フォレンジック調査の事例紹介。迅速な対応が費用と被害を抑えます。

ネットエージェント

フォレンジック調査事例

すべてを見通す情報漏えい調査

調査事例

その一挙手一投足が話題となるITベンチャー企業B社では、型にはまったワークスタイルを好まない社風から多様なワークスタイルを推奨し、 自分の好きな時間に自宅からのリモート接続を行い、仕事をする社員も多く在籍していた。

半年前に大手広告会社からヘッドハンティングされたKさんも、 B社の一大プロジェクトの広報・マーケティングの責任者として日々取引先、協力会社との打ち合わせに奔走していた。

ある日、匿名の第三者からB社代表あてに不審な添付資料のあるメールが届いた。 通常は、そのようなメールが届いた際は、すぐに廃棄していたがメールに書かれた内容がB社のプロジェクトに関することが示唆されたものであったため、 念のため担当者が情報システム部門に相談し、添付ファイルを調べてみることにした。

調査の結果、添付ファイルはKさんが携わるプロジェクトに関する機密資料であった。 すぐさま、プロジェクトの関係者を招集し当該ファイルの所有者を洗い出した。 その結果、その内容のファイルを所有しているのはKさんを含め数人のプロジェクトメンバーだけであることが判明した。

当初、Kさんはいつも持ち歩くノートPCやUSBメモリの紛失もないため、情報流出については心あたりがないと証言していた。 そして匿名のメールが届いてから3日後、社員の一人が巨大匿名掲示板内にB社とKさんの個人情報の流出をうかがわせる内容の書き込みを発見し、情報流出がP2Pネットワークからであることが判明した。

B社では改めて、Kさんを呼び出し事情について再聴取した。その結果、KさんはP2Pの利用を認め、自宅PCの提出に応じた。 情報システム部門がPCを調べた結果、P2Pの利用痕跡はあるものの、当該流出ファイルは確認できなかった。

状況を重く見たB社上層部は、流出発覚から1週間が経過したところで、過去調査サービスの実施を決定した。 調査の結果、Kさんが流出したと思われるファイルは、日を追うごとに所有者が増加。 流出から5日目には、B社の社名がファイル名として付与された情報がP2Pネットワーク上で拡散していることが確認された。

その後、流出したファイルを調査したところPCのデバイス情報についての痕跡が含まれていたため、 B社情報システム部門が調査したKさんの自宅PCの内容と照らし合わせたところ、不審な点が判明した。

この点ついて、Kさんに再々度確認をしたところ、今度は別の自宅PCの存在を告白した。 新たに提出された自宅PCをフォレンジック調査サービスで解析したところ、 当該ファイルが発見され、暴露ウイルス(Antinny)の感染痕跡も P2Pネットワーク上で情報が流出した日と符合した。

流出した原因・経緯については、判明したもののP2Pネットワーク上ではファイルはすでに取り返しがつかないほど蔓延し、 プロジェクトの内容は公然と知られるものとなり、B社は不名誉な形でマスメディアにも流出事故を取り上げられ、プロジェクトは仕切り直しとなった。

ポイントチェック

B社には、業務情報の取扱いについて、社内規定の不備が見受けられました。 具体的には、業務情報の私用PC・USBメモリ等への移動・コピーの禁止、私用PCを含めたP2P利用の禁止、SNS等での業務情報に関する内容の発言の禁止、 実際に以上の禁止要項に違反し、損害を発生させた場合の賠償請求などを盛り込んだ誓約書の締結が社員との間でなされていませんでした。

特に多様なワークスタイルを推奨するB社では、通常のセキュリティ対策に加えて、どうしてもセキュリティ意識も低くなる自宅での業務を考慮すると、 このような誓約書を入社時に締結しておくことは必要なことだといえます。

実際のところ誓約書を締結する目的は、罰則をあたえることではなく、会社の情報漏えいに対する厳しい姿勢を社員に対し示すことで、 P2Pなどの利用を控えさせるという抑止力にこそ狙いがあります。

また、多くのP2P流出事故の場合、当事者は会社に流出の事実を気づかれたとわかった段階で、証拠を消そうとして隠ぺい工作を行います。PCのフォーマット、再インストールはもちろん物理的に破壊・廃棄してしまう場合も少なくありません。

そして、多くのP2P利用者はダウンロードしたファイルを大量に保持しているため、一台のPCでは収まらず、複数台のPCを所有することはもちろん、 外付けHDDを何台も所持していることがほとんどです。

今回の場合も、社員に対する聞き取り段階において情報が不十分なため曖昧な内容しか確認できず、 逆に流出しているという事実をKさんに教えてしまったために、自宅PCに対して隠ぺい工作する時間を与えてしまう結果となりました。

さらに言えば、最初のPCに対する調査を自社で行ってしまったため、隠ぺい工作を見抜けず、適切な証拠保全も行われていませんでした。これは大変危険な行為であり、仮に調査対象のPCから証拠となるファイルが発見された場合でも、Kさんから「会社が改ざんして、証拠をねつ造したんだ。」と言われれば、それを覆すことは非常に難しくなります。

その為にも、PCのフォレンジック調査は専門の知識を有する人物、できれば外部の業者に委託することが望ましいと言えます。フォレンジック調査サービスでは、証拠保全の作業記録と同一性の確認を行うため、上記のような事態が起きた場合でも、適切に証拠を確保し、 調査を行ったことを立証することができます。

情報流出が疑われた場合は、自社で対応することは間違いではありませんが、専門の知識を有し、適切なサービスを提供できる業者にいち早く相談できるように、 日頃から情報収集をすることも必要となります。