遠隔操作事件第2回公判のまとめ記事に対する反応(技術者中心)
-
kyoshimine
- 22950
- 0
- 31
- 117
-
- いいね!117
Shoko Egawa
@amneris84
保釈のことばかり報道されているが、裁判の内容を知りたいという声があったので、私の傍聴メモから証言要旨を起こしました。かなり専門的な内容です →【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 http://t.co/7gLwHUqkmY
2014-03-11 11:40:52
弁護士 吉峯耕平
@kyoshimine
これはありがたい! まず、捜査機関側の分析が正しいかどうか、証言を聞いた裁判官がすぐに判断できないことはよくわかると思う。 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調(江川 紹子) http://t.co/xPTv297p5F
2014-03-11 11:55:46
弁護士 吉峯耕平
@kyoshimine
(続き) 分析が正確かどうか、これは、弁護側で分析を再現するしかない。そのためには、HDDの保全データ(丸ごとコピー)が弁護側に開示されることが必要。 開示されれば、分析が正確かどうかは確認できるし、おそらくそこに問題はないのだろう。(もし開示されなかったら、大問題)
2014-03-11 11:58:00
弁護士 吉峯耕平
@kyoshimine
(続き) 分析が正確であるとすれば、勤務先のPCで事件に関連する動作があり、その記録の断片が残っていたことは確定する。そうすると、それがゆうちゃんの操作によるものか、遠隔操作によるものかという、争点が残ることになる。これは、先行する4件の誤認逮捕・冤罪事件と同じ構造。
2014-03-11 12:01:48
弁護士 吉峯耕平
@kyoshimine
(続き) そうすると、勤務先PCのHDDの保全データを分析して、ゆうちゃんの操作によるものか、遠隔操作によるものかを判断することになる。これが、今後の弁護側の課題になるだろう(そのためにも保全データの開示が大前提になる)。 ある意味、分析担当者への反対尋問は、どうでもいい。
2014-03-11 12:04:04
弁護士 吉峯耕平
@kyoshimine
(続き) 勤務先PCの遠隔操作は、iesys.exeでなされた可能性が高い(別の遠隔操作プログラムが用いられた可能性もないではない)。 そうすると、先行4事件のうちiesys.exeが使われた3事件で、HDDにどのような痕跡が残っているかが重要なポイントになる。
2014-03-11 12:05:41
弁護士 吉峯耕平
@kyoshimine
(続き) これら3事件で押さえてあるHDDの保全データの開示はどうなっているだろうか? もし万が一開示されないということであれば、それは、極めて不当な事態だと思う。
2014-03-11 12:07:43
弁護士 吉峯耕平
@kyoshimine
(続き) 全体的な見立てとしては、捜査側の分析が示すような露骨な痕跡が、職場のPCに残っているというのは、やや不自然という気がする。自分に捜査が辿りつくことはないと考えていたのであれば、どんな証拠が残っていてもおかしくないのだが、それなら自宅のPCにも同程度の証拠が残るだろう。
2014-03-11 12:15:19
弁護士 吉峯耕平
@kyoshimine
(続き) フォレンジック的な理屈からいうと、シナリオは3つ。遠隔操作の痕跡が明らかになるか、遠隔操作では説明のつかない痕跡があるか、いずれも分からず、証明責任の問題として処理されるかだ。 最後のケースでは、理屈からいうと無罪ということも考えられるのだが、有罪の公算が高そうだ。
2014-03-11 12:20:21
弁護士 吉峯耕平
@kyoshimine
(続き) こういう証拠構造が見えてくると、検察官が身柄拘束にこだわった気持ちがわかる。被告人・弁護人側の分析能力を可及的に抑え込むことが、有罪獲得への一番の近道だろうからね。 (終わり)
2014-03-11 12:22:37
北河拓士🔰
@kitagawa_takuji
【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調(江川 紹子) - Y!ニュース http://t.co/1JPZgAxO3v
2014-03-11 12:56:10
Tsukasa #01
@a4lg
あっ、この情報が真だとするとかなり黒くなるぞ。でもこれだけ黒い情報を警察が掴んだなら何故ああも頑なな勾留をやったんだ?という新たな疑問が。
2014-03-11 12:58:53
Tsukasa #01
@a4lg
oO( で弁護側の主張だけど、論理自体は合っている。が、Visual C# 2010 Express を気付かれず数回にわたってインストールしたり、それと同等の情報を残すだけでもかなり大変だぞ。今まで犯行で使われた遠隔操作ウイルスより格段にレベルの高いものを使う必要がある。
2014-03-11 13:00:58
Tsukasa #01
@a4lg
oO( で、これを見る限りでは弁護側はデジタルフォレンジックに関わる裁判所への納得のさせ方をもっと工夫する必要があると思う。単に論理的に正しいだけではなく、裁判所に "それが十分有り得る" ことを説明しないといけない。 )
2014-03-11 13:03:02
Tsukasa #01
@a4lg
oO( 今弁護側が抱えている問題のひとつとしては、犯行で使われた遠隔操作マルウェアと "真犯人を偽装するために" 使われた [今のところ仮想的な] 遠隔操作マルウェアの両方で使用された (またそうだと思われる) 技術の溝をどうやって埋めるか。 )
2014-03-11 13:05:13
Tsukasa #01
@a4lg
oO( あと念の為に言っておくと、私はここまで証拠が固められているなら 1 年もの勾留を行う必要は全くないと思っている。検察が危惧したとすれば、これらの根拠の証拠が捏造されたものであるということか、あるいは新たな犯行によって仮想的な真犯人を作られないか、ということだと思う。 )
2014-03-11 13:06:41
Tsukasa #01
@a4lg
@amneris84 記事を読みました。検察の出した証拠が捏造でないなら、これだけでかなり厳しいですね。被告人の主張は論理的には合っているのですが、裁判所に納得させることは難しいかもしれません。
2014-03-11 13:10:44
Tsukasa #01
@a4lg
@amneris84 というのも、被告人の主張が事実であると仮定すると、誤認逮捕を生み出したマルウェアと "ニセの真犯人を生み出した" マルウェアの間に相当の技術力の差があるためです。専門家から見て後者も不可能ではないと考えますが、そのために必要な技術は前者より格段に上です。
2014-03-11 13:13:23
Tsukasa #01
@a4lg
@amneris84 私としては、押収された PC のディスク内容を (空き領域や検察側の主張にあるスラック領域含めて) 弁護側が独自解析をするのが、事態を進めるために有用であると考えます。横槍で失礼しますが、セキュリティ研究者の端くれとして助言ができていれば幸い。
2014-03-11 13:14:34
Tsukasa #01
@a4lg
@amneris84 一番手っ取り早いのは、そうした行為によって、"ニセの真犯人を作り出した" マルウェアを特定・発見すること、ないし、彼らが提出した "証拠" の致命的な瑕疵や捏造があるならそれを暴くことですね。それだけは確かです。
2014-03-11 13:16:56
Tsukasa #01
@a4lg
oO( "曰くつきの" 人物を真犯人に仕立て上げる理由と、彼が使う複数のコンピュータを遠隔操作するまでの流れは弁護側の十分な説明によって埋めることはできるはず。もうひとつ弁護側が埋める必要があるとすれば、その特定個人に最初の高度なマルウェアをインストールするまでの流れ。 )
2014-03-11 13:25:01
Tsukasa #01
@a4lg
@Yuichiro_S 解析台数と証明したい事実に照らし合わせると、おそらく普通のセキュリティ (デジタルフォレンジック) 会社であればこれらの主張を埋めるための解析は長く見積もって 3 ヶ月程度だと思う。
2014-03-11 13:26:30