コンピューターエビデンスとは?
コンピューターの証拠とは、コンピューターのハードドライブから収集され、犯罪捜査のプロセスで利用されるデータです。 ハードドライブに保存されたデータは比較的簡単に破損するため、フォレンジックの専門家は、調査プロセスの一部として押収されたコンピューターを安全に保護するために多大な努力を払っています。 データの抽出は、高度に制御された環境で行われる必要があり、そのプロセスで特別に訓練された法執行機関の専門家によって達成される必要があります。
コンピュータが犯罪現場で発見されるたびに収集されることは珍しいことではありません。 たとえば、個人が自宅で殺害された場合、現場で見つかったラップトップまたはデスクトップコンピューターは没収される可能性が高くなります。 同様に、個人が何らかのタイプの詐欺または横領の疑いで逮捕された場合、その個人および職場のコンピューターは専門家による分析のために収集される可能性があります。
コンピュータの証拠を探すプロセスは、ハードドライブで見つかったすべてのファイルの徹底的なレビューから始まります。 これを達成するために、ハードドライブは、すぐには明らかにならないかもしれない隠しファイルまたはセキュリティで保護されたファイルを注意深く選別します。 ハードドライブはパブリックディレクトリから削除されたファイルのコピーを保存するため、フォレンジック調査に関与する専門家は、削除されたファイルを見つけて抽出しようとします。 罪悪感を確認できるデータが含まれる可能性があるため、または逮捕された個人が犯罪の委員会に関与していないという証拠を提供する可能性があるため、これは重要です。
さまざまな種類のファイルから、犯罪の解決に役立つコンピューター証拠が得られる場合があります。 視覚的な画像、電子メール、スプレッドシート、およびその他の一般的な種類のファイルを暗号化して、ハードドライブのさまざまなキャッシュに隠すことができます。 専門家は、これらの隠されたキャッシュを見つけ、それらにアクセスし、それらのキャッシュの内容を表示する方法を知っています。 多くのオペレーティングシステムは、ファイルが削除された場合でもこの機能を自動的に実行し、非表示のキャッシュに配置されるコピーを作成します。 これは、犯罪者がハードドライブから犯罪の証拠を抹消する措置を講じた場合でも、これらの隠されたキャッシュの1つ以上が見落とされ、法執行機関によって抽出される可能性が高いことを意味します。
コンピュータ証拠の収集は、通常は特定の手順で実施される高度なスキルを持つタスクです。 コンピュータが没収されると、安全なサイトに移送されます。 可能性のある証拠のためにシステムがマイニングされている間、限られた数の許可された個人のみがシステムにアクセスできます。 マイニングと抽出はこのような厳しい条件下で行われるため、ハードドライブを改ざんすることは事実上不可能です。 これにより、収集された証拠を継続的な調査に役立てることができます。
裁判所でのコンピューター証拠の使用は、近年ますます受け入れられています。 過去数年の証拠の改ざんまたは損傷に関する懸念から、特定のケースでコンピュータから収集できる証拠の量に制限が生じる場合がありました。 ただし、法執行機関がハードドライブを汚染の可能性から保護するための方法を強化したため、世界中のより多くの法制度が、法廷で完全に容認できるコンピューター証拠を見ています。