体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

遠隔操作ウィルス検察側証拠(メカAG)

遠隔操作ウィルス検察側証拠

今回はメカAGさんのブログからご寄稿いただきました。
※この記事は2014年03月11日に書かれたものです。

遠隔操作ウィルス検察側証拠(メカAG)

「【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調」 2014年3月11日 『Yahoo!ニュース』
http://bylines.news.yahoo.co.jp/egawashoko/20140311-00033448/

「ファイルスラック領域」という呼び名は俺も馴染みがないな。まあここに消去したデータの一部の残骸が残るのはその通り。でも逆にここにしか残ってないということは、未使用のクラスタは消去するツールを使ったのだろうか。

通常の操作ではファイルを消去しても、「消去した」という印が付くだけでデータそのものは残っている。ただその場所は未使用と扱われるので、新たなファイルを作ればどんどん上書きされる。とはいえよほどHDDをきつきつに使用しているのでなければ、わりと上書きされず残っているものだ。

で、それだとセキュリティ上まずいので、未使用領域を完全に消去するツールがあるのだが、そのツールでもスラック領域は消去されないんですかね?この辺わからん。

   *   *   *

ただこの領域が外部から絶対書けないかといえば、書けると思う。したがって被告人の反論は正しい。被告人のPCがウィルスに感染し遠隔操作され、そういうデータを書くような命令を受ければ、上記のような「ニセの証拠」を真犯人は書くことはできる。ただしこれには2つの方法がある。

ひとつは未使用領域に直接データを書く方法。しかしこの場合通常のアプリでHDDのセクタを直接読み書きはできないので、管理者権限が必要。とはいえアプリのインストールにも管理者権限は必要だから、ウィルスに感染していればそのウィルスは管理者権限を持っているはずで、不可能ではないはず。

まあ検察が「外部からこの領域に書けない」と言ってるのは、あくまで通常のアプリでは書き込めないということだろう。管理者権限を持つアプリなら書けるはず。というかデフラグソフトやファル復活ソフトは実際にやっているわけで。

   *   *   *

もう一つの方法は、普通のアプリで各方法。ようは一度そういうデータを含むファイルを書き込み、それを消去すればいいのだから、そういう操作をするプログラムを実行させればいい。これは普通のアプリでできる。

ただ実際にデータがHDDのどこのセクタに書き込まれるかはアプリはコントロール出来ないから、度のデータが残骸として残るかも不確定。まあ、たくさん繰り返せばそのうちの幾つかは上述のような形でファイルスラック領域に残るだろうけど。

被告人が説明(反論)してるのはこっちの方法ですな。外部アプリでこのようなデータを書き込むことは必ずしも不可能ではない、と。

   *   *   *

で、問題の残骸なのだが、「C:test」ぐらいなら、他のアプリ開発でもファイル名として使うから証拠にはならないが、「F:\vproj\iesys.exe」とかが見つかると、確かに困っちゃうね。これはさすがに偶然とは言いがたい。

と言うか逆にウィルスを開発したPCなら必ずどこかにこの手の情報が残るはずで、手作業で消そうとしても、全部消去するのは容易ではない。なのでそういう証拠が見つかってないなら、真犯人ではないということになるのだが、その証拠が出てきてしまうと、たしかに後は「このPC自体が真犯人に遠隔操作された」と主張するしかないね。それで以前から弁護人はそういう方向の主張をしてたのか。う~む。

真犯人に遠隔操作れたという前提であれば、ウィルスによって上記のような状況を作り出すことは可能なはず。検察の「スラック領域にはウィルスは書き込めない」みたいな主張はミスリード。

ただこのPCが真犯人に遠隔操作されたという前提そのものが、かなり不自然な点は否めない。

   *   *   *

まああえて考えればスラック領域のデータは通常のファイルではないから、日付などの情報がない。だからいつそのデータがかかれたかは証明できない。被告人にそのPCが割り当てられる前、前の使用者が残した残骸かもしれない。

Visual Studioが2011年11月頃に4回インストール/アンインストールが行われたというのは、Windowsのシステムログのデータからだろう。その残骸が残っていたということだろう。ただその操作を被告人が行ったかはここからはわからない。

1 2次のページ
寄稿の記事一覧をみる

記者:

ガジェット通信はデジタルガジェット情報・ライフスタイル提案等を提供するウェブ媒体です。シリアスさを排除し、ジョークを交えながら肩の力を抜いて楽しんでいただけるやわらかニュースサイトを目指しています。 こちらのアカウントから記事の寄稿依頼をさせていただいております。

TwitterID: getnews_kiko

  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。
GetNews girl / GetNews boy

オスカー2018年晴れ着撮影会