連続強盗事件の全容解明の大きなカギとなるスマートフォンの解析。
削除されたデータはどこまで復元することができるのか。
全国の警察への捜査協力を行っている、データ解析・調査を専門とする「デジタルデータソリューション」の工藤宏将さんに、スマホ解析の最前線を聞いた。
6~7割が特殊詐欺による相談
ーー具体的にどんな依頼が来る?
お客様の壊れたり、異常が起きたデバイスのデータ復元や、犯罪の証拠となるような不正なやり取りの解析をしています。
警察当局からの依頼は累積で250件ほどで、それがきっかけで解決に至ったケースもあります。直近2~3年が非常に相談が多くなっています。
今多いものだと6~7割が特殊詐欺による相談です。
法人のお客様だと、サイバー攻撃の被害に遭われてしまった際の感染経路とどういった情報が漏れているのかの特定。それ以外には社内の不正で、退職した社員が会社の情報を外部に漏洩してしまったり持ち出したという相談が非常に多いです。
他にも、横領やハラスメント関係で、どういうやり取りをしていたのか端末から証拠を見つけ出して行く作業もあります。
ーースマホなどの端末からはどんな解析ができる?
メッセージのアプリからどういうやりとりをしていたのかという“メッセージ記録”。
どういう人物と電話していたのかという“通話履歴”。
端末でどういったサイトにアクセスして何を調べていたのかという“検索履歴”。
どういった場所に居たのか、またどういった場所を調べていたのかという“位置情報”の履歴などがわかります。
フォレンジック作業、いわゆるデジタル鑑識と言われるもので、かなり細かな作業になります。
削除された内容、名前、電話番号を復元
連続強盗事件では、やりとりを削除できる秘匿性の高いアプリが使われていたとされるが、データの復旧は状況次第で可能だという。
ーー今回の事件で重要なのはどういったこと?
やはりメッセージアプリですね。
犯罪の証拠としてメッセージのやり取りがかなりピンポイントになってくるので、その辺りが重要かなと思っています。
1番大事なのはスピードです。
スマホだったりパソコンの中の証拠が時間が経つことによって容疑者に消されてしまう可能性もあるし、あとはデータが削除されてから時間が経ってしまうと、どんどん新しいデータに更新されていってしまい、データ情報が残っていないケースもあるので、指示役のスマホを1日でも早く解析することが重要だと思っています。
ーー消去されたデータはどのように復元?
まず、内部のデータを抽出します。基本的に削除された際には、スマホなどデバイス上からはデータがないように見えますが、端末の内部には残っている可能性があるので、そこの情報を元に解析していきます。
端末からデータを抽出し、削除された内容を復旧する形になりますが、削除されたメッセージ、消された日付、相手先の名前、アカウントの電話番号が表示されます。
実際にやり取りしたチャットの画面を具現化したものもあり、削除されたデータには×マークが付いています。
5~6年前のデータを復元できたケースもあります。
