2021.01.29
- デジタル・フォレンジックス
23.デジタル・フォレンジックスFAQ④
LXの深山です。前回に引き続き現場で寄せられたFAQを解説していきます。
Q7 WordやExcelファイルの編集履歴や印刷履歴をトレース(履歴を遡る、追跡する)することはできるでしょうか?
いつ誰がどのように編集したのか、どの時点のファイルを印刷したのかといった具体的な履歴は、個々の状況でトレースできることもありますが、殆どのケースでは非常に難しいです。なぜならばWordやExcel等は、効率よく事務作業をするために最適化されたソフトであり、編集履歴や印刷履歴などのログを保存することは、処理の負荷を増やすことになり、膨大なデータ量となってしまうので、そのような機能は基本的には必要ではないからです。私のこれまで10年あまりのデジタルフォレンジックス経験の中でも、編集履歴や印刷履歴について相談されたことはありますが、たまたま調査対象の会社が、貸与端末の文書作成や編集に関して監査機能を取り入れており、ログをトレースできるような環境にあった場合以外は、ほぼトレース不能でした。
但し、ファイルのMaster File Tableというメタデータ領域に残る、タイムスタンプ(MACTime、MACB、MACEなどと呼ばれる)によるタイムライン分析は可能です。その場合でも、さまざまな条件でデータが更新されてしまうため注意が必要です。
◆タイムスタンプの事例
通常では、ファイルの新規作成→更新/印刷→保存といった時系列になると考えられますが、下記の例では異なった記録媒体間のファイルコピー作業等により、最終更新日が初期化されてしまい、作成日がコピーを行った日で上書きされてしまい、最終印刷日が作成日よりも前という矛盾も起きています。
PID_EDITTIME: Mon Jan 01 09:01:00 JST 1601(最終更新日)
PID_LASTPRINTED: Fri Jan 16 16:52:00 JST 2015(最終印刷日)
PID_CREATE_DTM: Thu Mar 29 14:57:00 JST 2018(作成日)
PID_LASTSAVE_DTM: Thu Mar 29 16:30:00 JST 2018(最終保存日)
これは、ファイルが最初に作成された記録媒体から別の媒体にコピーされた場合に起きるケースが多く、新たな媒体に初めて記録された日時=作成日となってしまい、それ以前の印刷日付だけが残っている場合に逆転現象が起こってしまうのです。
上記の様な更新条件は、OSの種類やバージョン、記録メディアのフォーマット形式(WindowsのNTFSやFAT32等、MacのAPFS等)によって違いがある場合もありますが、Windows7/10環境における更新条件をお調べになりたい方は下記サイトをご参照ください。
(参考:NTFS Timestamps / DisableLastAccess & 2 (System Managed, Disabled))
このように、デジタル・フォレンジックスの解析に関わる専門家には、通常とは異なる現象が起きている場合にも、このような基礎情報を整理し蓄えておくことにより、論理的に分析する能力が求められます。
次回以降も、引き続きFAQの解説を進めていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
リスクマネジメントに関連するサービス
よく読まれている記事
サービスカテゴリー
- デジタル・フォレンジックス
LXの深山です。前回に引き続き現場で寄せられたFAQを解説していきます。
Q7 WordやExcelファイルの編集履歴や印刷履歴をトレース(履歴を遡る、追跡する)することはできるでしょうか?
いつ誰がどのように編集したのか、どの時点のファイルを印刷したのかといった具体的な履歴は、個々の状況でトレースできることもありますが、殆どのケースでは非常に難しいです。なぜならばWordやExcel等は、効率よく事務作業をするために最適化されたソフトであり、編集履歴や印刷履歴などのログを保存することは、処理の負荷を増やすことになり、膨大なデータ量となってしまうので、そのような機能は基本的には必要ではないからです。私のこれまで10年あまりのデジタルフォレンジックス経験の中でも、編集履歴や印刷履歴について相談されたことはありますが、たまたま調査対象の会社が、貸与端末の文書作成や編集に関して監査機能を取り入れており、ログをトレースできるような環境にあった場合以外は、ほぼトレース不能でした。
但し、ファイルのMaster File Tableというメタデータ領域に残る、タイムスタンプ(MACTime、MACB、MACEなどと呼ばれる)によるタイムライン分析は可能です。その場合でも、さまざまな条件でデータが更新されてしまうため注意が必要です。
◆タイムスタンプの事例
通常では、ファイルの新規作成→更新/印刷→保存といった時系列になると考えられますが、下記の例では異なった記録媒体間のファイルコピー作業等により、最終更新日が初期化されてしまい、作成日がコピーを行った日で上書きされてしまい、最終印刷日が作成日よりも前という矛盾も起きています。
PID_EDITTIME: Mon Jan 01 09:01:00 JST 1601(最終更新日)
PID_LASTPRINTED: Fri Jan 16 16:52:00 JST 2015(最終印刷日)
PID_CREATE_DTM: Thu Mar 29 14:57:00 JST 2018(作成日)
PID_LASTSAVE_DTM: Thu Mar 29 16:30:00 JST 2018(最終保存日)
これは、ファイルが最初に作成された記録媒体から別の媒体にコピーされた場合に起きるケースが多く、新たな媒体に初めて記録された日時=作成日となってしまい、それ以前の印刷日付だけが残っている場合に逆転現象が起こってしまうのです。
上記の様な更新条件は、OSの種類やバージョン、記録メディアのフォーマット形式(WindowsのNTFSやFAT32等、MacのAPFS等)によって違いがある場合もありますが、Windows7/10環境における更新条件をお調べになりたい方は下記サイトをご参照ください。
(参考:NTFS Timestamps / DisableLastAccess & 2 (System Managed, Disabled))
このように、デジタル・フォレンジックスの解析に関わる専門家には、通常とは異なる現象が起きている場合にも、このような基礎情報を整理し蓄えておくことにより、論理的に分析する能力が求められます。
次回以降も、引き続きFAQの解説を進めていきたいと思います。
本記事の監修者
顧問 公認不正検査士 経営修士(MBA)・DCM修士 / Office Miyama代表
深山 治OSAMU MIYAMA
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
- 専門分野
- 会計・財務アドバイザリー, デジタル・フォレンジックス
