【Windows】ごみ箱経由の削除履歴を「イベントビューアー」のログから特定する調査手順 | 誰がいつ消したかの確認

業務中に重要なファイルが失われ、誰がいつ削除したのかを特定したい場面に遭遇することがあります。

このような状況では、Windowsのイベントビューアーを利用することで、ごみ箱経由で削除されたファイルの履歴を詳細に調査できます。

この記事では、イベントビューアーのログから削除履歴を特定するための具体的な調査手順を解説します。

ファイル削除がイベントログに記録される仕組み

Windowsでは、システムの重要な操作がイベントログとして記録されます。ファイルやフォルダの削除もその一つです。

特に「セキュリティログ」には、ユーザーによるファイルアクセスや変更、削除といったセキュリティ関連のイベントが記録されます。この記録は、監査ポリシーが適切に設定されている場合に有効です。

ごみ箱への移動は、内部的には元の場所からのファイル削除として処理されるため、このイベントログに痕跡が残ります。これにより、誰がいつ、どのファイルを削除したのかを後から確認できるのです。

監査ポリシー「オブジェクトアクセスの監査」の重要性

ファイル削除のイベントを記録するためには、事前に「オブジェクトアクセスの監査」ポリシーを有効にする必要があります。

このポリシーが有効になっていない場合、ファイル削除に関するセキュリティイベントは記録されません。そのため、削除履歴を調査する前に、この設定が有効になっているかを確認し、必要であれば設定を変更します。

この設定は、ローカルセキュリティポリシーエディターから変更できます。Windows Serverのドメイン環境では、グループポリシーで設定が管理されている場合もあります。

ごみ箱経由の削除履歴を特定する調査手順

ここでは、ごみ箱経由で削除されたファイルを特定するための具体的な手順を解説します。まず監査ポリシーを設定し、その後イベントビューアーでログを確認します。

ステップ1: 監査ポリシーの設定手順

ファイル削除イベントを記録するために、オブジェクトアクセスの監査を有効にします。この設定は、ログの記録を開始するための前提条件です。

1. ローカルセキュリティポリシーを開く
   Windows 11のスタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。「secpol.msc」と入力し、「OK」をクリックしてローカルセキュリティポリシーエディターを開きます。
2. 監査ポリシーのサブカテゴリの設定に移動する
   左側のペインで、「セキュリティの設定」を展開し、「ローカルポリシー」を展開します。次に「監査ポリシーのサブカテゴリの設定」を選択します。
3. オブジェクトアクセスの監査を有効にする
   右側のペインで、「オブジェクトアクセスの監査」をダブルクリックします。「成功」と「失敗」の両方のチェックボックスをオンにし、「適用」ボタンをクリックします。「OK」をクリックして設定を保存します。
4. 設定の反映を確認する
   コマンドプロンプトを管理者として開き、「gpupdate /force」と入力してEnterキーを押します。これにより、ポリシーの変更がすぐにシステムに適用されます。

Windows 10でも同様の操作で監査ポリシーを設定できます。

ステップ2: イベントビューアーでの削除履歴調査手順

監査ポリシー設定後、イベントビューアーで削除イベントを特定します。ファイル削除が行われた後にこの手順を実行してください。

1. イベントビューアーを開く
   Windows 11のスタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。「eventvwr.msc」と入力し、「OK」をクリックしてイベントビューアーを開きます。
2. セキュリティログにアクセスする
   左側のペインで、「Windows ログ」を展開し、「セキュリティ」を選択します。
3. イベントをフィルタリングする
   右側の「操作」ペインで、「現在のログをフィルター」をクリックします。「イベントID」の入力欄に「4663, 4660」と入力し、「OK」をクリックしてフィルターを適用します。
4. 削除イベントの詳細を確認する
   フィルターされたイベントの中から、削除されたと思われる日時前後のイベントをダブルクリックします。「全般」タブの「タスクのカテゴリ」が「ファイルシステム」または「オブジェクトアクセス」であることを確認します。
5. 削除されたファイルとユーザーを特定する
   イベントの詳細を展開し、「オブジェクトの名前」の項目に削除されたファイルのパスが記載されているかを確認します。「アカウント名」の項目から、削除操作を実行したユーザーアカウントを特定できます。
6. アクセス試行の詳細を確認する
   イベントID 4663の場合、「アクセス」の項目に「DELETE」が含まれているか確認します。これは、オブジェクトへの削除アクセスが試行されたことを示しています。

