退職者が初期化したPC、本当に大丈夫ですか?【実際にあった事例の紹介】 – デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

 デジタル フォレンジック | forensic24 セキュリティ 証拠データ 不正アクセス 情報漏えい対策

データ復旧の技術 デジタルフォレンジック セキュリティ対策 ITお役立ち情報 ITの最新技術 パソコン(PC) サーフェス(Surface) データ保全 実績 データ復旧

退職者が初期化したPC、本当に大丈夫ですか?【実際にあった事例の紹介】

投稿日:2020年10月16日 更新日:

法人様(建設業)の調査依頼

社員が個人の都合で依願退職することになった。
現場に出ることが多く、現場で使用できるよう一人一人にノートパソコンを貸与していたため、退職時にその社員が使用していたノートパソコンを返却させた。
返ってきたノートパソコンを確認したところ、既に初期化されている状態だった。
「なぜ初期化したのか?」と尋ねたところ、「次の使用者が使いやすいように初期化しておきました」と回答があった。
その時は特に何も違和感を感じず、その後入社した別の社員に貸与していたが、その2年後、その退職者が不正(顧客情報の持ち出し)を行っていた疑いが浮上した。
取引先の証言等からほぼ間違い無いが、物的証拠が無い。初期化されて返却されたノートパソコン内に証拠が存在する可能性があるため調べてほしい。

上記内容で、お問い合わせをいただきました。

デジタルフォレンジック調査のご依頼

当社 株式会社リプラスのデジタルフォレンジック24メルジックにご依頼いただき、対象のノートパソコンから以下の項目を復元・調査を試みました。

・初期化により消えたメール
・外部機器の接続履歴(USBメモリや外付けHDD等で持ち出した可能性)
・インターネット閲覧履歴(オンラインストレージやWEBメールで外部に転送した可能性)
・ソフトウェア実行履歴(LINEやSkype等のアプリケーションから外部に転送した可能性)

復元・調査結果

上記項目の復元を試みましたが、退職者が使用していた時期の情報は一切復元することができませんでした。

原因として、データの痕跡の上書きをする行為がされたと考えられます。

通常、一般的な方法による初期化やデータの削除というのは、表面上消えているように見えるだけでデータの痕跡は残るようになっています。
しかしパソコン側としては新しいデータを書き込む際、その痕跡を考慮せず白紙として扱ってしまうため、容赦無く上から新しいデータを書き込んでしまいます。

該当者が対象のノートパソコンを初期化してからの2年間、次に貸与された社員の方は毎日使用しており、非常に使用頻度が多いとのことでした。
そのため、退職者が使用していた頃のデータは全て新しいデータに上書きされてしまった可能性が高いです。

逆に言えば、初期化直後なら復元・解析ができた可能性が非常に高かったと思われます。

では、どうすればこのような事態にならずに済んだでしょうか。

復元できない状態を防ぐための予防策

貸与PCに関する社内規定を設けておく

そもそも貸与PCで不正を行わせないための予防策です。

「貸与PCのデータを許可なく消去してはいけない」「許可なくアプリケーションをインストールしてはいけない」「現場作業に必要なデータと顧客情報等の個人情報は分類し、前者のデータのみ貸与PCに保存して良い」等、使用の規制をかけておくというのは有効な手段です。

パソコン一つあれば不正行為や犯罪行為まであらゆることが出来てしまうご時世ですので、限られた手段でのみ使用を許可した方が良いかもしれません。

次の使用者への貸与まで一定期間、時間を置く

今回、退職者からPCが返ってきてから1週間後には現在の使用者の方へ貸与したとのことでした。
不正行為の疑い以外にも退職者が使用していた頃のデータが必要になる可能性も十分考えられるため、万が一に備え、一定期間次の貸与まで時間を置くことをお勧めします。

システムの復元ポイントを設定しておく

Windowsにはシステムの異常の発生によりOSが起動しなくなってしまうようなケースに備え、「システムの復元」という機能が存在します。
システムの復元ポイントというものを予め設定しておくことで、OSの状態を復元ポイントを作成した時の状態に戻すことが出来ます。
あくまで「データ」ではなく「システム」の保全のため、復元した際にデータは不完全になってしまう可能性はありますが、ある程度の情報や履歴の保全に繋がります
ただし、システムの復元はそのPC自体の「設定」から無効にすることが出来てしまうためご注意ください。

