一つ不可解なことがある。
asahi.com(朝日新聞社):検事、押収資料改ざんか 捜査見立て通りに 郵便不正 - 地検改ざん疑惑
というのも、そのファイルのタイムスタンプのみを、他に影響を与えず書き換えることはあまりに容易だから。専門ツールは不要。それどころかWindowsすら不要だ。
LinuxやFreeBSDでフロッピーをマウントしてから、
以下は、FreeBSDにてフロッピーのディスクイメージを作成し、
前田検事は専用ツールを(おそらくWindowsで)使うことによって傷口を広げてしまったのかも知れない。
本事件以後は、データの「押収」方法そのものが変わらざるをえないだろう。
asahi.com(朝日新聞社):検事、押収資料改ざんか 捜査見立て通りに 郵便不正 - 地検改ざん疑惑
今後の「押収」では、捜査側はメディアごと持ち去るのではなく、それをその場でコピーした後、コピーしたデータの電子書名なりを被疑者側にも渡すということになるのではないか。これであれば、リムーバルメディアでなくとも対応できるし、クラウドにあるデータでも対処できる(たとえサーバーが国外であっても、被疑者立ち会いの元に「このディレクトリのデータを押収」といったことは当然可能)。被疑者の被る不便も軽減される。
asahi.com(朝日新聞社):検事、押収資料改ざんか 捜査見立て通りに 郵便不正 - 地検改ざん疑惑
このため、朝日新聞が大手情報セキュリティー会社(東京)にFDの解析を依頼。本来は「6月1日」であるべき最終更新日時が「6月8日」と書き換えられていた。その書き換えは昨年7月13日午後だったことも判明。この日はFDを上村被告側に返す3日前だった。「6月1日」「6月8日」でなく、「昨年7月13日午後」の方である。
というのも、そのファイルのタイムスタンプのみを、他に影響を与えず書き換えることはあまりに容易だから。専門ツールは不要。それどころかWindowsすら不要だ。
LinuxやFreeBSDでフロッピーをマウントしてから、
touch -t200406081234.56 /mnt/file/to/change.docとでもした後、アンマウントしてフロッピーを抜くだけで日付改ざんは完了する。それ以外の情報は文字通り一切 touch されない。
以下は、FreeBSDにてフロッピーのディスクイメージを作成し、
touch -t200406061234.56 /mnt/hello.txtしたフロッピーのディスクイメージをコピーした後、それに対し
touch -t200406081234.56 /mnt/hello.txtしてから双方のディスクイメージのhexdumpを全部取り、そのdiffを求めた結果である。
--- before.dump 2010-09-23 21:15:51.000000000 +0900File Allocation Tableの仕様どおり、最終アクセス日付と最終更新日時に対応するバイトのみが書き変わっているのがわかる。改ざんは明らかなれど、いつ改ざんしたかという情報は一切書き込まれていない。
+++ after.dump 2010-09-23 21:16:14.000000000 +0900
@@ -20,7 +20,7 @@
00002600 41 68 00 65 00 6c 00 6c 00 6f 00 0f 00 f1 2e 00 |Ah.e.l.l.o......|
00002610 74 00 78 00 74 00 00 00 ff ff 00 00 ff ff ff ff |t.x.t...........|
00002620 48 45 4c 4c 4f 20 20 20 54 58 54 20 00 64 4f a3 |HELLO TXT .dO.|
-00002630 37 3d c1 30 00 00 5c 64 c1 30 02 00 0e 00 00 00 |7=.0..\d.0......|
+00002630 37 3d c8 30 00 00 5c 64 c8 30 02 00 0e 00 00 00 |7=.0..\d.0......|
00002640 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
*
00006600 48 65 6c 6c 6f 2c 20 77 6f 72 6c 64 21 0a 00 00 |Hello, world!...|
前田検事は専用ツールを(おそらくWindowsで)使うことによって傷口を広げてしまったのかも知れない。
本事件以後は、データの「押収」方法そのものが変わらざるをえないだろう。
asahi.com(朝日新聞社):検事、押収資料改ざんか 捜査見立て通りに 郵便不正 - 地検改ざん疑惑
上村被告宅から押収したフロッピーディスク(FD)を返す直前、被告がデータを改ざんしていないか確認した。その際、私用のパソコンでダウンロードしたソフトを使った。改ざんは見あたらなかったため、そのソフトを使ってFDの更新日時データを書き換えて遊んでいた。USBメモリーにコピーして操作していたつもりだったが、FD本体のデータが変わってしまった可能性がある。FDはそのまま返却した。前田検事は過失を主張しているようだが、フロッピーには書き換え防止のツメがついている。このツメを書き換え防止にしなかったというだけでも改ざんの意図ありとするに足りると私は思う。
今後の「押収」では、捜査側はメディアごと持ち去るのではなく、それをその場でコピーした後、コピーしたデータの電子書名なりを被疑者側にも渡すということになるのではないか。これであれば、リムーバルメディアでなくとも対応できるし、クラウドにあるデータでも対処できる(たとえサーバーが国外であっても、被疑者立ち会いの元に「このディレクトリのデータを押収」といったことは当然可能)。被疑者の被る不便も軽減される。
