大変でしたね。心中お察しします。

管理の専門家ではないので、もしかしたら使えるかも、という程度の情報です。

もし有用な情報であれば、nsfのパス、ビューなど、詳細情報を追記しますので、お知らせください。

 

＜ローカル_log.nsf＞

そのクライアントでどのIDを利用してログインしたかがわかる。

ただし、ログ残存が一週間程度なので、調査するのであれば、なるべく早く。

 

＜サーバー_names.nsf＞

ユーザ文書の「管理情報」タブ最下部にそのユーザで利用したマシンが表示される。

10件までのようで、11台以上利用していると、どれが優先的に表示されているかは不明。

 

以上、取り急ぎ。

また思い出したら追記します。

追加情報です。

 

＜サーバー_log.nsf＞

あるユーザが、一セッション内で、どのDBにアクセスしたかのログがわかる。

状況判断にしかなりませんが、もしかしたら、傾向がつかめるかも。

業務上必要そうなユーザ以外のメールDBへのアクセスが多いとか？？

 

いずれも決定打にはならないかもしれません。。。

dyateam 様

さっそくのご回答、本当にありがとうございます。

ただ、私自身がシステム用語について本当に無知で、回答の意味が良く理解出来ないので、誠に申し訳ございませんが、再度、質問させてください。

 

＜ローカル_log.nsf＞

そのクライアントでどのIDを利用してログインしたかがわかる。

 

という回答の中の「クライアント」とは会社でシステムを利用している各従業員の事でしょうか？

また、各クライアントのローカル_log.nsfというものを調べれば、各従業員（または各端末）がどのIDでログインしたかがわかる。ということでしょうか？

あまりに無知で、基本的な質問で申し訳ございません。どうぞよろしくお願い致します。

（補足）

メールの不正閲覧されたのは、分かっている範囲で２０１４年５月～２０１５年１２月上旬です。

メールの不正削除がされたのは、２０１５年１１月末～１２月上旬です。

メールの不正閲覧・削除が発覚してから、該当者はパスワードを変更し、また新たな被害のないよう、メール送受信の対象を変更した為、２０１５年１２月以降にメールの内容そのものを悪用している様子はありません。（※ただし、他の行為での犯罪行為は続いています。）

cococo様

日付を伺う限り、ローカル(パソコン内)のlog.nsfにはすでにログが残っていないかと思いますが、

今後の参考までの情報になります。

 

>＜ローカル_log.nsf＞

>そのクライアントでどのIDを利用してログインしたかがわかる。

>という回答の中の「クライアント」とは会社でシステムを利用している各従業員の事でしょうか？

 

「クライアント」とは、平たく言えば、各端末のことです。

・パソコンAを田中さんが使用

・パソコンBを鈴木さんが使用

・パソコンCは部内共有で使用

とすれば、ここで言う「クライアント」は、パソコンAであり、パソコンBであり、パソコンCです。

 

>また、各クライアントのローカル_log.nsfというものを調べれば、各従業員（または各端末）がどのIDでログインしたかがわかる。ということでしょうか？

そうです。

ローカルのlog.nsfには、その端末でどのIDで利用したかのログが残されています。

上記でいえば、通常パソコンAは特別なことが無い限り、田中さんのログしか残らないはずですが、

もしパソコンAに鈴木さんのログが残っていたとすれば、田中さん、どうして？という話になるかと思います。

もちろん、パソコンAを実際に鈴木さんが利用するケースもあるでしょうし、

パソコンCに至っては、誰もが利用する可能性があるので、

状況証拠でしかないかもしれません。

 

大変な事件に巻き込まれ、心中お察します。

不正アクセスは刑事犯罪となり得ますので、会社としても積極的に対応すべきです。

 

とりあえず、現在取りうる対応としては、以下の調査となるかと思います。

環境が今一つはっきりしませんが、メールへのアクセスは、Notesクライアントでしょうか、Webブラウザでしょうか。

dyateam様の書かれている内容は、Notesクライアントの場合です。

iNotesと書かれていますので、アクセスはWebブラウザとして仮定します。

その場合は、Webサーバログにアクセス記録が残っていればある程度判るかと思います。(システム管理者の協力が必要です)

