Outlookからメールが消された!退職者が不正に使用したメールデータの復元に成功 – メール・ファイル復元 | 企業の不正調査

データ復旧 デジタルフォレンジック セキュリティ対策 メール復元 メール削除

Outlookからメールが消された!退職者が不正に使用したメールデータの復元に成功

投稿日:2019年12月2日 更新日:

退職者の不正が発覚。顧客情報を持ち出した可能性

ある日、取引先から「以前お世話になった御社のAさんって退職されましたか?Aさんから別の会社名で商談を持ちかけられたのですが・・・」と問い合わせがありました。

他の取引先にも確認をしたところ、複数の企業で同様の商談を持ちかけられていたことが判明しました。

尚、退職者A氏とは、退職時に※「競業避止義務」の特約による顧客の引き抜きの禁止、及び「秘密保持義務」を負わせる条項により会社に在職している間に得た顧客情報を使用した営業の禁止を誓約書により合意させていたため、契約違反にあたります。

A氏が誓約書を反故にして営業活動をしていると思われるため、証拠の収集を開始することに。
まずは顧客情報の持ち出しの可能性があったため、A氏が使用していたPCを調べることにしました。

※競業避止義務とは
「競業」=「元々勤務していた会社の同業他社」への就職や、同業他社を自ら起業することを避けなければならない、という義務。

Outlookのメールを確認したら・・・

メールを使用してデータを持ち出した可能性があったため、A氏が使用していたPCのMicrosoft Outlookのメールを確認しました。

すると、A氏が退職した日付から数えて半年間のメールが消されている状態になっていました。
その半年間、業務中にA氏がメールを使用していることは複数の社員が目撃しています。とある社員に至ってはその期間にA氏とメールのやり取りをしている(本人のメールボックスで確認済)はずですが、そのメールも見当たりません。

これは証拠隠滅のために意図的に消去した可能性が高いと判断し、解決策を調べることにしました。

デジタルフォレンジックで Outlook メールデータの復元に成功

消されたメールデータを復元するために複数のデータ復旧業者に問い合わせましたが、ほとんどの業者では「Outlookのメールは拡張子がpstという1ファイルにまとまってしまっているので対応できない」と言われてしまいました。
また、自分で復旧ソフトをいくつかダウンロードして試してみたが、メールと思われるデータは何も出てきませんでした。行き詰まりかけていたところ、MELSIChttp://www.melsic.com/)のHPを発見。

Outlookの削除メールに対応可能とのことだったため、すぐに依頼し、東京・秋葉原オフィスに持ち込みました。

結果、該当期間のメールデータの復旧に成功しました。実際に退職1ヶ月前に顧客情報をやり取りしていたメールも検出し、証拠として扱うことが出来ました。

デジタルフォレンジックでメール復元出来た理由

通常、「データ復旧」というのは、表面上では消されてしまったものを、ディスク上に残されている痕跡から解析し、再度結合することによってファイル単位(エクセルファイル、画像ファイル等)でデータを取り出す作業です。

Outlookのメールデータというのは、メール1通1通が1ファイルずつ保存されるのではなく、全てのメールが1つの「pstファイル」として保存されます。

つまり、通常のデータ復旧作業では「pstファイル」が丸ごと消された場合であれば復旧が出来る可能性がありますが、「pstファイル」に内包されているメールはファイル単位よりも小単位になるため、対応していません。

MELSICでは更に細かい「pstファイル」内の痕跡から解析が可能であり、1通1通のメール単位でも復元をすることが出来ます。
※一般的なメールソフトの復旧難易度は以下の通りとなります。