Windows 10でも同じイベントIDと手順で削除履歴を調査できます。

調査時の注意点と関連トラブル

イベントビューアーでの調査にはいくつかの注意点があります。これらを理解しておくことで、より正確な調査が可能です。

監査ポリシーが未設定でログが記録されていない

原因: 「オブジェクトアクセスの監査」ポリシーが有効になっていない場合、ファイル削除イベントはセキュリティログに記録されません。そのため、過去の削除履歴を遡って確認することはできません。

対処法: 上記「ステップ1: 監査ポリシーの設定手順」に従ってポリシーを有効にしてください。ただし、ポリシー有効化以前の削除履歴は取得できません。今後の記録のために設定しておくことが重要です。

ログの量が多すぎて目的のイベントが見つけにくい

原因: システムの稼働時間が長い場合や、多くのファイル操作が行われる環境では、セキュリティログに膨大な数のイベントが記録されます。

対処法: イベントビューアーの「現在のログをフィルター」機能を活用し、イベントIDだけでなく、特定のキーワードや期間で絞り込みます。例えば、削除されたファイル名の一部や、削除が行われたおおよその日時でフィルターを適用すると効率的です。

古いログが上書きされてしまっている

原因: イベントログには最大サイズが設定されており、そのサイズを超えると古いログから順に上書きされていきます。重要なログが消えてしまう可能性があります。

対処法: イベントビューアーのセキュリティログのプロパティから、ログの最大サイズを増やすか、「イベントを上書きしないでアーカイブする」設定に変更することを検討してください。これにより、ログが上書きされることを防ぎ、長期的な記録を保持できます。

ごみ箱を経由しない削除のイベントIDが異なる

原因: Shift+Deleteキーによる直接削除など、ごみ箱を経由しない削除の場合、イベントの記録方法や詳細が異なる場合があります。イベントID 4660がより直接的なオブジェクト削除を示します。

対処法: ごみ箱を経由しない削除を調査する場合は、イベントID 4660を中心に確認します。また、イベントID 4663の詳細で「アクセス」が「DELETE」となっているものも削除イベントとして扱える場合があります。

ごみ箱経由と直接削除のイベントログの違い

ファイル削除の方法によって、イベントログの記録内容には微妙な違いがあります。以下にその比較を示します。

項目	ごみ箱経由の削除	ごみ箱を経由しない削除
操作内容	ファイルが元の場所から削除され、ごみ箱フォルダに移動する	ファイルが元の場所から直接削除され、復元が困難になる
主なイベントID	4663 (アクセス試行: DELETE) 4660 (オブジェクトの削除)	4660 (オブジェクトの削除) 4663 (アクセス試行: DELETE)
記録される情報	削除日時、実行ユーザー、元のファイルパス、アクセス試行の詳細	削除日時、実行ユーザー、削除されたファイルパス
特定容易性	監査ポリシー設定後、イベントIDとファイルパスで特定可能	監査ポリシー設定後、イベントIDとファイルパスで特定可能

まとめ

この記事では、Windowsのイベントビューアーを利用してごみ箱経由のファイル削除履歴を特定する手順を解説しました。

「オブジェクトアクセスの監査」ポリシーを設定し、イベントビューアーでイベントID 4663や4660をフィルターすることで、誰がいつファイルを削除したのかを調査できます。

ログの量が多い場合や、監査ポリシーが未設定の場合の対処法も理解しておくことが重要です。これらの手順を活用し、ファイル消失トラブルの原因究明にお役立てください。