退職者が初期化したPC、本当に大丈夫ですか？【実際にあった事例の紹介】

法人様（建設業）の調査依頼

社員が個人の都合で依願退職することになった。
現場に出ることが多く、現場で使用できるよう一人一人にノートパソコンを貸与していたため、退職時にその社員が使用していたノートパソコンを返却させた。
返ってきたノートパソコンを確認したところ、既に初期化されている状態だった。
「なぜ初期化したのか？」と尋ねたところ、「次の使用者が使いやすいように初期化しておきました」と回答があった。
その時は特に何も違和感を感じず、その後入社した別の社員に貸与していたが、その2年後、その退職者が不正（顧客情報の持ち出し）を行っていた疑いが浮上した。
取引先の証言等からほぼ間違い無いが、物的証拠が無い。初期化されて返却されたノートパソコン内に証拠が存在する可能性があるため調べてほしい。

上記内容で、お問い合わせをいただきました。

デジタルフォレンジック調査のご依頼

当社 株式会社リプラスのデジタルフォレンジック24・メルジックにご依頼いただき、対象のノートパソコンから以下の項目を復元・調査を試みました。

復元・調査結果

上記項目の復元を試みましたが、退職者が使用していた時期の情報は一切復元することができませんでした。

原因として、データの痕跡の上書きをする行為がされたと考えられます。

通常、一般的な方法による初期化やデータの削除というのは、表面上消えているように見えるだけでデータの痕跡は残るようになっています。
しかしパソコン側としては新しいデータを書き込む際、その痕跡を考慮せず白紙として扱ってしまうため、容赦無く上から新しいデータを書き込んでしまいます。

該当者が対象のノートパソコンを初期化してからの2年間、次に貸与された社員の方は毎日使用しており、非常に使用頻度が多いとのことでした。
そのため、退職者が使用していた頃のデータは全て新しいデータに上書きされてしまった可能性が高いです。

逆に言えば、初期化直後なら復元・解析ができた可能性が非常に高かったと思われます。

では、どうすればこのような事態にならずに済んだでしょうか。

復元できない状態を防ぐための予防策

貸与PCに関する社内規定を設けておく

そもそも貸与PCで不正を行わせないための予防策です。

「貸与PCのデータを許可なく消去してはいけない」や「許可なくアプリケーションをインストールしてはいけない」、「現場作業に必要なデータと顧客情報等の個人情報は分類し、前者のデータのみ貸与PCに保存して良い」等、使用の規制をかけておくというのは有効な手段です。

パソコン一つあれば不正行為や犯罪行為まであらゆることが出来てしまうご時世ですので、限られた手段でのみ使用を許可した方が良いかもしれません。

次の使用者への貸与まで一定期間、時間を置く

今回、退職者からPCが返ってきてから1週間後には現在の使用者の方へ貸与したとのことでした。
不正行為の疑い以外にも退職者が使用していた頃のデータが必要になる可能性も十分考えられるため、万が一に備え、一定期間次の貸与まで時間を置くことをお勧めします。

システムの復元ポイントを設定しておく

Windowsにはシステムの異常の発生によりOSが起動しなくなってしまうようなケースに備え、「システムの復元」という機能が存在します。
システムの復元ポイントというものを予め設定しておくことで、OSの状態を復元ポイントを作成した時の状態に戻すことが出来ます。
あくまで「データ」ではなく「システム」の保全のため、復元した際にデータは不完全になってしまう可能性はありますが、ある程度の情報や履歴の保全に繋がります。
ただし、システムの復元はそのPC自体の「設定」から無効にすることが出来てしまうためご注意ください。

退職が決まった時点でデータを保全する

社員の退職が決定した時点で一旦PCを回収し、データ保全を行うことをおすすめします。
上記のように退職者が不正の証拠隠滅のために初期化をしてしまう可能性があるため、万が一に備え即座に現時点でのPCの状態をデータ保全した方が良いです。
弊社サービスクロノデータでは、データの痕跡を含めてHDDやSSDのクローンを作製、データ保全することが出来ます。
データ保全・証拠保全が必要の際は是非ご相談ください。

 

まずはデジタルフォレンジック専門業者へ相談を

今回は復元・調査ができなかった事例をご紹介しましたが、期間が経っていてもお客様が必要な情報を復元することが出来た事例もございます。
不正調査やデータ保全等がご希望の際は、まずは当社までお気軽にご相談ください。

ぜひデジタルフォレンジック24までお問い合わせください。