他社で出来ないと言われたメール復元も、弊社のメール復元サービス「MELSIC」では復旧できる可能性があります。

消去メールの復元でお困りの方は、まずご相談ください。

また、弊社のデジタルフォレンジックサービスについてご紹介しますので、
ご興味のある方は是非御覧ください。

デジタルフォレンジックの主なサービス

証拠保全

インシデントが発生した場合、解析対象のパソコンなどからデータを保全致します。

証拠保全はインシデント発生時の状態を正確に記録することが大切です。

特に必要となるのが、エクセル、ワード、PDFなどのデータ、送受信されたメールデータ、起動・接続ログなど改ざんされる前に保全することが重要となります。

「HDD・SSDクローン(複製)」

概要 HDD・SSDのクローン (複製)
 サービス内容 ・データ保全
・内部監査のためパソコンのデータを保管
・裁判に提出する証拠としてデータを確保
・工作機械、測定装置のHDDのバックアップ
・SSD換装

データ解析

保全されたデータの多くは暗号化、パスワードロック、データが削除されていることがあります。

その場合、データの解析が必要となり、データ復元、パスワード解析などを行います。

取得したデータを徹底的に解析します。

「削除データの復元」

概要 退職者が証拠隠滅でデータを削除
復元可能データ 作成されたファイルデータ (Excel Word PDF PowerPoint 画像 写真 動画 音楽 音声 ZIP Photoshop Illustrator) など
メールデータ Microsoft Outlook Windows Liveメール Thunderbird Macのメール Gmail Yahoo!メール など

「ログ、WEBサイト閲覧履歴調査」

概要 情報漏洩の痕跡調査
復元可能履歴 ・ログ履歴
・PCの起動履歴
・WEBサイト閲覧履歴(Google Chrome Internet Explorer Firefox Microsoft Edge Safari)・隠蔽・捏造ファイルの調査
・外付けHDD、USBメモリなどの接続履歴
・ソフトウェア使用履歴調査

「パスワード解析」

概要 パスワードの解析調査
対応可能な
パスワード
・パソコンのログインパスワード
・Excel Word PDF PowerPointなどのファイルのパスワード
・iTunesのパスワード
・Apple関連、Microsoft関連のデータのパスワード

調査報告書

データ解析で取得した結果をもとに調査報告書を作成いたします。
主な調査報告書の内容は以下となります。

概要  調査報告書
主な内容 ・調査機器情報:型番 シリアル ハッシュ値
・調査方法:データ保全 使用機器・ソフトウェア情報
・調査結果:抽出したデータ内容 抽出したデータのキャプチャ

調査機器情報から調査結果まで詳細に記入するため、
作成された報告書は法廷などでも証拠能力をもつ文書となります。

是非、メール復元などのデジタルフォレンジックでお困りの際は
弊社のMELSICまでお問い合わせください。



-データ復旧, デジタルフォレンジック, セキュリティ対策, メール復元, メール削除
-, , ,

執筆者:

関連記事

Outlookメールの整理術!フォルダ作成、メール仕分けの設定方法

受信するすべてのメールをそのまま並べておく人はいませんか。見ると大事なメールと社内ニュース、メルマガなどが混在しています。 もしお客様からのメールが画面の下に隠れていたら、見落としてしまい納期遅延やク …

SSDを搭載したパソコンのメールが消えた!どうすれば復元できる!?

HDDに代わり、パソコンの記憶装置としてSSDが搭載されるようになってきました。SSDは、HDD に比べてアクセススピードが速く、消費電力も少ないので人気です。しかし、データが消失した際、HDDと同じ …

フォレンジック調査に役立つメールバックアップ方法

パソコンの中にあるデータの中でメールは重要なデータのひとつです。パソコンが、故障してしまった場合にも、メールをバックアップしておけばデータはその時点に元に戻すことができます。 万が一のことも想定して、 …

消えたデータが復旧できる仕組み

Contents1 誤ってデータを消してしまった2 ごみ箱からもデータを削除してしまった場合3 ごみ箱を経由せずに直接データを削除してしまう場合4 データ復旧が難しくなる場合5 データが消えたことに気 …

メールを消してしまった!復旧はできる?

ビジネスでもプライベートでも、当たり前のように使っているメール。 サービスの申込書等にも、住所や電話番号と同じように、メールアドレスを記載する欄があるほど、身近なものになっています。&nbs …