退職者にパソコンを初期化された!削除されたデータは復元できる? – デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

データ復旧 データ復旧の技術 デジタルフォレンジック セキュリティ対策 ITお役立ち情報 ITの最新技術 ハードディスク(HDD) SSD パソコン(PC)

退職者にパソコンを初期化された!削除されたデータは復元できる?

投稿日:

不正行為をおこなった退職者は、証拠隠滅を図るために退職前にパソコンを初期化することがほとんどです。

初期化することでパソコン内のデータはきれいに消去され、通常の調査では証拠が見つかることはありません。

しかし、初期化されてもデータを復元できるのがデジタルフォレンジックです。

この記事では、退職者が初期化したパソコンをデジタルフォレンジックで復旧する方法について解説します。

 

退職者がパソコンを初期化するとき

パソコンの初期化は、特別な事情があるときにおこなうものです。

たとえば、使用中のパソコンを中古で売りに出したいときに初期化をします。
データが入ったままだと購入した人が使いにくいですし、個人情報が残っていれば悪用されるおそれもあるからです。

あとは、ハードディスクの空き容量がなくなって仮想メモリが使えなくなり、パソコンの動作が極端に遅くなってどうしようもなくなったときぐらいでしょうか。

原因不明のトラブルが発生したときに打開策として初期化をすることもありますが、いずれにせよ限られた場合のみです。
多くのユーザーが購入後1回も初期化をすることなく、次のパソコンへと買い換えていきます。

初期化が必要な状況でもないのに、退職者が初期化をおこなうとしたら「パソコンのデータを消去するため」と考えるのが妥当です。
なぜなら、初期化にはデータ消去以外の用途が特にないからです。

では、なぜデータを消去するのでしょうか。

退職者の次にパソコンを使う人が使いやすいようにと配慮したのだとも考えられます。

しかし、不要なデータの削除は次にそのパソコンを使う人がやるか、ほかの社員に任せれば済むことです。

むしろ、仕事の引き継ぎをするうえでは、資料やデータがパソコンに残っていたほうがやりやすい場合もあります。初期化すればパソコンが使いやすくなるとは必ずしも言えません。

それなのに退職者が初期化にこだわる理由はただひとつ「不正行為の証拠を消したいから」です。

 

初期化されてもデジタルフォレンジックで解析可能

パソコンの初期化をおこなうと、OSや各種アプリケーションの設定がすべて消え、ブラウザの履歴やメールデータなどもまっさらな状態になります。

ただし、それはパソコンの画面上だけの話であって、実際にデータが記録されているハードディスク内部では状態が異なります。

わかりやすく説明すると、あるデータが削除されたとしても、そのデータを格納している部分を「読み込まない」ようにしているだけです。
ハードディスクにはそのままデータの痕跡が残り続けます。
そのため、復元ツールやデジタルフォレンジックの技術によって簡単に復旧させることが可能です。

ただし、ハードディスク上で「読み込まない」とされた箇所は、いずれ新たなデータによって上書きされます。

データが削除されてからパソコンを使用し続けると、痕跡のあった場所へ次々と上書きデータが記録されていくため、復元が難しくなります。

デジタルフォレンジックはさまざまな解析技術を駆使しておこなうので、ある程度時間が経っても復元に成功する可能性は高いですが、やはり上書きがされていない状態が望ましいです。
上書きだらけになってしまうと、デジタルフォレンジックでも痕跡を調査するのが難しくなり、復元率が低くなってしまいます。

退職者が初期化をおこなったのを確認した時点で、すぐにパソコンの使用をやめさせるのが得策です。

退職者にアンチフォレンジックをさせない!

不正行為をおこなった退職者がパソコンに詳しい場合は、初期化からさらに一歩進んだ「アンチフォレンジック」を施すリスクがあります。

アンチフォレンジックとは、デジタルフォレンジックによる調査を妨害するための操作をすることです。

前述したように、削除したデータの痕跡がある保存領域へ新しいデータを記録させれば復元が難しくなります。デジタルフォレンジックの失敗確率を上げるために、意図的な上書き行為を繰り返すのがアンチフォレンジックの基本的な手法です。

一般には手に入りませんが、痕跡を狙い撃ちして上書きする「アンチフォレンジックツール」そのものも存在しています。
市販の完全削除ツールも復元されないようにするためのツールです。アンチフォレンジックに悪用する可能性もあるでしょう。

もし退職者が不自然なパソコン操作や見慣れないツールの操作をしていたら、アンチフォレンジックをおこなっているかもしれません。
パソコンの初期化だけでなく、これらの不審な行動にも注意しましょう。

デジタルフォレンジックなら初期化されても削除データを復元できる!

退職者が初期化をおこなったときは要注意です。

特別な状況でなければ初期化をする理由がなく、データ削除が目的であると推測されるからです。

初期化によって表面的には不正行為の証拠隠滅ができますが、ハードディスク上には痕跡が残ったままであるため、復元ツールやデジタルフォレンジックで復元可能です。

問題は初期化後も使用を継続した場合で、痕跡がある保存領域に上書きが起こると解析が難しくなります。
退職者に意図的に削除と上書きを繰り返す行為が見受けられたら、パソコンの使用をやめさせて早急に調査をするべきです。

デジタルフォレンジックによるデータ復元をする際は「デジタルフォレンジック24」に問い合わせてみてください。



-データ復旧, データ復旧の技術, デジタルフォレンジック, セキュリティ対策, ITお役立ち情報, ITの最新技術, ハードディスク(HDD), SSD, パソコン(PC)
-, , , , , , , , , ,

執筆者:

関連記事

【実録・建設業様への暗号化サーバ データ復旧】 IT管理者必見!暗号化の落とし穴!!

Contents1 建設業の法人様に起きた悲劇とは?1.1 そもそも暗号化とは?1.2 データにアクセスできなくなった建設会社様の…

続きを読む

過去のインターネットの閲覧履歴、アプリケーションの起動履歴は調査可能?

Contents1 データから見える真実2 デジタルフォレンジック調査実例「インターネット閲覧履歴編」2.1 消されたインターネッ…

続きを読む

デジタルフォレンジックはどんなことするの?技術内容を伝えます!

 「デジタルフォレンジック」という言葉の意味はわかっていても、実際にどんなことを行うのかというイメージはなかなか沸きにく…

続きを読む

パスワード管理はもう古い!?最新の認証手段とパスワード解析サービス

Contents1 パスワードに頼るセキュリティ対策は限界!?2 認証の種類について2.1 知識認証2.2 所有物認証2.3 生体…

続きを読む

デジタルフォレンジックとは

Contents1 デジタルフォレンジックの意味2 デジタルフォレンジックの意味3 デジタルフォレンジックが必要になるケース4 デ…

続きを読む