あなたのメールデータベースにアクセスした中であなたの端末と違うIPアドレスが記録されていれば、

そのIPアドレスからのアクセスなので端末の割り出しは可能かと思います。

IPアドレスがプライベートならば内部犯行、グローバルならば外部からのアクセスになります。

もっとも、不在時にあなたの端末でアクセスされていたならば、その時間帯のあなたの不在を証明し、利用可能だった人が絞れれば、犯人はその中にいます。

 

あなたのメールデータベースへのアクセスが、あなたのIDを使ったものか、他のIDかによっても調査が違います。

まず、他のIDでアクセスされている可能性を絞る為、あなたのメールデータベースへのアクセス権限を確認してください。

だれでもアクセスできる状態で無い事(メールデータベースのACLをシステム管理者に問い合わせます)

該当操作可能なアクセス権限があれば、不正は可能です。

 

次に、あなたのパスワードを他人が知っている可能性があるので、パスワードの変更が必要となります。

あなたしか知り得ないパスワードを用いてる場合は、覗き見されている可能性があります。

 

大変ですが、不正を許さないように頑張ってください。

dyateam 様

早々のコメント、また、大変分かりやすい回答を頂きありがとうございます。

パソコンは、社員に１人１台ずつ支給されていますので、通常、自分のパソコンを他人が使用する。という事は考えにくいです。

というのも、普段、社内パソコン起動を起動させ、Notesにログインするまでには、下記①②の手順が必要になります。

①　パソコン起動の為のパスワード入力

②　Ｗｉｎｄｏｗｓのパスワード入力

①②の手順の後、Notesを開き、NotesのIDとパスワードを入力してログイン。

該当者のパソコンから、該当者のNotesにログインする為には、上記①②の２つのパスワードも事前に入手しておかなければいけません。

可能性はゼロではありませんが、犯人としては①②を自分のパソコンで行い、該当者のID・パスワードを入手し、不正にログインする方が簡単かと思われます。

 

cococoさま

iNotesというところを見逃しておりました。

Nekoichi Kobeさまのおっしゃるとおり、

Notesクライアントは一切使用せず、Webブラウザからのアクセスのみであれば、

私の上記情報は全て利用できません。

大変失礼致しました。

Nekoichi Kobe 様

 

ご回答頂き、誠にありがとうございます。

Nekoichi Kobe 様のご回答につきましても、私がシステムに無知である為に、基本的な質問をしてしまうことを、お許しください。

まず、環境については、下記の方法で確認しましたので、iNotes＝Webブラウザということであれば、Webブラウザで間違いないと思います。

 

確認日　：　2016年5月16日

確認方法　：　画面右上のヘルプ　→　IBM Lotus iNotesのバージョン情報をクリック

そこで確認出来たバージョン情報が、IBM Lotus iNotes 8.5.2　ビルド401.15　です。

 

また、データベース名は、私の名前になっておりましたので、各従業員ごとにデータベースを呼ばれる、メールやその他の情報の保管庫がある。

という理解でよろしいでしょうか？

そして、該当者（被害者）のメールデータベースにアクセスした中で、該当者以外のIPアドレスがないかを調べ、該当者以外のIPアドレスが記録されていた場合、他の端末からアクセスした証拠になる。ということですね。

まずはIPアドレスにより、内部か外部かを判断。内部であれば、どの端末のIPアドレスか分かれば、割り出しのヒントになる。ということですね。

 

また、アクセス権限については会社に確認しておりますが、他のIDではアクセス出来ないように設定されているようなので、他のIDでアクセスしたとは考えにくいです。

 

まずは、Nekoichi Kobe 様にお教え頂いた方法で、調査が出来るかどうか、再度、会社と警察に相談してみます。

また今後も何かヒントや手がかりになりそうな方法や、情報がございましたら、ごんな事でも構いませんので、ご連絡頂ければ、非常に助かります。

勝手なお願いではございますが、何卒よろしくお願い申し上げます。

 

dyateam 様

昨日は、コメント頂きありがとうございました。

私だけでは、NoteとiNoteの違いさえも分かりませんでしたので、コメントを頂き本当に助かりました。

何より、私の質問に対して、貴重なお時間と知識を使って、コメントを頂けたことに、心から感謝しております。

 