退職が決まった時点でデータを保全する

社員の退職が決定した時点で一旦PCを回収し、データ保全を行うことをおすすめします。
上記のように退職者が不正の証拠隠滅のために初期化をしてしまう可能性があるため、万が一に備え即座に現時点でのPCの状態をデータ保全した方が良いです。
弊社サービスクロノデータでは、データの痕跡を含めてHDDやSSDのクローンを作製、データ保全することが出来ます。
データ保全・証拠保全が必要の際は是非ご相談ください。

 

まずはデジタルフォレンジック専門業者へ相談を

今回は復元・調査ができなかった事例をご紹介しましたが、期間が経っていてもお客様が必要な情報を復元することが出来た事例もございます
不正調査やデータ保全等がご希望の際は、まずは当社までお気軽にご相談ください。

ぜひデジタルフォレンジック24までお問い合わせください。


 

選ぶなら安心信頼の技術

一つでも多くの確かな証拠データを割り出すために、信頼の技術力を持った当社をお選びいただくことをおすすめいたします。

デジタルフォレンジック24は

特急データ復旧ウィンゲットが運営しています

データ復旧の実績
累計60,000件
データ復旧専門10 年以上の経験で培った高度な技術と、信頼のサービスでお選びいただいております。出張サービスを業界内でもいち早くスタートさせ、お客様のニーズに合わせたサービスでご満足いただいております。
デジタルフォレンジック24公式サイトはコチラ

 

オフィスは主要都市に6拠点
全国に受付窓口が185箇所あり

弊社は北海道(札幌)、東京都(秋葉原)、神奈川県(横浜)、愛知県(名古屋)、大阪府(梅田)、福岡県(博多)に6店舗がございます。
また弊社は受付窓口として全国に185箇所代理店がございます。
PCの調査で、どのようなことができるのかご不明点やご不安点を解決いたします。 お近くで相談されたいお客様は、ご予約のうえ、ご来店ください。

店頭では、デジタルフォレンジックのご相談を伺い、専門スタッフがお客様のご要望に合わせたサービスをご提案いたします。

店舗への来店が難しい地域の方々には、上記店舗へ機器を郵送していただく【郵送受付】も行っております。なるべくお客様の近くで対応できるよう、各店舗を設けております。

札幌市中央区南1条西10-4-167
小六第一ビル 6F
直通TEL:011-272-0600


大きな地図で見る

東京都千代田区神田須田町2-7-3
VORT秋葉原ビル5F
直通TEL:03-6206-0970


大きな地図で見る

横浜市中区扇町1-1-25
キンガビル4F
直通TEL:050-2018-0428


大きな地図で見る

名古屋市中村区名駅2-38-2
オーキッドビル 5F
直通TEL:052-414-7561


大きな地図で見る

大阪市北区梅田1-1-3
大阪駅前第3ビル 7F
直通TEL:06-6131-8423


大きな地図で見る

福岡市博多区博多駅南1-3-6
第3博多偕成ビル 11F
直通TEL:092-452-7705


大きな地図で見る

全国の受付窓口


 



-データ復旧の技術, デジタルフォレンジック, セキュリティ対策, ITお役立ち情報, ITの最新技術, パソコン(PC), サーフェス(Surface), データ保全, 実績, データ復旧
-, , , , ,

執筆者:

関連記事

2025年最新版 情報漏洩 事例まとめ No.2

本記事では、実際に国内で発生した「最新の情報漏洩事例」をご紹介します No.2 No.1はこちら 機密情報を狙った、情報漏洩事件が…

続きを読む

フォレンジック調査でよくある依頼内容は?

Contents1 フォレンジック調査について2 よくあるフォレンジック調査とは3 どのような調査をするのか4 調査した結果どうな…

続きを読む

退職者に消去(初期化)されたデータの調査・復元は可能?

退職者に消去(初期化)されたデータの調査・復元は可能? Contents1 退職者に在職中に使用していたPCを初期化(データ消去)…

続きを読む

残業代の不当請求や残業時間改ざんの疑い!パソコンを調査するには?

正当な残業にはきちんと残業代が支払われるべきです。 しかし、そうではないケースも存在します。 正規の就業時間中にわざと仕事を完了さ…

続きを読む

暗号化されたパソコンが故障?データは取り出せるのか!?

  Contents1 暗号化とは?2 「Check Point」で暗号化されたPCが突然故障!?2.1 HDDに物理障…

続きを読む