１．事件の概要と調査

「退職した元従業員M氏が、転職先で当社の顧客情報を流用している疑いがある」という当時M氏の部下であった社員からの内部告発情報があった。
その社員によると、当時M氏から、所属部署の顧客情報と価格情報をリストにまとめてほしいという指示があり、そのリストを作成しM氏へメールで送付したことがあったという。
その半年後にM氏は退職し、競合でもあるA社へ転職した。その後既存のクライアントから契約延長せずにM氏の転職先であるA社との契約に切り替えるというケースが相次いで発生した。
社員はM氏が作成を指示した顧客情報と価格情報のリストを退職時に持ち出して転職先で流用しているのではないかと疑いを持ち、フォレンジック調査を行うことにした。

２．調査対象の端末・サーバ

M氏が退職前にリストを持ち出していた疑いを立証するために、当時M氏が使用していた会社貸与PCとスマートフォン、また会社メールをフォレンジック調査対象とした。
会社貸与PCとスマートフォンについては、会社の規則により退職前にデータ保全をすることとなっていたため、当時保全していたデータを会社から提供してもらい、下記の解析を行った。またメールデータについても、会社メールサーバからM氏のメールデータを抽出し提供してもらった。

• インターネット閲覧履歴

  OneDriveやGoogleドライブなど、会社業務で利用することのないクラウドサービスへアクセスした形跡がないか、またYahooメールやGメールなどのフリーメールを利用した形跡がないかの調査

• USB接続履歴

  私物USBメモリを接続し、業務データを持ち出した形跡がないかの調査

• PC及びスマートフォンでのメール・メッセージの調査

３．デジタル・フォレンジック調査で特定された証拠

フォレンジック調査の結果、M氏が部下からリストの提供を受けた直後に、頻繁にGoogleドライブへアクセスしている履歴が抽出された。通常業務においてGoogleドライブを利用することは全くないので、M氏が私用のGoogleドライブへアクセスしている可能性があった。USB接続履歴からは、私物USBメモリの接続履歴といった疑わしい結果は抽出されなかった。
またスマートフォンのSMSから、転職先となるA社従業員とのやり取りや、既存クライアントとのやり取りが複数抽出され、その中にはM氏が転職後に契約を切り替えてほしいということをほのめかすようなメッセージが見つかった。
これらのフォレンジック調査によって獲得できた証拠により、顧客情報が不正に持ち出され流用されている可能性が高いと判断し、元従業員M氏と転職先であるA社に対してさらなる追及を行うこととなった。