調査内容
麻薬売買においては携帯・スマホでのメール、LINE、SMS等が使用される場合が多く、ある事件の場合、削除から復元されたSMSデータは1000件を超えました。
該当するスマホには被疑者のプライベートな情報がほとんどないことなどから、売買専用に使用されていたと推定されます。このような場合、被疑者のスマホに対し直ちにフォレンジック調査を行い、購入者とのやり取りを証拠として確保しなければなりません。
結果
削除されたSMSデータを復元し、通話履歴と同じ番号であることを分析結果から報告。鑑定書およびUSBメモリ(保全データおよび閲覧データを記録したもの)を提出しました。
直ちにスマホの使用を中止することが不可欠
フォレンジック調査によって証拠を確保する場合には、まずデータを保全を行う必要があります。「保全」とは、調査対象のオリジナルデータと(完全に)同一内容のデータを複製することを言います。フォレンジック調査では、複製したデータを解析することでデータの書き換えを防ぎます。仮に誤ってデータの書き換えが生じた場合、書き換えられたデータが証拠となってしまうため、証拠価値が大きく損なわれてしまいます。
SMSおよび通話履歴などの復元調査について
被疑者のスマホにフォレンジック調査を行い、削除されたSMSを復元、通話履歴とSMSの番号の照合などを実施。被疑者はSMSを使い、購入者より注文を取っていた実態や、覚せい剤・大麻取引に関する隠語の使用、削除件数から恒常的取引であった可能性や、SMSの番号が削除された通話履歴番号と合致していることから、取引内容は電話で調整した可能性を指摘しました。
削除された通話履歴(*画像は復元画面のサンプルです)
