PC初期化(リセット)日時と不正にデータを消された証拠の調査

退職者や在籍社員などによる不正な「PCの初期化」証跡のデジタルフォレンジック調査サービスに関するご案内です。データを不正に消す行為は、電子計算機損壊等業務妨害として刑法の違反に該当します。データが消えている状況では、何も解明できないと思われるかもしれませんが、消された事実もデジタル証拠になります。

「PCの初期化」には方法や呼び名のパターンが色々ある

こちらにリストアップした用語は全て「PCの初期化」に関連するものです。こうしてみると意外と多くあるのが分かります。技術的には全く異なるものも混在していますが、一般的には同等のものとして認識されています。それほど注意深く気にする必要がない場面もありますが、不正調査における証拠としては正確性は高いにこしたことはありません。たとえば「リセット」と「フォーマット」では解析対象の証跡が異なります。その違いこそが実行された操作履歴を見分けるための重要な要素となります。

  • PCの初期化
  • PCのリセット
  • PCを工場出荷時に戻す
  • PCのフォーマット
  • PCのリカバリー
  • OSの再インストール
  • プッシュボタンリセット
  • PCのリフレッシュ
  • PCを初期状態に戻す
  • 回復ドライブでリカバリ
  • クリーンアップされた
  • ユーザープロファイルの削除
  • システムのリセット
  • OSの再セットアップ

これまでにあった相談事例

「PCの初期化」という状態は、すでにデータが消えた後ですので、調べても何も判明しないとあきらめモードの方もいらっしゃるかもしれません。でも「初期化された日時を明らかにする」ことはときに非常に有効に働きます。以下の相談事例は全てこれまでに当社で対応した実例です。なお、ご相談のほぼ全ては被害を受けた側の企業さんですが、ときどき加害者側からのご相談もあります。

退職者にPCを初期化された証拠が欲しい

退職者が使用していたパソコンのスイッチを入れてみたところデータが全て消されていたことが発覚しました。不正なデータ消去の証拠として裁判所に提出したいので、いつ初期化されたかを調査して報告書にまとめていただけませんか?
※尚、当社が裁判所に証拠資料を直接提出することはございません。必ず代理人弁護士にご相談下さい。

  • 当社対応:PCが初期化された日時の特定及びその手順を時系列で解明し、報告書を作成。

IT資産管理ツールが記録しないPCの初期化日時を知りたい

IT資産管理ツール(SKYSEAやLANSCOPE等)のログから不正の疑いが見つかった社員に貸与パソコンの返却を求めたところ、パソコンが初期化された状態で提出されました。PC初期化の操作履歴がIT資産管理ツールのログには無いので、初期化された日時や手順を調べてもらえますか?

  • 当社対応:PCが初期化された日時の特定及びその手順を時系列で解明し、報告書を作成。

懲戒解雇のために初期化によるPCデータ毀損の証拠資料が必要

パソコンのデータが初期化され、不正の証拠となるメールやエクセルファイルも全て消されてしまいました。就業規則(社内規定)に沿って懲戒解雇の手続きを進めるために、いつどのように初期化されたかの資料が証拠として必要です。日時を含んだ初期化の経緯を調べられますか?

  • 当社対応:PCが初期化された日時の特定及びその手順を時系列で解明し、報告書を作成。

裁判所(裁判官)に提出するためのDF専門家による調査報告書の作成

パソコンが初期化された証拠として「sysyteminfo」コマンドを用い「最初のインストール日付」を調べて裁判所に提出したところ、裁判官(訴訟の相手方)から「本当にそのタイミングでパソコンが初期化されてデータが消されたと言えるのですか?専門家に尋ねた結果ですか?」と質問されました。裁判所(法廷)に提出するための専門的なDF調査とレポート作成をお願いできますか?
※尚、当社が裁判所に証拠資料を直接提出することはございません。必ず代理人弁護士にご相談下さい。

  • 当社対応:PCが初期化された日時の特定及びその手順を時系列で解明し、報告書を作成。

DF調査で何が判明するかを知りたい

私は退職直前に勤務先のPCにあった業務関連のファイルを全て消すためにPCの初期化を行いました。その後会社から連絡があり、PCのデジタルフォレンジック調査が行われる旨の通知を受理しました。私が行ったことはバレますか?バレるとしたら、何をどこまで明らかにされますか?

  • 当社対応:有償コンサルティングにて技術的な見解を解説。PC現物の解析は不可能なため実施せず。

「PCの初期化」証跡のDF調査は当社にご相談ください

PCのリセットやリフレッシュなど、初期化が実施された日時を調べる方法として、「systeminfo」コマンドの利用の仕方がネットで見つかりますが、「最初のインストール日付」はWindows Updateによっても変わることも多いため、今はそれ単体では証拠にはなりません。「NTUSER.dat」や「$MFT」などのレジストリやメタファイルのタイムスタンプの記録仕様も変わりつつあります。このことが考慮されないと、正確性に欠けるというより、むしろ間違った解釈が導かれてしまいますので時間の経過しすぎたネット情報を参照される際には注意が必要です。

当社で作成する報告書には、「PCの初期化」日時に加え、なるべく初期化の手順や操作時刻なども記載されます。こうして作られた「PCの初期化」に関する報告書は、これまでに相手方からの反論などにより証拠力が下がったり失ったりしたことはないものと認識しています。ひとつのタイムスタンプだけをデジタル証拠にしても、その証拠力は限定的なものにとどまるため、当社においては、正確なDF調査はもちろん、信頼性と妥当性のある裁判所提出用の証拠資料作成を心掛けています。