郵便不正事件に絡んで、証拠物件のフロッピーディスクの内容を検事が改ざんしたとの報道が出ています。捜査資料や監査証拠としてディジタルデータは、紙の文書とは異なる取り扱いが求められますが、それを案外知らない人が多いと思います。こういうのをディジタルフォレンジックと言うわけですが。

　犯罪や不正の証拠としてパソコンを押さえた場合、パソコンを起動して中身を調査してはなりません。OSが起動しただけでも、作業ファイルや一時ファイルの内容が書き換わるので、データ自体やデータ削除痕が消失するおそれがあります。ファイルを開いて中身を見れば、さらに多数の一時ファイルが生成・削除されます。データが消えなかったとしても、不適切な方法での調査は証拠能力を疑わせることになります。

　そこでハードディスクだけ取り出して、物理コピー装置を用いて、ビット単位で(ファイルの削除痕なども含めて丸ごと)コピーを取り、コピーを使って専用のツールで解析します。原本のディスクには決して手を付けてはなりません。

　以前、株式会社UBICというディジタルフォレンジックの専門会社でセミナーを受講したことがあります。ハードディスクを解析すると、これでもかというくらい、その人の操作内容が白日の下に晒されます。Webメールで仕事中に外部と連絡すればばれないと思っていても、痕跡が残っています。アプリケーションが作成するテンポラリファイルや、OSが仮想記憶で使用するスワップファイルなどは、操作履歴の宝庫です。WordやExcelのファイルにパスワードをかけていても、簡単にパスワードを破って中身を解析することもできます。

　社員が退社したら、即座にハードディスクを初期化するのは正しいですか? いやいや、社員の退社後に不正が発覚した場合に証拠物件になりうるので、ハードディスクだけ取り出して退社時の状態で保管しておくことが望ましいですよ。

　ファイルを改ざんしても痕跡が残るので、調べれば発覚するのですが、検事が知らなかったとしたら、あまりにお粗末な話。フロッピー上だけでなく、その操作に使ったパソコンのハードディスク上にも痕跡があるはずです。今回の場合、検事が使っていたパソコンは即座に使用を禁止して、証拠物件として押さえる必要があります。問題の検事が出勤してきて、今日もそのパソコンを使って仕事しているなんてことはないでしょうね??