OpenText Forensic（旧称 : EnCase Forensic）において、”Artifact Explorer” で開くための処理 “Prepare Evidence” 実施中に、以下のような “File in use” エラーメッセージが表示され、”Prepare Evidence” 処理が終了しない事象が報告されています：

その原因及び対処方法について、ご案内致します（本件事象は、他バージョンでも発生することが確認されています）。

• エラーが発生するバージョン
• エラーの原因
• エラーの回避方法、及び発生した場合の対処法

※ 記事内の記述及び URL は、予告なく変更、もしくは削除されることがあります。

“Artifact Explorer” が独立したコンポーネントとしてインストールされるバージョン全て

• EnCase Forensic
  • 24.2
  • 24.3
  • 24.4
• OpenText Forensic
  • 25.1
  • 25.2
  • 25.3
  • 25.4

“Artifact Explorer” にケースを読み込む際、ケースフォルダー直下の “Artifacts” フォルダー以下にある SQLite データベースが使用されます：

この SQLite データベースに対し、”Prepare Evidence” 処理以外のアクセスがあることで、本事象が発生します。具体的には、以下の状況の場合、本事象が発生します（あるいはその可能性があります）：

• 該当ケースを、単一ユーザーではなく複数ユーザーでも使用可能になるように共有設定されている場合
  • ケースを使用する Windows ユーザーアカウントが “ドメインユーザーアカウント” で、ケースデータも共有サーバー等にある場合、本事象が発生する可能性が高くなります。
• “Prepare Evidence” 処理時、上記 SQLite データベースが、OpenText Forensic（旧称 : EnCase Forensic）以外のツールでアクセス・使用されている場合
  • これは、Artifact Explorer も例外ではありません（OpenText Forensic（旧称 : EnCase Forensic）と Artifact Explorer で、同一ケースを同時に開くことは出来ません）。

本事象発生の原因が エラーの原因 に記載されている事項に該当する場合の対処法は、以下の通りです：

• （可能な限り）ケースデータはローカルに保存した上で使用する。
• ケースの共有設定は極力避ける。共有の必要性がある場合、組織内の使用ポリシーを設定する。
• （誤操作を防ぐため）OpenText Forensic（旧称 : EnCase Forensic）でケースを開く際、他の SQLite データベースを開くツールの使用を避ける。

一方、ローカルユーザーアカウントで、共有設定が一切無いケースを OpenText Forensic（旧称 : EnCase Forensic）で開き、”Prepare Evidence” 処理が開始された場合も、本事象が発生する場合があります。但し、発生する場合としない場合があり、本記事発表の時点（2025年11月）で回避・解消方法は発見に至っていません。

独立したコンポーネントとしての “Artifact Explorer” を使用しない場合、[Tools] > [Options] 内の以下の設定で、”Prepare Evidence” 処理を無効化することが出来ます。

• “Prepare evidence for use with Artifact Explorer” のチェックを外す