遠隔操作ウィルス検察側証拠（メカAG）

今回はメカAGさんのブログからご寄稿いただきました。
※この記事は2014年03月11日に書かれたものです。

遠隔操作ウィルス検察側証拠（メカAG）

「【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調」 2014年3月11日 『Yahoo!ニュース』
http://bylines.news.yahoo.co.jp/egawashoko/20140311-00033448/

「ファイルスラック領域」という呼び名は俺も馴染みがないな。まあここに消去したデータの一部の残骸が残るのはその通り。でも逆にここにしか残ってないということは、未使用のクラスタは消去するツールを使ったのだろうか。

通常の操作ではファイルを消去しても、「消去した」という印が付くだけでデータそのものは残っている。ただその場所は未使用と扱われるので、新たなファイルを作ればどんどん上書きされる。とはいえよほどHDDをきつきつに使用しているのでなければ、わりと上書きされず残っているものだ。

で、それだとセキュリティ上まずいので、未使用領域を完全に消去するツールがあるのだが、そのツールでもスラック領域は消去されないんですかね?この辺わからん。

　　　*　　　*　　　*

ただこの領域が外部から絶対書けないかといえば、書けると思う。したがって被告人の反論は正しい。被告人のPCがウィルスに感染し遠隔操作され、そういうデータを書くような命令を受ければ、上記のような「ニセの証拠」を真犯人は書くことはできる。ただしこれには2つの方法がある。

ひとつは未使用領域に直接データを書く方法。しかしこの場合通常のアプリでHDDのセクタを直接読み書きはできないので、管理者権限が必要。とはいえアプリのインストールにも管理者権限は必要だから、ウィルスに感染していればそのウィルスは管理者権限を持っているはずで、不可能ではないはず。

まあ検察が「外部からこの領域に書けない」と言ってるのは、あくまで通常のアプリでは書き込めないということだろう。管理者権限を持つアプリなら書けるはず。というかデフラグソフトやファル復活ソフトは実際にやっているわけで。

　　　*　　　*　　　*

もう一つの方法は、普通のアプリで各方法。ようは一度そういうデータを含むファイルを書き込み、それを消去すればいいのだから、そういう操作をするプログラムを実行させればいい。これは普通のアプリでできる。

ただ実際にデータがHDDのどこのセクタに書き込まれるかはアプリはコントロール出来ないから、度のデータが残骸として残るかも不確定。まあ、たくさん繰り返せばそのうちの幾つかは上述のような形でファイルスラック領域に残るだろうけど。

被告人が説明(反論)してるのはこっちの方法ですな。外部アプリでこのようなデータを書き込むことは必ずしも不可能ではない、と。

　　　*　　　*　　　*

で、問題の残骸なのだが、「C:test」ぐらいなら、他のアプリ開発でもファイル名として使うから証拠にはならないが、「F:\vproj\iesys.exe」とかが見つかると、確かに困っちゃうね。これはさすがに偶然とは言いがたい。

と言うか逆にウィルスを開発したPCなら必ずどこかにこの手の情報が残るはずで、手作業で消そうとしても、全部消去するのは容易ではない。なのでそういう証拠が見つかってないなら、真犯人ではないということになるのだが、その証拠が出てきてしまうと、たしかに後は「このPC自体が真犯人に遠隔操作された」と主張するしかないね。それで以前から弁護人はそういう方向の主張をしてたのか。う～む。

真犯人に遠隔操作れたという前提であれば、ウィルスによって上記のような状況を作り出すことは可能なはず。検察の「スラック領域にはウィルスは書き込めない」みたいな主張はミスリード。

ただこのPCが真犯人に遠隔操作されたという前提そのものが、かなり不自然な点は否めない。

　　　*　　　*　　　*

まああえて考えればスラック領域のデータは通常のファイルではないから、日付などの情報がない。だからいつそのデータがかかれたかは証明できない。被告人にそのPCが割り当てられる前、前の使用者が残した残骸かもしれない。

Visual Studioが2011年11月頃に4回インストール/アンインストールが行われたというのは、Windowsのシステムログのデータからだろう。その残骸が残っていたということだろう。ただその操作を被告人が行ったかはここからはわからない。

被告人のこの会社の勤務期間は2011年11月～2012年9月らしいから、微妙ではある。しかし逆に11月にこの会社に勤務し始めていきなりウィルスを作り出すだろうか？それはむしろ不自然だろう。イメージ的にありえるパターンは、新しい勤務先にも慣れて少々マンネリ化した日常。ちょっと手持ち無沙汰に趣味のプログラムでも…となるのが自然ではなかろうか。

だから2011年に新しい勤務先にやってきて、いきなりウィルスを作る目的でPCにVisual Studioをインストールしたとは考えにくい。前任者が行ったか、誰か他の同僚が何かの目的でインストールしたのではなかろうか。あるいは被告人の能力が未知数だったり、割り当てる仕事がまだ確定してなかったので、とりあえず使いそうなツール類をひと通りインストールしておこう、と考えたとか。

　　　*　　　*　　　*

2012年(平成24年)8月頃にVisual Studioが動作中のためシャットダウン処理が遅れたという記録については、まあこういうことはよくあるので、その記録が残っていたのだろう。被告人の勤務期間が2012年の9月までであれば、その期間内でもある。

とはいえ被告人がVisual Studioを操作していたという確実な証拠にはならないだろう。同僚が何かの理由で操作したのかもしれない。ただ被告人はこれまでこのPCにVisual Studioはインストールされていなかったと主張していたはずで、その整合性がとれなくはなる。

　　　*　　　*　　　*

ジャンプリスト（最近使ったもの）の解析から、Fドライブ内のGoogle Chrome Portableを使用して、被告人使用のGmail受信メールや被告人が通っていた居合道場のサイトを閲覧した履歴が認められる。

これってそうなるのかね。Google Chrome Portableというのは通常はHDDにインストールして使うChromeブラウザを、USBメモリなどに入れて持ち運べるようにしたもの。なので極力usbメモリ上にしか記録を保持しないようになっている。あるPCにUSBメモリをさしてそこでブラウザを動かした後、別なPCにUSBメモリを移動して動かした場合、さまざまな履歴が引き継がれなければならないから。

なので逆に言えばHDDからChromeブラウザの閲覧履歴の残骸が出てくるというのは、俺的には「?」なのだが、そういうもんなんですかね。はて。よくわからん。

執筆： この記事はメカAGさんのブログからご寄稿いただきました。

寄稿いただいた記事は2014年04月25日時点のものです。