退職者にパソコンを初期化された!削除されたデータは復元できる? – デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

データ復旧 データ復旧の技術 デジタルフォレンジック セキュリティ対策 ITお役立ち情報 ITの最新技術 ハードディスク(HDD) SSD パソコン(PC)

退職者にパソコンを初期化された!削除されたデータは復元できる?

投稿日:2021年11月1日 更新日:

不正行為をおこなった退職者は、証拠隠滅を図るために退職前にパソコンを初期化することがほとんどです。

初期化することでパソコン内のデータはきれいに消去され、通常の調査では証拠が見つかることはありません。

しかし、初期化されてもデータを復元できるのがデジタルフォレンジックです。

この記事では、退職者が初期化したパソコンをデジタルフォレンジックで復旧する方法について解説します。

 

退職者がパソコンを初期化するとき

パソコンの初期化は、特別な事情があるときにおこなうものです。

たとえば、使用中のパソコンを中古で売りに出したいときに初期化をします。
データが入ったままだと購入した人が使いにくいですし、個人情報が残っていれば悪用されるおそれもあるからです。

あとは、ハードディスクの空き容量がなくなって仮想メモリが使えなくなり、パソコンの動作が極端に遅くなってどうしようもなくなったときぐらいでしょうか。

原因不明のトラブルが発生したときに打開策として初期化をすることもありますが、いずれにせよ限られた場合のみです。
多くのユーザーが購入後1回も初期化をすることなく、次のパソコンへと買い換えていきます。

初期化が必要な状況でもないのに、退職者が初期化をおこなうとしたら「パソコンのデータを消去するため」と考えるのが妥当です。
なぜなら、初期化にはデータ消去以外の用途が特にないからです。

では、なぜデータを消去するのでしょうか。

退職者の次にパソコンを使う人が使いやすいようにと配慮したのだとも考えられます。

しかし、不要なデータの削除は次にそのパソコンを使う人がやるか、ほかの社員に任せれば済むことです。

むしろ、仕事の引き継ぎをするうえでは、資料やデータがパソコンに残っていたほうがやりやすい場合もあります。初期化すればパソコンが使いやすくなるとは必ずしも言えません。

それなのに退職者が初期化にこだわる理由はただひとつ「不正行為の証拠を消したいから」です。

 

初期化されてもデジタルフォレンジックで解析可能

パソコンの初期化をおこなうと、OSや各種アプリケーションの設定がすべて消え、ブラウザの履歴やメールデータなどもまっさらな状態になります。

ただし、それはパソコンの画面上だけの話であって、実際にデータが記録されているハードディスク内部では状態が異なります。

わかりやすく説明すると、あるデータが削除されたとしても、そのデータを格納している部分を「読み込まない」ようにしているだけです。
ハードディスクにはそのままデータの痕跡が残り続けます。
そのため、復元ツールやデジタルフォレンジックの技術によって簡単に復旧させることが可能です。

ただし、ハードディスク上で「読み込まない」とされた箇所は、いずれ新たなデータによって上書きされます。

データが削除されてからパソコンを使用し続けると、痕跡のあった場所へ次々と上書きデータが記録されていくため、復元が難しくなります。

デジタルフォレンジックはさまざまな解析技術を駆使しておこなうので、ある程度時間が経っても復元に成功する可能性は高いですが、やはり上書きがされていない状態が望ましいです。
上書きだらけになってしまうと、デジタルフォレンジックでも痕跡を調査するのが難しくなり、復元率が低くなってしまいます。

退職者が初期化をおこなったのを確認した時点で、すぐにパソコンの使用をやめさせるのが得策です。

退職者にアンチフォレンジックをさせない!

不正行為をおこなった退職者がパソコンに詳しい場合は、初期化からさらに一歩進んだ「アンチフォレンジック」を施すリスクがあります。

アンチフォレンジックとは、デジタルフォレンジックによる調査を妨害するための操作をすることです。

前述したように、削除したデータの痕跡がある保存領域へ新しいデータを記録させれば復元が難しくなります。デジタルフォレンジックの失敗確率を上げるために、意図的な上書き行為を繰り返すのがアンチフォレンジックの基本的な手法です。

一般には手に入りませんが、痕跡を狙い撃ちして上書きする「アンチフォレンジックツール」そのものも存在しています。
市販の完全削除ツールも復元されないようにするためのツールです。アンチフォレンジックに悪用する可能性もあるでしょう。

もし退職者が不自然なパソコン操作や見慣れないツールの操作をしていたら、アンチフォレンジックをおこなっているかもしれません。
パソコンの初期化だけでなく、これらの不審な行動にも注意しましょう。

デジタルフォレンジックなら初期化されても削除データを復元できる!

退職者が初期化をおこなったときは要注意です。

特別な状況でなければ初期化をする理由がなく、データ削除が目的であると推測されるからです。

初期化によって表面的には不正行為の証拠隠滅ができますが、ハードディスク上には痕跡が残ったままであるため、復元ツールやデジタルフォレンジックで復元可能です。

問題は初期化後も使用を継続した場合で、痕跡がある保存領域に上書きが起こると解析が難しくなります。
退職者に意図的に削除と上書きを繰り返す行為が見受けられたら、パソコンの使用をやめさせて早急に調査をするべきです。

デジタルフォレンジックによるデータ復元をする際は「デジタルフォレンジック24」に問い合わせてみてください。


 

選ぶなら安心信頼の技術

一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。

デジタルフォレンジック24は

特急データ復旧ウィンゲットが運営しています

データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
特急データ復旧ウィンゲット公式サイトはコチラ

 

オフィスは主要都市に6拠点
全国に受付窓口が185箇所あり

弊社は北海道(札幌)、東京都(秋葉原)、神奈川県(横浜)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に6店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。

店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。

店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。

札幌市中央区南1条西10-4-167
小六第一ビル 6F
直通TEL:011-272-0600


大きな地図で見る

東京都千代田区神田須田町2-7-3
VORT秋葉原ビル5F
直通TEL:03-6206-0970


大きな地図で見る

横浜市中区扇町1-1-25
キンガビル4F
直通TEL:050-2018-0428


大きな地図で見る

名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561


大きな地図で見る

大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423


大きな地図で見る

福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705


大きな地図で見る

全国の受付窓口


 



-データ復旧, データ復旧の技術, デジタルフォレンジック, セキュリティ対策, ITお役立ち情報, ITの最新技術, ハードディスク(HDD), SSD, パソコン(PC)
-, , , , , , , , , ,

執筆者:

関連記事

退職者に消去(初期化)されたデータの調査・復元は可能?

退職者に消去(初期化)されたデータの調査・復元は可能? Contents1 退職者に在職中に使用していたPCを初期化(データ消去)…

続きを読む

閲覧履歴や起動ログから不正調査が可能なデジタルフォレンジック

Contents1 閲覧履歴や起動ログから不正調査が可能なデジタルフォレンジック2 デジタルフォレンジック調査実例「インターネット…

続きを読む

企業にとって恐ろしい退職者の不正実例! 

Contents1 退職者の不正行為とは1.1 実際に起きた退職者の不正実例1.2 退職者は明らかに情報を隠蔽しようとしていた1….

続きを読む

残業代の不当請求や残業時間改ざんの疑い!パソコンを調査するには?

正当な残業にはきちんと残業代が支払われるべきです。 しかし、そうではないケースも存在します。 正規の就業時間中にわざと仕事を完了さ…

続きを読む

Windowsのログ情報でわかることはどんなこと?

  Contents1 Windows上で操作した記録はどうなっているのか1.1 Windowsのログ確認及び保存方法2…

続きを読む