削除メールの復元に強い。消されたメールの痕跡に残る証拠の調べ方

削除メールの復元

情報漏えいの主要な手段のひとつがメールによる送信です。送信されたメールはご存じのとおり送信済みアイテムに保管されますが、証拠隠滅のために削除されることもよくあります。また、メーラーにはMS Outlook(.pst, .ost), Gmail, Yahoo!メール, Windows Live メール, Thunderbird, Becky!などさまざまな種類があります。

いざ調べてみると1台のパソコンから複数のメールソフトが検出されることもあり、MS Outlookのpstファイルが見つかったからといって、解析の手を止めるわけにはいきません。他のメールクライアントが使用されていることもあるからです。メールデータには重要な証拠が潜んでいることが多く、それでいて削除されたメールの復元は専門家でも困難を伴うこともあるため、注意深く痕跡を解析しながら調査に取り組む必要があります。

消えたメールの復元で痕跡から証拠

メールのメッセージには社内の不正調査においても非常に役立つ情報が含まれています。理由は、メッセージ内容や添付ファイルの他に、送受信の日時、関係者名(人名、所属会社名、電話番号、住所、連絡先、メールアドレス)が含まれているからです。

メールの調査を行うと、関係者同士の人間関係や不正行為の指示体系などがよくわかります。また、いつその指示が出されたのかも明らかになります。例えば犯人だと疑っていた人物が実は違って、真犯人が別にいたことが判明したこともあります。

また、情報漏えいやデータ持ち出しなどの調査においては、いつ、誰に、何を送信したのかを解明することができます。メールは社内と社外をつなぐための経路の役割を果たしますが、メールは削除が簡単にできてしまうため、証拠隠滅がしやすいという特徴もあります。

とある詐欺事件の調査では、エクセルファイルの解析が解明のキーだったことがあります。被害者に対して送信されたエクセルファイルには、投資事業の利益予想が計算されていました。削除されたメールが復元されたことにより、誰が被害者宛に送信したファイルであったかが明らかになりました。※この事件は刑事事件も関係していました。

復元されたメールが裁判の資料で使えるのかを尋ねられることがありますが、答えは〇です。そのためには、捏造や改ざんが加えられずに復元されたデータであることもあわせて証明する必要があります。

無料相談はこちら

削除メールの復元で分かること

不正行為の指示内容

情報漏えいの内容

関係する人物の名前、会社名、連絡先

添付ファイルとして持ち出されたデータの詳細

メール送受信日時、発信元アドレス、送信先アドレス

削除メールの解析方法は、メールファイル形式応じて異なる

01.

削除済みメールファイルの復元(MS Outlook)

MS Outlookで使用される.pstファイルを例にご説明します。PSTファイルが削除されている状況では、そのPSTファイルを復元することによってファイル内部にあるメッセージ本文や添付ファイルの中身を確認することができるようになります。トレイの構造はそのまま復元され、件名や日付なども元通りになりますので、不正の証拠を含むメールを探す際にも普段通りのMS Outlookの使い方と同じでOKです。

但し、どんなファイルでも正常に復元できるとは限りません。痕跡データの残存状況次第だからです。なので万全を期すためには、データ復旧ソフト使用はしない方が安心です。

データ復旧ソフトの誤った使い方により、メールの復元を不可能にしてしまった事例はこれまで何度もありました。確実に証拠を確保したいときは専門家への相談をご検討ください。

OutlookのPSTファイルが復元できると、メール調査は各段に進む

データ復旧ソフトは要注意。専門家に相談を。

02.

消されたメールファイルの復元(Windows Live Mail)

Windows Live メールは、ユーザ数はMS Outlookには及びませんがWindows7がメジャーだった頃には、主要なメールクライアントのひとつでした。このWindows Live Mailのメールファイルは、1通のメッセージにつき1ファイルで管理されるという特徴があります。

MS Outlookの場合にはアカウント事に受信メールや送信済みメールが全て1つのファイルに集約されるのに対し、Windows Live Mailでは1つのメールにつき1つのファイルが作成される仕組みです。そのためメールが削除されている場合には、1通単位でのメール復元が可能になります。この点においては、MS OutlookのPSTファイルほどのファイル復元の完成率は求められていないといえます。

それでも、メールの痕跡が残存する領域に、他のデータが記録されてしまうと、そこにあったメッセージの痕跡は復元不可能になりますので、事案発覚後の初動対応には充分な注意が必要です。

Windows Live Mailのメールは1通につき1ファイル

削除メッセージの復元も、1メールにつき1ファイル

03.

