証拠保全しにくくなったWindows

世界的に PCの主要OSになっているWindowsはOSのバージョンごとの違いが大きいのも特徴です。それが原因のひとつになっているのでしょうか、企業でも買い換えが進まずにサポート切れギリギリまで使い続けるケースもよく見られます。Microsoftから案内が出たり、サポート切れがメディアでアナウンスされることもある一方で、ソフトウェアとの相性の問題で、サポートの切れたWindows XPを使い続けていたケースも見たことがあります。

証拠保全の現場にあってはWindowsはバージョン毎の差は大きいものの、システムの根幹部分には大きな違いがなく、Windows XPからWindows 7までは同じノウハウで証拠保全できるケースが多くありました。

しかし、Windows 8からシステムの根幹部分にも変更点が比較的多く見られるようになりました。8が短命なOSでしたので、現場ではWindows 8.1もしくは10が使われていますが、それが現場でわかると記録化の方法に少し頭を使わざるを得ません。

Windows 8からはログインの方法がローカルアカウントではなく、Microsoftアカウントでのログインになったのです。一方で、設定すればこれまで通りローカルアカウントでもログイン可能になっています。そのため、アカウントの管理が複雑になり、保全対象者の使用していたアカウントがどれであるかをまず特定する必要があるのです。企業や団体側でアカウントを管理していればともかく、ケースによっては個々人でアカウントを管理していることもあり、証拠保全の現場がより複雑になっています。

OSのバージョンは保全対象のコンピュータの状態がどのようであるか、ということと同じくらい重要な情報です。バージョンが前もってわかればこの証拠は残っている、残っていない、あるいはどのように記録化するか、などある程度検討してから現場に臨めます。もちろん、どのケースにおいても最善を尽くした証拠保全を行いますが、前情報が多いほど現場はスムーズになります。