フォレンジック調査の実際:メール調査③
削除メールの調査
メール調査について、最後は削除されたメールについてです。
前回、Outlook Expressのデータファイルの調査について紹介しましたが、通常、他人に読まれて不都合なメールであれば、ほとんどの場合は削除されているはずです。
メールの削除を分類してみると以下の場合があります。
- ① メールソフト上で単に削除しただけで、メールソフトのごみ箱にファイルが残っている場合
- ② メールソフト上で削除し、メールソフトのごみ箱からも消されている場合
- ③ メールソフト上のデータファイルを削除した場合
それぞれ場合についてもうちょっと詳しく見てみましょう。
①メールソフト上で単に削除しただけで、メールソフトのごみ箱にファイルが残っている場合
OutlookExpressの場合、メールを削除すると、「削除済みアイテム」にメールが移動されます。もちろんこの時点では移動されただけですので、「削除済みアイテム」を見れば、メールが見つかる可能性が高いと言えます。
②メールソフト上で削除し、メールソフトのごみ箱からも消されている場合
Outlook Expressでは①の操作を行った後、「[削除済みアイテム]フォルダを空にする」メニューを実行すると、メールソフト上からは見えなくなってしまいますが、FinalForensicではメールソフト上で削除されたメールも同時にスキャンし、検出された削除メールは、別フォルダ(DeletedFiles)に表示されます。これら削除されたメールも通常のファイルと同じようにフィルタ機能で絞り込むことができます。
③データファイル自体が消された場合
メールソフトはソフト毎に決まった(あるいはユーザが指定した)フォルダにデータファイルを作成していますが、そのファイルを削除された場合、より詳細なスキャンが必要になる場合もあります。しかし、それによりFinalForensicsは削除されたファイルを見つけ、通常のファイルと同様にソートしてくれますので、①,②と同様に「送信済みアイテム.dbx」「削除済みアイテム.,dbx」ファイルなどを調べます。
メール関連ファイルが削除された場合の画面。×印は削除ファイルを意味している。