近年、USBを利用して会社の情報を持ち出す事件が多く発生しています。この場合、会社はUSBの接続履歴から、情報の持ち出しの有無を確認しておくことが重要です。

ログにはUSB接続履歴のほか、ファイルの編集、ダウンロード、閲覧履歴などさまざまな操作が記録されています。これにより、社内の情報持ち出しやさまざまなトラブルを発見することができます。

情報持ち出しやウイルス感染によって個人情報が流出した場合、組織には報告と通知が義務付けられています。放置すると多額の罰金が請求される可能性があります。

この記事では、USB接続履歴の確認方法からUSBを使用した情報持ち出しの事例、情報が流出した場合の対処法について解説しています。

　＼法人様　最短30分でお打合せ可能です／

ログからUSB接続の履歴を確認できる

USBの接続履歴はパソコン内部にログとして記録されているため、ツールなどを用いて確認することができます。USB接続の履歴の確認は、セキュリティやトラブルシューティングの観点から重要です。

• ログとは
• ログの保存を有効にしている場合に確認できる

ログとは

「ログ」とは、パソコンの操作履歴やファイルの操作に関する記録のことです。具体的には、閲覧履歴や起動時間の記録、ファイルの削除・ダウンロード履歴などが含まれます。これらの記録は、問題のトラブルシューティングやシステムのモニタリング、セキュリティ監視、アクティビティの追跡などの目的で使用されます。

ログ監視専用ツールを使用することで、これらの情報をより詳細に収集できます。多くの企業では、ログの監視ツールを通じて作業内容の確認や労務管理、セキュリティ対策を行っています。

ログの保存を有効にしている場合に確認できる

事前に設定からログの保存を有効にしている場合、USBの接続履歴をログから確認することができます。

ただし、Windowsの初期設定ではログの保存は無効になっており、設定からログの保存を有効にする必要があります。ログの保存が無効の場合、自力でUSB接続の履歴を確認することはできません。この場合は、ログの解析業者に相談して調査してもらう必要があります。

デジタルデータフォレンジックでは、デジタル機器のログを解析して、インシデント調査を行います。ログの保存が無効の場合でも、デジタル機器を詳細まで解析することで、USBメモリの接続履歴を調査できる可能性がありますので、お気軽にご相談ください。

ログの保存を有効にする手順

下記の手順でログの保存が有効になっているか確認してください。ログの保存を有効にする前のログは記録されていないため、別の対処法を検討しましょう。

1. イベントビューアーを開く
2. アプリケーションとサービスログから以下の順番に進む
3. Microsoft→Windows→DriverFrameworks-UserMode→Operational
4. Operationalまで進んだら、右側にある「ログの有効化」をクリック

既に右側が「ログの無効化」だった場合、事前に有効になっており、保存ができている状態です。

ログを長期保存にする設定方法

イベントビューアーの初期設定では、ログの最大サイズが決まっており、保存量が最大になると古いログから削除されていきます。長期間のログを保存したい場合は、以下の設定も併せて行うようにしましょう。

1. イベントビューアーを開く
2. アプリケーションとサービスログ→Microsoft→Windows→DriverFrameworks-UserModeを順に開く
3. DriverFrameworks-UserMode内のOperationalを右クリックし「プロパティ」をクリック
4. 最大ログサイズ(KB)と、ログが最大ログサイズに達した時の挙動を選択して「OK」をクリック

ログからUSBの接続履歴を確認する方法

以下は、実際にUSBメモリを差し込んだ時に作成されたログです。

上段がUSBを接続したときのログ、下段がUSBを取り外したときのログになります。USBストレージデバイスの接続はイベントID1004、USBデバイスの取り外しはイベントID1008のログになります。

USB接続の履歴を確認して分かること

USBの接続履歴を確認することで、社内不正の有無やウイルス感染の原因を発見できる可能性があります。

• 社内不正(退職者の情報持ち出し)
• ウイルスに感染した原因

社内不正(退職者の情報持ち出し)

不審なUSBが接続された履歴がある場合、退職者が社内の情報を持ち出している可能性があります。持ち出される社内の情報としては、以下が考えられます。

• 社内の機密情報
• 営業秘密
• 顧客や取引先の情報
• 財務情報

顧客の個人情報が流出した可能性がある場合、組織は個人情報保護委員会と本人への通知が義務づけられています。違反した場合、最大1億円の罰金が科されるため、管理には十分な注意が必要になります。

