度合いによって異なりますが、一般的に数十万円〜数百万円規模になることが多いです
Q.
A.
データの保全に数時間〜数日、その後の詳細なデータ抽出・解析・報告書の作成までに数週間〜1ヶ月程度かかるのが一般的です
Q.
A.
退職者が使用していたPCやアカウントが残存しており、アクセスログなどのデータが上書きされていなければ調査可能です
Q.
A.
被害端末をネットワークから物理的に遮断して証拠保全を行ったうえで、感染経路および日時、被害範囲(漏えいしたデータがないか等)の特定を進めます
Q.
A.
管理者権限を用いて取得可能な監査ログやメッセージ履歴のアーカイブデータを抽出し、解析することが可能です
Q.
A.
電源を入れたりファイルを開いたりするだけでシステムのシステムログやファイルのタイムスタンプが更新されてしまい、証拠能力が失われる恐れがあるため、むやみに電源を入れたりすることは避けた方が良いでしょう
Q.
A.
ファイルの作成・更新・アクセス日時の矛盾点、変更履歴の解析、削除ログなどを調査することによって判定可能なケースがあります