削除済みメッセージの復元(MS Outlookタイプ、複数メール1ファイル方式)

削除済みメッセージの復元方法は、ファイルタイプにより主に2つの方法に分けられます。まずここでは、MS OutlookのPSTファイルのように複数のメールが1つのファイルに集約されて管理されている場合の方法です。

削除済みアイテムから消去されたメールは、痕跡の残存状態が良い場合には、アプリケーション上では見えなくても、実は痕跡データがファイル内に残存していることがあります。このような場合には適切にファイルを分析することによって、消されたメッセージを復元することができます。

つまり、MS Outlookのように複数メールが1ファイルに集約されるタイプでは、削除済みファイルを復元しても、消されたメールは復元されませんが、ファイルの内部には消されたメールの痕跡が残存していることがあるので、専門の解析処理によって復元できることがあります。

削除済みメールの残像がファイル内部に残ることがある

消されたメールを復元できる可能性もある

04.

消されたメールの復元(1通1ファイル方式)

次に、1通1ファイル方式のメールの場合について。MS OutlookのPSTファイルとは異なり、ひとつのメールが1つのファイルとして管理されますので、削除されたメールは、それ単体でファイルとして存在する、もしくは過去に存在していたことになります。

ですので消されたメールを復元するときには、各メールをファイルとして復元すればよいことになります。

MS OutlookのPSTのようにファイルの内部データを解析する必要はありません。

削除されたメールは、ファイルとして復元できる可能性がある

ファイルの内部に消されたメールデータが残存することはない

削除メールの復元と証拠探しは、
経験豊富な当研究所が日本全国対応。

無料相談はこちら

公的機関も認めた技術

Patent-Certificate
特許取得

ハードディスクドライブ(HDD)の制御構造とデータ復旧に関する特許2件を取得(特許第6398023号&特許第6108950号)

IDF-Research-Development-Award
IDF 研究開発賞 受賞

2018年にデジタルフォレンジック研究会から研究開発賞を受賞。※同年は警視庁 解析チーム(DFT)が社会的貢献賞を受賞

law-enforcement-support
捜査機関の支援実績

警察、検察庁、国税庁等の法執行機関からの依頼により、殺人事件、死体遺棄、詐欺など様々な事件の証拠データを解析

第三者機関による評価実績と信頼

世界最高レベルの技術が要求され、厳正な審査や査読をクリアしなければこれらの実績と信頼は得られない。

international-security-conference
国際会議での技術講演

世界トップクラスの専門家による情報セキュリティ会議「CODE BLUE」や、米国ハイテク犯罪捜査協会「HTCIAカンファレンス」での講演

マスコミ掲載実績

テレビ、ラジオ、新聞、専門誌、WEBなど様々な媒体への掲載及び出演実績があります。

NHKテレビ クローズアップ現代プラス
「消えたデータがよみがえる!?デジタルフォレンジックの光と影」”データ復旧の達人”

読売新聞
”サイバー犯罪捜査に欠かせない科学捜査、デジタルフォレンジックの世界では有名な技術者”

毎日新聞
”警察や国税局からの依頼も舞い込む”、”業界では達人と呼ばれ”

読売新聞
「データ消しても悪事は残る、デジタル・フォレンジックの裏側」

毎日新聞
「消された証拠を追え!捜査に威力 デジタル鑑識」

当研究所のデジタルフォレンジック調査は消されたメールの復元もできます。

無料相談はこちら
お客さまの声

”この度は弊社の依頼に迅速に対応いただき、また途中経過も要所ごとにご報告いただきありがとうございました。

限られた時間の中で弁護士とも協調して解決にあたらないといけない中、貴社の迅速な対応と経過報告、そして専門的なところの解説レポートまで作成いただいた点はとても助かりました。担当としてあらためてお礼申しあげます。”

京都府 法人様

インターネットで、最初に検索がかかっただけですが、作業をお願いして正解だったと思います。

調査をしていただいてる間、待合の資料を拝見する中で、確かな技術力をお持ちの会社だと感心しました。

医療法人様

正直、御社へ行くまでは疑心暗鬼でしたが、社長様の御説明をお聞きして、お任せできると確信しました。実際に作業してもらった結果から、やはり御説明内容はその通りだったのだと改めて実感しました。

また何かありましたら、よろしくお願い致します。

ソフトウェア開発 法人様

FAQ

こちらに記載のないご質問やご相談も承っております。フリーダイヤルやメール等にてどうぞお気軽にお問い合わせください。

FAQ-inquiry
アイフォレンセ日本データ復旧研究所(株)とは
デジタルフォレンジック解析ラボ

1998年創業。デジタルフォレンジック調査とデータ復旧の専門企業。

解析技術の高さが評価され、デジタル・フォレンジック研究会での講演や捜査機関に講師として招かれての講義実績も豊富。

主な業務は法人向けの不正調査(社員や退職者によるデータ持ち出し、情報漏えい、損害賠償、未払い残業代請求時の職務専念義務違反など)とデータベースやオフィスファイル等のデータ復旧。

これまでの訴訟支援の経験と実績から、裁判で勝つための解析ポイントを知る調査会社として様々な相談や依頼を受けている。2018年に法人名を大阪データ復旧(株)から変更し現在に至る。

Scroll to Top