あなたの業務にも迫り来るフォレンジック調査の拡がりを事例で学ぶ

江の島の猫

森友学園への国有地の売却をめぐって財務省の決裁文書が改ざんされていた事件は記憶に新しいところです。改ざんの決定的な証拠は大阪地検特捜部が実施したフォレンジック調査(デジタル・フォレンジック)により得られました。昨今の経済事件や情報漏洩事件などは必ずと言っていいほどにパソコンや電子データが絡みます。そしてそれらを解析して得られた証拠により立件されるケースが数多く報告されています。このフォレンジック調査が企業内の不祥事や不正の解決にも使われつつあり、日頃の業務の中でのちょっとした書類改ざんや隠滅も見破られてしまい、それを証拠にして懲戒されてしまうようなこともあるかもしれません。

この記事でフォレンジック調査が使われた事件や不祥事の数々の事例をお示しすることで、PC上の業務での何気ない「文書の訂正」や「ゴミ箱行き」を一瞬踏み留める意識を持つ契機にしていただければと思います。

1.フォレンジック調査とは

フォレンジック(forensic)は本来、「法廷の」「法医学的な」「科学的捜査の」といった意味で、もともとは警察の科学捜査の現場で使われてきた言葉です。特にコンピュータやそれに準じる機器類によるデジタル犯罪立証のための電磁的記録の解析技術及びその手続きのことをデジタル・フォレンジックと呼びます。

1-1.フォレンジック調査は何を何処まで調べられるのか

1-1-1.対象ハードウェア

操作やデータが記録保存される電子機器類の大半がフォレンジック調査の対象となります。

   ① パーソナルコンピュータ
   ② サーバー
   ③ 外部記憶媒体
    (外付けHDD、USBメモリ、SDカード、DVD、フロッピーディスク等)
   ④ 携帯電話(ガラケー)
   ⑤ スマートフォン
   ⑥ タブレット端末
   ⑦ デジタルカメラ

1-1-2.何を解析・読解できるか

掛けられる時間と費用によっては解析できるものとできないものがありますが、下記のような情報は概ね解析・読解が可能です。上司に見せたくない顧客からのクレームメールや意図的に作成してしまった虚偽の報告書などを、削除しゴミ箱を空にしても無駄だということです。

   ① Eメール送受信記録と文面、添付ファイル
   ② 各種アプリケーションで作成されたドキュメントファイル
   ③ 操作ログファイル
   ④ SNS通信記録(LINE Instagram FACEBOOKなど)
   ⑤ 画像ファイル
   ⑥ ログオン・ログオフ情報
   ⑦ WEB閲覧記録

1-1-3.どのような状態でも解析できるのか

かつてパソコンのハードディスクにドリルで穴を開けた国会議員の関係団体がありましたが、このレベルの物理的破壊をすればデータの復元は相当に困難になるようです。一方でディスクそのものに破損が無ければ解析は以下に列記したようなケースで可能となります。

   ① 通常の保存状態
   ② 削除しゴミ箱を空にした状態
   ③ ケースや駆動機能が破損した状態
   ④ 水没した状態
   ⑤ 初期化してしまった状態

1-2.日本におけるフォレンジック調査の変遷

1-2-1.黎明期

日本のフォレンジック調査の歴史は、パソコンの普及の進展と歩みをほぼ同じくしていると言えます。90年に入りマイクロソフト社のWindowsが爆発的なヒットをしてビジネスにおけるパソコンの利用が急速に進みました。このことにより、それまで不正解明やビジネス犯罪での証拠はもっぱら紙類であったものから、パソコン・フロッピーディスク・USBメモリ・スマートフォンなどを押収して解析しなければ証拠が得られない状況になったのです。

1-2-2.始まりは警察から

『犯罪に悪用された電子機器等に保存されている情報は、犯罪捜査において重要な客観証拠となる場合があることから、犯罪捜査の現場では、電磁的記録の解析が必要不可欠となっています。このため、警察庁では、犯罪の立証のための電磁的記録の解析技術やその手続、すなわちデジタルフォレンジックに係る取組の強化を行っています。』
これは警察庁のホームページで紹介されているフォレンジック調査への警察の取り組みを紹介した一文です。
前述しましたように、フォレンジック調査は警察の科学捜査の現場で使われ始め発展してきました。現在では犯罪捜査においてフォレンジック調査は極めて重要なツールになっているのです。

