他社がコレクションした証拠ファイルかイメージから抽出したファイルが破損しているので、オリジナルからコピーし直して送ってくれないか？という問い合わせが米国から入る。そもそも他社がどうやってコレクションしたのか、ファイルをどう抽出したのかが不明なのだが、ファイルのパスを確認するとどうやらテンポラリフォルダ内のテンポラリファイルがアクセスできないという状況の様子だ。
さて、こんな時どうすべきか？、まったく無意味と思える作業を行なって課金しておくべきか、以下の説明などを丁寧にしてあげるべきなのか。

まずコレクションがフォレンジカルサウンドなるもので行なわれており、例えば EnCase や専用装置によるハードディスク全体のコピー（フルディスクイメージ）が作成されたとすれば、まず確認すべきなのは証拠イメージファイルの整合製ということになる。EnCase証拠ファイルはベリファイ機能でチェックすればよいし、DD イメージなどであれば、取得時のハッシュ値を確認することで証拠イメージファイルが破損していないかを確認できる。証拠イメージファイルの整合性に問題がなければ、それは原本を正確に複製した内容ということになる。エラーセクタなどがあればファイルやファイルシステムに対して影響があるかもしれないが、証拠イメージファイルの中にあるテンポラリフォルダ内のファイルが破損していれば、それはオリジナルのファイルも破損しているということだろう。
コレクションが適切に行なわれているのであれば、オリジナルのディスクから再度コピーを行なってもきっと破損しているだろうから意味がある作業とは思えない。オリジナルからコピーしたファイルが先にコレクションした物と違い正しくアクセスできるファイルだとすると、そもそも以前のコレクションが適切ではなかったということになる。

次に、コレクションしてからすでにかなりの時間が経過しているようなのと、対象のパソコンは日々業務で継続して使われているものなので、テンポラリフォルダ内のテンポラリファイルがまだ残っているとは思えない。っていうかそもそもそのテンポラリファイルは本当に必要なのか？と聞きたい。EnCaseなどで中身を確認して重要だと判断している様子にも思えないので、単純にアクセスできないからもう一回コピーしてと言ってるだけなんだろう。
現地に行ってテンポラリファイルがまだ残っているかを確認してみて、あれば（恐らく破損している）ファイルをコピーして、米国に送ってあげることで、かかった作業時間を課金することもできるが、お金を払う顧客からすればえらく無駄な作業にお金を払うことになるんだろうなぁ。