このページでは、既に他のデジタル・フォレンジック調査の専門会社に解析業務を依頼したけれども、肝心のデジタル証拠が検出されないため、訴訟対応や懲戒処分などにお困りの方に向けた情報提供を行っています。「他社のフォレンジック調査でお困り&セカンドオピニオンが欲しい方へ」ページのサブページです。
調査結果はフォレンジック会社ごとに異なる
デジタルフォレンジックスのニーズに伴い、サイバー事案や不正事件などの調査を行う専門会社が増えてきました。おおよその業界参入順は、特定非営利活動法人デジタル・フォレンジック研究会が発行する証拠保全ガイドラインの巻末にある、 IDF団体会員「製品・サービス区分リスト」 をご覧いただくと確認することができます。このリストはアイウエオ順ではなく、同研究会への入会順で構成されているものと思われますので、業界が構成された経緯を知ることのできる貴重な参考資料ともいえます。
さて、既に他のフォレンジック会社に解析調査を依頼されたものの、求めていたデジタル証拠が見つからなかったので、その時点であきらめるべきなのか、それとも弊社で調査をやり直すことで新たに証拠が見つかる可能性があるのか、といったお問合せをいただくことが増えてきました。このお問い合わせへの回答は、ケースバイケースで変わります。なお、このページでは訴訟事案を前提としています。
探し方を変えるとデジタル証拠が見つかることがある
もしiPhoneやAndoridのスマホ・タブレットに保存されていた削除済みの写真データが必要な場面において、他の専門会社が調査して「見つかりませんでした。」との結論が出ているのであれば、おそらく弊社でも同じ調査結果になる可能性が高いです。ただし、調査の仕方によっては、まだ検出できる可能性が残されているともいえます。例えば、撮影した写真は一般的には「写真」や「フォト」などのアプリで保管されます。そのためフォレンジック調査でのチェック対象も、それらのアプリが対象になります。
ところが、写真データは必ずしも「フォト」アプリにしか保存されていないとは限りません。LINEなどのメッセージアプリで送受信した写真であったり、ネットからダウンロードした写真などは、記録先の領域が異なります。そのため、探す場所を変えれば見つかることがあります。他にも画像サイズが小さなサムネールだけは見つかることもあります。つまり、無いと判断されたとしても、探し方を変えると見つかる場合があるのです。
1社が証拠無しと断定したパソコンからデジタル証拠(メール)の検出に成功
メールデータの復元をフォレンジック会社に依頼したけれども、「全く何も検出されない」と報告を受けた法人さんからご相談があり、あらためて弊社で解析したところ重要な証拠メッセージが検出された、ということがありました。その調査での主なターゲットはOutlookのメールデータ(PSTファイル)でした。技術的なことはこちらのページで解説していますが、基本的にOutlookのメールデータの検出は、フォレンジック解析やデータ復元調査において、成功の難易度が高いものになります。その理由は、更新頻度が高く、かつファイル容量が大きいため断片化を起こしやすいからです。
この事件対応ではその後、当方での解析によってメッセージの痕跡が複数見つかり、警察の調書対応も経て、業務妨害のデジタル証拠として形成されました。後述の事例もそうですが、テンプレート的な取り組み方では見落とされるデジタル証拠は結構たくさんあります。この事件対応においても、事件の背景や人物像(職場での上下関係や、言葉遣いのクセなど)を把握し、その事件に特化した解析手段で取り組むことによって、最初のフォレンジック会社では「無い」と判断されたデジタル証拠がいくつも検出されました。
3社が復元できなかったSDの写真データの復元に成功
SDカードから消えた写真画像の復元を3社に依頼しても欲しいデータを入手できなかったお客様がいらっしゃり、弊社で無事に欲しかった写真を復元できたことがありました。なぜ他社と異なる調査結果を出すことができたのか、その理由は明白です。実は、多くの同業者が使用する解析ツールのアルゴリズムには、ちょっとした欠点があり、あるパターンに合致するデータは検索してもヒットしない仕組みになっています。そこで、いかなるパターンであっても必ずヒットする検索プログラムを用意して解析したところ、無事に検出することができ、さらに写真画像として復元できたというものです。
それとデジタルフォレンジック会社が解析に使う専用のソフトウェアは、欧米で開発されているものが使われる傾向があり、そうすると日本でのみ使われる形式のファイルなどは、検出できないことがあります。そのため、そうした日本特有形式のファイルに対応するためには、対応機能のある解析プログラムを開発して取り組む必要があります。弊社はすでに独自の解析ツールを開発済みであり、フォレンジック調査業務だけでなく、データ消去検証業務にも活用しています。プログラム開発は社内で完結していますので、早急な対応も可能です。
6~7社が復元できなかったパソコンHDDのデータ復元に成功
さらには、弊社にご依頼下さるまでに6~7社に解析を依頼され、いずれも復元に至らなかったために、ご相談にお越しになられた方もいらっしゃいました。この事例は事件性はなく、3TBのHDDに保存していたお子様の成長記録と家族写真が消えてしまったので、ファイルを復元してほしいというご依頼でした。HDDには機械的な異常はなく、動作は正常なもののファイルが見当たらない状態でした。
その後、調査結果のご確認にお越しになられたときのお客さまのは、とても印象的だったのです。まず最初に応接のソファーに「無理でしたよね。お手数でした。」と諦めモードでお座りになられました。しかし、ご要望の写真データはバッチリ復元できていましたので、モニタでご確認いただいたところ「なんで?どうして?」と猛烈に驚かれていました。お話を伺うと、東京の専門業者の方が復旧技術が高いと思い6~7社に依頼したけれど、あまりに連敗なので最後に大阪でもう1回頼んでから諦めるつもりだったそうです。「東京で無理なことを、まさか近所の業者が成功させるとは思わなかった。」とのことでした。※神戸からのお客様でした。
デジタル証拠が見つからないときは、ご相談ください
他のフォレンジック会社で見つからないものが、何故弊社だと見つかるのか。それは、取り組み方を事件ごと、あるいは証拠品ごとに変えるからです。むしろ、そうしないとデジタル証拠の検出は、年々難しくなりつつあります。もし、既に他のフォレンジック会社に相談はしたけれども、解析結果が思わしくないときは、どうぞお気軽にアイフォレンセ日本データ復旧研究所にご相談ください。
お問い合わせ先
アイフォレンセ日本データ復旧研究所(株)
0120-835-706 または 06-6345-0523
もしも証拠保全手続きが実施済みでしたら、同じことを繰り返す必要はおそらくありませんので、続きから引き継ぐことも可能です。詳しくはお電話か、事前の相談会にてお問い合わせください。
以上