そこでまたご質問なのですが、Webサーバーログというのは、通常、どの程度過去のログまで保存されているものなのでしょうか？

以前にも書き込みしたとおり、メールの無断閲覧は、2014年5月〜2015年12月上旬、無断削除は2015年11月〜12月上旬と思われます。その時期の記録は残っているものなのでしょうか？もしご存知でしたら教えてください。

また、そのログを管理者以外のものが削除するような事は可能なのでしょうか？

たびたびの質問で申し訳ございませんが、どうぞよろしくお願い申し上げます。

cococo様

セキュリティの専門家ではありませんが、私のNotesの知識がお役に立てれば何よりです。

Notesでは、データベースと呼ばれる単位の入れ物を使用しますが、メールの場合は基本的に各ユーザIDに対して1つのメール用のデータベースが用意されます。

ですので、cococo様の認識は合っております。

アクセス権限に関しては、システム管理者には管理権限が与えられていると思いますので、最悪の場合はシステム管理権限を持つ者の誰かが犯人という可能性は否定できません。
この場合、ログの消去等の証拠隠滅の可能性も含めて証拠保全をどうするかを考慮してください。
Dominoサーバ(Notesのデータベースを管理するサーバ)のバックアップデータのうち、当時の物が残っているか、またそれを証拠保全として隔離できるかをシステム管理部門の上位部門と相談しておくのがよろしいかと思います。

 

今までの情報を整理すると
1) 被害者の利用端末とは別の端末からメールデータベースに不正アクセスがあった。
2) アクセス権限が他者に与えられていない為、犯人は被害者のパスワードを知っていた。
という事になります。

予防策としては、パスワードを定期的に可能な限り複雑なものに変更するのが良いかと思われます。

いずれにしてもWebサーバログというデータベースに当時のログが存在していればIPアドレスからある程度絞れるかと思います。

ちなみに、他の犯罪行為が続いているというのはNotesとは関係ない部分なのでしょうか。

警察が動いてくれているという事は刑事事件の可能性も大いにあるという事でしょうから、会社の顧問弁護士とも連携がよろしいかと思います。

犯人が特定でき、一刻も会社が健全な状態に戻ることを願います。

Nekoichi Kobe 様

 

ご回答頂き、ありがとうございます。

アクセス権限につきましては、システム部の部長に確認し、

誰でも見れる状態ではない。アクセス制限をかけている。

という事は確認しておりますが、社内の誰がその管理者になっているのかは、私には分かりません。

 

そうしますと、Nekoichi Kobe 様のおっしゃる通り、その管理者の中に犯人がいる場合、既に被害者のメールデータへのアクセス履歴が削除されていたり、この調査をすることが事前に分かってしまった場合、ログが消去されてしまうかもしれないのですね。

それを踏まえて、どのように調査するかについては、会社、警察とよく相談した上で、慎重に行う必要がありますね。大変参考になりました。

ありがとうございます。

 

Nekoichi Kobe 様に整理頂きましたとおり、

1) 被害者の利用端末とは別の端末からメールデータベースに不正アクセスがあった。
2) アクセス権限が他者に与えられていない為、犯人は被害者のパスワードを知っていた。

という可能性が高い為、この件が発覚した（2015年12月）以降、被害者も私もパスワードは変更しております。

また、他の犯罪行為につきましては、Notesで無断閲覧したメールの内容を悪用しておりますので、Notesとは関係ない部分になりますが、こちらのサイトで詳細をご説明出来ないことについては、何卒ご理解頂きますようお願い申し上げます。

また、現在の被害状況から判断し、警察からは名誉棄損にあたる。という事までは確認しており、会社の窓口になって頂いている部長から、会社の顧問弁護士へは、既に相談済です。

Nekoichi Kobe 様にアドバイス頂きました内容につきましては、今月中にも、その方法で再度調査が出来ないか、会社と警察に相談してみます。

誠に勝手ではございますが、また質問させて頂くこともあるかと思いますので、今後ともどうぞよろしくお願い申し上げます。

何度もご回答頂き、本当にありがとうございました。

cococo様

システム管理者に犯人がいる可能性については、純粋に客観的な判断ですので、万一を考慮しての話です。

ですので、初めから疑いを持っている態度を気づかれると犯人では無くても非協力的になる可能性もありますので、そのあたりは慎重に。

 

