第245号コラム「フォレンジック調査の事例紹介」
第245号コラム:山内 崇 幹事
(株式会社ピーシーキッド データ復活サービス部フォレンジックサービス部 取締役)
題:「フォレンジック調査の事例紹介」
弊社では企業内で発生する不正の調査を主な目的としたサービスとして「コンピュータ・フォレンジック」を行っております。今回のコラムは今まで弊社が実際に扱ってきた案件の中から、2案件を事例としてご紹介させていただきたいと思います。ただし、取り扱う内容の都合上、依頼主が特定出来たりするような内容はもちろんですが、公開できないような内容も多くありますので、適宜、事実とは異なる内容に書き換えさせて頂きますことをご了承ください。
【事例1】残業時間の行動調査
弊社に頂くご相談の中で、このケースの相談は比較的多い案件になります。ただし、実際にお見積りをした際、受注に結びつきにくいケースでもあります。というのも、ほとんどのケースが残業時間中に私的なことを行っていた事実を証拠として出したうえで、残業代の返還請求の訴訟を行いたいという内容が多いのですが、残業代の返還請求で返還されるであろう額と調査にかかる費用(弁護士費用等も含めて)を比較すると割に合わないということで、PCの調査は断念されるケースが多いからです。
[経緯]
依頼主は役員。既に退職した社員が、退職の数ヶ月前から急に残業時間が増えた。引継ぎの準備などもある為と思っていたが、退職後に顧客情報を持ち出し、競合他社へ就職している事が判明した。本人に対して直接事情聴取を行ったところ顧客情報の持ち出しは認めたが、残業時間については仕事をしていたと主張。しかし本人の使用していたPCを調べる限り、インターネットの履歴等が綺麗に削除されており、情報の持ち出し以外にも何かを隠しているように見え疑わしい。
[保全]
本案件については既に依頼主側で被疑者のPCを複数回にわたり起動して調査をしているため、多くのファイルのタイムスタンプが既に書き変わっている事や、証拠性という観点からも被疑者より証拠捏造を主張される可能性もあることを(今までの経験上被疑者からこのような主張をされたことはありませんが)理解して頂いた上で、デスクトップPCの保全を現地にて行いました。
被疑者は既に退職しており、また、社内でも本件については公になっているため、日中の営業時間に弊社調査員2名にて訪問し保全作業を行いました。
[調査]
IEの履歴は削除された状態でしたが本人がアクセスしていたURLを復元することが出来、また、削除された大量の画像ファイルも復元されました。依頼主から頂いた被疑者の出勤簿とファイルのタイムスタンプを比較し、残業時間にあたる時間帯の作業をタイムチャートに表し報告を行いました。調査期間は保全から報告まででおよそ一週間で行いました。
[結果]
残業時間中はほとんど、インターネットで出会い系サイトの閲覧や、猥褻画像を収集している事がわかりました。
依頼主はこの結果を元に弁護士と相談し、被疑者に対して残業代の返還請求を行う形になりました。
【事例2】Skypeのチャット調査
[経緯]
依頼主は代表取締役社長。独立を前提とし退職をする予定の役員が横領を行っている疑いがある。横領の方法は海外にある取引先の工場の責任者に水増しの請求書を作成させ、それに対して支払いを行い、水増し分を自分の口座に振り込ませる。一部は工場の責任者に報酬(口止め料)として渡す流れ。普段は業務上の連絡にSkypeの音声チャットや文字のチャットを利用しているが、不正の指示をSkypeのチャットを利用している疑いがある。依頼主側で被疑者が居ない間に独自にPCの調査を行ったところチャットログの途中に“このメッセージは削除されました。”という、隠ぺいした形跡がある。削除されたチャットログを調査し、証拠として用意したうえで被疑者本人との面談をしたい。
[保全]
本案件に関しては被疑者が在職者であり、被疑者や他の従業員に気付かれないよう秘密裏に調査する事を依頼された。そのため全従業員帰宅後の深夜12時頃から開始、翌朝7時迄の時間帯で、被疑者とは別の役員立ち会いのもと弊社調査員2名にて現場で保全作業を行いました。
[調査]
Skypeの履歴を確認すると依頼主の話通り文字チャットの所々に削除を示すメッセージが表示されていました。当時Skypeの調査ツールが海外製でいくつか存在していましたが、日本語などマルチバイト言語の対応や、Skypeのバージョンによっても対応の可否があったため、弊社内にてチャットログを解析するツールを作成し、削除されたメッセージを復元しました。出てきたチャットの内容に関しては業界の専門用語や隠語のようなもの、また、ゲルマン祖語やラテン語以外の言語等が多数使用されていたため、中間報告を行い依頼主にメッセージ内容を確認して頂きながら最終的な報告を作成しました。
調査期間は保全開始から最終報告まで1週間強で行いました。
[結果]
結果としては依頼主の予想通り、チャットにて指示を行っている事が判明しました。被疑者に対しては弁護士とも相談し、退職後独立するにあたって制限事項等を書面にて約束させることになりました。
弊社が今まで経験してきた調査では、訴訟は行わないことを前提としたケースが多く感じられます。中でも被疑者が在職中である場合や、役員等、古くからその会社に勤務しており、信頼されていた人物である場合、訴訟まで行うという話は聞いておりません。実際には調査報告後は依頼主ご自身の対応の為、当社の知る範囲ではございません。ただ、このあたりに関しては米国等とは異なる日本独特の感性に感じられます。
【著作権は山内氏に属します】