1-2-3.大阪地検特捜部主任検事証拠改ざん事件が与えた影響

2010年(平成22年)9月に発覚した、障害者郵便制度悪用事件での大阪地検特捜部による証拠改ざん及び犯人隠避事件は、各方面に大きな衝撃を与え多大な影響が及ぶことになりました。被告人のひとりが作成したとされる障害者団体の偽の証明書に関し、作成日付が検察の捜査目論見に沿うように書き換えられるという証拠隠滅行為は、朝日新聞が業者に依頼して証拠品のフロッピーディスクを解析した結果判明したものでした。この事件により、電子データは容易に書き換えができるため、裁判所としては安易に証拠品として受け付けられないという方向性が明確になりました。
(解明の経緯を詳しくお知りになりたい方はこちらへ⇒ 大阪地検特捜部証拠改ざん事件報道を、朝日・板橋記者と語る

これを受けて検察は、供述頼みの捜査の見直しや客観証拠の重視に伴い「証拠の保全」が欠かせなくなり、フォレンジック調査への取り組みを強化し始めました。冒頭に書きました「森友学園問題」で大阪地検が文書改竄の決定的な証拠を炙り出せたのもの、ここを出発点としてフォレンジック調査に力を入れてきた結果と言われています。東京地検は上記事件から遅れること6年、2017年5月にデジタルフォレンジックを専門に扱う拠点「DFセンター」を開設しました。

1-2-4.フォレンジック調査の民間利用の広がり

昨今は警察や検察だけでなく、民間レベルでのフォレンジック調査の利用が広まっています。重要データの保管から日常業務まであらゆるシーンでパソコンを使われることが当たり前になった今日、「機密情報の漏えい」や「書類の改ざん」など業務上の不正の大半がパソコン内で行われています。こうした不正・不祥事の実態解明に際し、フォレンジック調査により必要な証拠の保全が図られるため、重大インシデント発生後の素早い対応を可能にしたり、問題の根本的解決を目指したりすることが実現されます。そしてセキュリティの積極的な維持管理、不正行為の未然防止、それぞれがもつ法的権利の保全にもつながります。
こうした企業防衛・危機管理の観点から民間企業でのフォレンジック調査が広がりを見せているのです。

『大切な思い出を復元する』

2011年3月に発生した東日本大震災では大津波で家屋が流されたり水に浸かり多くの犠牲者が出ました。亡くなられた方が所持していて水没した携帯電話やデジタルカメラ、パソコンなどの遺品から画像やメール等を復元できないか?というニーズが俄かに高まりました。この頃はフォレンジック業者の数は限られ、技術的にも発展途上にあったため、そのニーズに十分に応えることはできませんでした。しかし、これを契機に復元技術は急速に進歩し、復元を取り扱う業者も増えてきています。

最近の台風被害や地震災害において、家屋の倒壊で破損したパソコンや水に浸かったり泥まみれになってしまったデジカメなどから、故人の大切な思い出やメッセージが復元されたというレポートが数多く見られるようになりました。

2.刑事事件におけるフォレンジック調査の事例

2-1.大相撲野球賭博・八百長問題

【事件概要】
大相撲2010年5月 夏場所開催中の週刊誌の報道により明るみに出た、大関琴光喜や大嶽親方をはじめ数十名に及ぶ力士や年寄などが野球賭博などの違法賭博に関与した事件。同年名古屋場所は中止を検討されながら開催に至ったが、大量の力士の謹慎休場処分が下され、全国系一般新聞紙で連日一面のトップで報道されるなど、賭博や維持員席問題などの大相撲と暴力団との係わりについてなど大きく関心と注目が集まった。そして、この賭博事件の捜査の過程で現役力士による八百長問題が発覚、2011年2月6日には翌月の春場所の開催が中止された。

【調査で得られた証拠】
違法賭博の捜査に際し、関係者の携帯電話を押収しEメールの削除された記録を含め送受信履歴をフォレンジック調査で解析された。力士と仲介者あるいは胴元との送受信記録が詳らかになるとともに、それらのEメールに混ざって八百長を行っているらしきやり取りがあることが判明した。これがきっかけとなり、前代未聞の場所開催の中止にまで至る八百長事件が明るみになった。