ログというものはどうしても膨大になりますので、定期的に消去する運用も考えられます。

ですので、該当期間のログが残っていないからといって管理者がらみの犯罪とは言えません。

よって、過去のバックアップに残っている事も含めての調査が必要です。

 

他の犯罪行為の件はNotesとは無関係の内容との事で理解致しました。

名誉棄損とのお話ですが、不正アクセス禁止法や業務妨害にも該当するかと思います。

御社の名誉の為にも慎重に行動されますように。

微力ながら、お力になれて光栄です。

Notes のログについては、初期設定ですと過去一週間分程度しか保持されません。

明示的に保持期間を延長する設定をするか、
別途ログのバックアップを定期的にとるような運用でない限りは昔のログを取得するのは困難です。

Notes Log (LOG.NSF) のサイズを制御する - IBM Knowledge Center
http://www.ibm.com/support/knowledgecenter/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_CONTROLLING_THE_SIZE_OF_THE_LOG_FILE_LOGNSF_OVERVIEW.html?lang=ja

ykawa様

log.nsfはそうですが、Webのアクセスログdomlog.nsfは自動的には消えないのではと思いますが、どうでしょうか？
当方のサーバのdomlog.nsfは相当昔のログから現在まで全て残っております。

Nekoichi Kobe様

domlog.nsf を見かけたことが無かったので何だろうと思ったら、サーバー文書で有効にしないと作成されないものなのですね。
確かにこちらは保持期限などはなさそうですね。（逆に言うとメンテしないと際限なく増幅しそうで怖いですが）
勉強になりました。

Lotus Domino Web サーバーログ (DOMLOG.NSF) を設定する - IBM Knowledge Center
http://www.ibm.com/support/knowledgecenter/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_SETTING_UP_THE_DOMINO_WEB_SERVER_LOG_DOMLOGNSF_OVERVIEW.html?lang=ja

ykawa様

domlog.nsfはデフォルトでは無効だったのですね。
こちらこそ勉強になりました。

cococo様の会社で有効になっている事を願います。

かなり前にご相談させて頂いておりました、メールへの不正アクセスについて、再相談です。

 

以前、こちらのサイトでお教え頂いた方法で

不正アクセスした犯人を特定すべく、出来る限りの事はしたのですが、実際に調査をするには、私が依頼を出来る範囲以上の許可を得なければならない現実もあり、未だ調査には至らず、その実現が難しい事もわかってきています。

 

私の勤める会社は、ある会社の子会社なのですが、弊社のメールサーバーは、親会社の敷地内にあり、サーバーの調査には親会社の許可が必要になること。また、膨大なデータの中からメールを無断閲覧し、削除した犯人を探し出せるような技術者がいないことから、これ以上の調査は出来ない。という会社側からの回答を警察を通じて聞きました。(親会社、関係会社、子会社など含め、グループ全体では従業員は2万人を超えます。)

 

しかしながら、現状から見て犯人が社内の人間である可能性が非常に高く、すぐ近くにいる事が分かりながら、特定出来ずにいる事に対し、どうしても諦める事が出来ず、また、事件から1年以上経っても、気持ちは変わらず諦めるつもりもありません。

 

今は、知り合いの関係会社役員や、その他、別方向から調査依頼をかけ、調査を実現出来るように動いています。

 

そこで、再度質問なのですが、実際にメールデータベースを調査出来る状況になった場合、どのような手順をとれば、アクセス履歴を確認する事が出来るのでしょうか？

やはり専門的な知識を持つ方や、iNotesの技術者でなければ調査は難しいのでしょうか？

 

たびたび申し訳ございませんが、調査方向をご存知の方がいらっしゃいましたら、お教え頂けませんでしょうか？

 

何卒よろしくお願い申し上げます。

サーバにあるアクセスログを追ってもらうのは如何でしょうか。

ログには、接続元のIPアドレスと対象のメールデータベースファイル名、ユーザID等の情報があります。

被害にあった方のメールデータベースのファイル名と期間で絞ってもらって、IPアドレスを確認してもらうのは如何でしょうか。

こんな感じの名前のファイルです「access__272018.log」

ただ、システム管理者がNotesClientから操作していたら難しいですが・・・

実際にどのような被害が出ているのかはわからないのですが、親会社も積極的に調査してくれるとよいですね。