万が一、個人情報が流出している場合は、流出経路と被害データを正確に特定する必要があります。専門的なノウハウが無い中での調査はほとんど不可能なため、調査会社に相談するようにしましょう。

ウイルスに感染した原因

ウイルスに感染しているUSBをパソコンに接続すると、その端末にウイルスが侵入し、感染します。

第三者が端末にアクセスできるウイルスが侵入した場合、勝手に操作が加わったり、情報が抜き取られるリスクがあります。この場合、被害の深刻化を防ぐために、調査会社に依頼して被害データの調査を行い、再発防止策を講じる必要があります。

パソコンの動作が遅い、ファイルやフォルダが開けないなど、ウイルスの感染が疑われる場合は、USBからの感染の可能性も視野に入れてログを確認し、必要な場合は調査会社に相談しましょう。

　＼法人様　最短30分でお打合せ可能です／

会社の情報持ち出しでよくある方法

会社の情報が持ち出された場合に、よくある手段として以下の方法が挙げられます。

• メールやLINEで情報を持ち出す手法
• クラウドストレージサービスを利用する手法
• スマホで撮影して情報を持ち出す手法

メールやLINEで情報を持ち出す手法

メールやLINEなどのメッセージプラットフォームを悪用して、企業の機密情報が外部に漏洩する事例があります。メールからの情報持ち出しは、調査を実行しようとしても既に削除されているケースが多く、自力で証拠を確保することは難しいです。

削除したメールデータはパソコン内部的に保存されている可能性があります。デジタルデータフォレンジックでは、削除したメールを復元して証拠を収集できる可能性があります。困ったときはお気軽にご相談ください。

0120-900-952

クラウドストレージサービスを利用する手法

近年、悪意ある者がクラウドストレージサービスを利用して機密情報を持ち出す手法が増加しています。

クラウドストレージでデータが保存されているのは、デジタル機器内部ではありません。フォレンジック調査でデータの状況を調査するのではなく、サービス内のセキュリティを強化する必要があります。

スマホで撮影して情報を持ち出す手法

社内で私用スマホの利用が許可されている場合、スマホで撮影した写真・動画データが流出する可能性が高いです。対策として、まず私用のスマホの社内持ち込みを禁止することをおすすめします。

企業の情報が持ち出された場合、証拠を裏付けることで損害賠償を請求できる可能性があります。しかし、データ持ち出しの証拠を個人で確保するのは難しい現状があります。

デジタルデータフォレンジックでは、詳細に調査したのちに、各所への報告や裁判利用で使用できる調査レポートを作成することが可能です。官公庁や上場企業、捜査機関様からの相談件数も豊富ですので、お気軽にご相談ください。

　＼官公庁や上場企業、捜査機関　対応実績対数／

専用ソフトを利用して、USB接続の履歴をログから確認する

多くの企業では、イベントビューアーなどの一般的なツールではなく、専用ソフトウェアを導入してログを監視しています。ログの監視ツールはWEB上からのダウンロードた、セキュリティ会社との連携で導入することが可能です。

しかし、専用ソフトのみでは記録の量も多く、個人での調査に時間がかかるうえに見落としも多く、情報持ち出しやウイルス感染の全容を掴むことができません。また、被害データの特定や正確性が担保された証拠の確保も、専用ソフトからではほとんど不可能です。

社内の情報が持ち出された、ウイルスに感染したなどの場合は、専用ソフトからの確認で済ませずに、フォレンジック調査ができる調査会社に相談し、証拠を確保するようにしましょう。

USB接続の履歴を確認したい場合はフォレンジック調査に依頼する

＼累計2.4万件の相談実績　まずはご相談ください／

多くのお客様にご利用いただいております

 

対応機種

0120-900-952

この記事を書いた人

デジタルデータフォレンジック
エンジニア

累計ご相談件数32,377件以上のフォレンジックサービス「デジタルデータフォレンジック」にて、サイバー攻撃や社内不正行為などインシデント調査・解析作業を行う専門チーム。その技術力は各方面でも高く評価されており、在京キー局による取材実績や、警察表彰実績も多数。

認証取得情報

• 経済産業省策定の情報セキュリティサービス基準審査登録制度認定（サービス登録番号：022-0007-30）
• デジタル・フォレンジック研究会所属
• 日本ネットワークセキュリティ協会加入
• ISO27001、Pマーク取得

0120-900-952