2-2.パソコン遠隔操作誤認逮捕事件

【事件端緒】
江の島/猫/遠隔操作襲撃や爆破・殺人の犯行予告をインターネットの掲示板に書き込んだり、Eメールで送信したとして、2012年7月から9月にかけて、東京・大阪・福岡・三重の4人の男性が逮捕された。書き込みやEメールに残されたIPアドレスを主な証拠として逮捕され、そのうちの2人は厳しい尋問と追い込まれた精神状態から事実にない容疑を認め上申書まで書いていた。

【調査とその後の経緯】
警察の当初のフォレンジック調査では各々のパソコンでは遠隔操作ウィルスの感染が確認されずに、IPアドレスを頼りに捜査が進められ、対象パソコンのメール送信や掲示板書き込みの履歴が決め手となり逮捕に至っており、真犯人の策略にまんまと嵌まっての誤認逮捕となった。10月以降5回にわたって真犯人からの犯行声明メールが送られ(その中には江の島にいる猫の首輪に証拠となるSDカードを隠したといった内容も含まれていた)、押収パソコンの再度の解析により遠隔操作ウィルスの痕跡が確認されて4人の無実は立証されていった。最終的には保釈中の真犯人の尾行調査で河川敷に埋められたスマートフォンが発見され、そのフォレンジック調査による解析結果が最後の決定打となり事件は解決することになる。

この事件が示唆することは、国家権力が粋を集めてフォレンジック調査に取り組んでいても、その時点でネットワークやパソコンに関する知識・技術でその先を走っている民間人や法人が存在しているということ。犯罪捜査において、一面的な解析結果にだけ頼ってはいけないという警鐘になった。

2-3.徳洲会グループ公職選挙法違反事件

【事件概要】
2012年12月の衆議院議員総選挙において、鹿児島2区選出の徳田毅衆院議員陣営が医療法人徳洲会グループの病院職員に報酬を支払ったうえで選挙運動をさせていたとして、東京地検特捜部、警視庁、鹿児島県警が2013年11月12日、公職選挙法違反(運動員買収)容疑で、毅氏の姉2人のほか、グループ幹部4人を逮捕した事件。

【調査で得られた証拠】
内偵捜査初期の段階で徳洲会グループ幹部の1人からの捜査協力を得て、容疑を裏付けるためグループ東京本部など数十カ所を家宅捜索し、パソコン・書類等を押収。毅氏の姉のパソコンのフォレンジック調査による解析で、消去されていた裏金明細書データ・現金配布先の資料などが復元され重要な証拠として事件解明に繋げられた。

2-4.巨人軍野球賭博事件

【事件概要】
2015年9月30日、二軍本拠地の読売ジャイアンツ球場での練習直後にある不動産会社の元社員が所属選手の福田聡志選手のもとへ借金百数十万円を取り立てに来たことをきっかけに明るみに出た問題。福田の他、笠原将生、松本竜也、高木京介ら3選手の関与も判明し、選手資格のはく奪や刑事処分として、笠原選手に執行猶予付きの禁固刑、他3選手には罰金刑などが課された。

【調査で得られた証拠】
4選手は携帯電話での賭博に関するやり取りを削除していたため追及を逃れられるとみていたのか事情聴取に対して嘘の供述をしていたが、投票メールなど賭博に関するEメールが復元され関与が立証された。

3.民間でのフォレンジック調査の事例

3-1.将棋ソフト不正使用疑惑

【事件概要】
将棋ソフト2016年タイトル戦3番勝負の対局中に将棋ソフトを不正に利用していたのではないか、という告発をされたM棋士が約3カ月間の出場停止処分を受けた事件。

【調査とその後の経緯】
公益社団法人日本将棋連盟は第三者委員会を立ち上げ、実際に不正行為が行われたのか、連盟の出場停止処分が妥当であったのかを検証するために調査を行った。
これに際し、M棋士から提出された電子機器(スマートフォン2台、デスクトップパソコン3台、ノートパソコン3台、タブレット端末1台)をフォレンジック調査により解析を行い、少なくともこれらの機器を使って、対局の最中(休憩時間などを含む)にスマートフォンで直接将棋ソフトを操作したり、通信機能で遠隔地にあるパソコンを操作したり、第三者に差し手に関する情報提供を受けたりしていた事実は確認できなかった。

この報告を受け当時の連盟会長・常務理事の辞任、他3理事の解任などの処分が行われる将棋界全体を揺るがす大問題となった。

3-2.住設メーカーA社 社員の服務規定違反問題

【違反発覚】
内部通報により勤務時間内での遊興を指摘された営業幹部社員Bへの懲戒処分に際して、状況を確認し裏を取るためにフォレンジック調査が利用された。

【調査で得られた証拠】
会社から社員Bに貸与されていたパソコンとスマートフォンが抜き打ちで回収されフォレンジック調査がかけられた。パソコンでは服務規程違反に類する目立った情報は見つからなかったが、スマートフォンではEメールの送受信記録などは削除されていたものの、復元作業の結果、大半のメール送受信記録が解読され、その結果、他の社員を誘い込んで勤務時間中の麻雀店やゲームセンターでの遊興の事実が発覚。この他に本人は既婚であるにも関わらず、女性社員との不適切な異性関係も露見した。これらの結果をもって、降格・減給の懲戒処分がくだされた。

3-3.人材派遣会社C社 顧客情報漏えい事件

【不正発覚】
退職した元営業幹部社員Dの携わった派遣社員の退職が相次ぎ、それが元で重要なクライアントの喪失が発生。後にDは同業種のE社に転職していたことが判明した。C社は派遣社員の流出やクライアントの喪失はDの仕業との疑いをもち、Dが使用していたパソコンのフォレンジック調査を実施することにした。

【調査で得られた証拠】
在籍当時のメールの送受信記録や作成されたファイルなどはすべて削除されていたが、ほぼすべての記録を復元・解析することができた。それによるとメールの送信記録には、派遣社員に対するE社への転籍勧誘の送信メールが見付かった。また、Dが設立したとみられる法人の出納帳ファイルの存在が確認され、E社からのバックマージンの入金の記録が確認された。
こうした情報からDによる派遣社員引き抜き不正のスキームが解明され、C社はDに対する損害賠償請求の法的措置に踏み切る決断をした。

3-4.隠し財産捜索にフォレンジックが使われたケース

【調査実施への動機】
不倫が原因で別居状態の夫に対する離婚申立てに際し、相談した弁護士から財産分与の面で夫の資産をしっかりと確認した方が良いとのアドバイスを得た妻。弁護士の提案で、夫が残していった夫婦共有の古いパソコンのフォレンジック調査を実施することにした。

【調査で得られた資産情報】
残されたパソコンにはログオンパスワードが設定されていたが首尾よく解明でき、青色申告用の税務ソフトの存在が確認され、申告書類とともに申告用の資産情報が発見された。その中には妻に知らされていなかった別荘が含まれており、弁護士の見立てでは財産分与の対象となる不動産であることが判明した。このケースは、財産分与や債権回収における資産探しにおいて、パソコンは宝の山となる可能性を示した好例である。

4.まとめ

昨今、日々のニュースで聞かない日はないのでは?というくらいに「第三者委員会」という言葉を耳にします。上場企業での不正・不祥事の場合、第三者委員会による調査報告書は公開されるのが通例ですが、「第三者委員会ドットコム」まとめの2018年開示の報告書33件のうち、じつに64%になる21件でフォレンジック調査が行われています。不正・不祥事の実態解明において、人の証言や紙のドキュメントなどと同等かそれ以上に電子機器内に眠る電子データが動かぬ証拠として重要視されてきている証しです。

この記事をお読みのあなたの傍でも、こっそりとフォレンジック調査が実施されているかもしれません。日々何気なく行われている「書類の訂正」や「削除」。一瞬立ち止まって、「大丈夫かな?」と再考される必要があるのかもしれませんね。

不正・不祥事のフォレンジックならトクチョーにご相談を

玄関退職社員の犯した情報漏えい、業務時間中のサボタージュ、
パワハラ・セクハラなど職場で発生する不正・不祥事の
実態解明には証拠確保が必須です。
創業54年 総合調査会社トクチョーなら、

  ・フォレンジック調査

  ・PC操作ログ監視

  ・行動監視(尾行調査)

  ・内偵調査

など貴社の問題解決にお役立ていただけるメニューをご用意しております。

コメント

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください