10周年のSPコンテンツ!
66
Shoko Egawa @amneris84
保釈のことばかり報道されている、裁判の内容を知りたいという声があったので、私の傍聴メモから証言要旨を起こしました。かなり専門的な内容です →【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 http://t.co/7gLwHUqkmY
リンク Yahoo!ニュース 個人 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調(江川 紹子) - Yahoo!ニュース 警視庁でPC解析を行った警察官が、被告人が派遣先で使用していたPCのハードディスクのファイルスラック領域から多数の「痕跡」が発見されたとし、「このPCで問題のウイルスが開発されたと推認される」と述べた
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
これはありがたい! まず、捜査機関側の分析が正しいかどうか、証言を聞いた裁判官がすぐに判断できないことはよくわかると思う。 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調(江川 紹子) http://t.co/xPTv297p5F
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) 分析が正確かどうか、これは、弁護側で分析を再現するしかない。そのためには、HDDの保全データ(丸ごとコピー)が弁護側に開示されることが必要。 開示されれば、分析が正確かどうかは確認できるし、おそらくそこに問題はないのだろう。(もし開示されなかったら、大問題)
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) 分析が正確であるとすれば、勤務先のPCで事件に関連する動作があり、その記録の断片が残っていたことは確定する。そうすると、それがゆうちゃんの操作によるものか、遠隔操作によるものかという、争点が残ることになる。これは、先行する4件の誤認逮捕・冤罪事件と同じ構造。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) そうすると、勤務先PCのHDDの保全データを分析して、ゆうちゃんの操作によるものか、遠隔操作によるものかを判断することになる。これが、今後の弁護側の課題になるだろう(そのためにも保全データの開示が大前提になる)。 ある意味、分析担当者への反対尋問は、どうでもいい。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) 勤務先PCの遠隔操作は、iesys.exeでなされた可能性が高い(別の遠隔操作プログラムが用いられた可能性もないではない)。 そうすると、先行4事件のうちiesys.exeが使われた3事件で、HDDにどのような痕跡が残っているかが重要なポイントになる。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) これら3事件で押さえてあるHDDの保全データの開示はどうなっているだろうか? もし万が一開示されないということであれば、それは、極めて不当な事態だと思う。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) 全体的な見立てとしては、捜査側の分析が示すような露骨な痕跡が、職場のPCに残っているというのは、やや不自然という気がする。自分に捜査が辿りつくことはないと考えていたのであれば、どんな証拠が残っていてもおかしくないのだが、それなら自宅のPCにも同程度の証拠が残るだろう。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) フォレンジック的な理屈からいうと、シナリオは3つ。遠隔操作の痕跡が明らかになるか、遠隔操作では説明のつかない痕跡があるか、いずれも分からず、証明責任の問題として処理されるかだ。 最後のケースでは、理屈からいうと無罪ということも考えられるのだが、有罪の公算が高そうだ。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine
(続き) こういう証拠構造が見えてくると、検察官が身柄拘束にこだわった気持ちがわかる。被告人・弁護人側の分析能力を可及的に抑え込むことが、有罪獲得への一番の近道だろうからね。 (終わり)
北河拓士🔰 @kitagawa_takuji
【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調(江川 紹子) - Y!ニュース http://t.co/1JPZgAxO3v
Tsukasa #01 [要出典] @a4lg
あっ、この情報が真だとするとかなり黒くなるぞ。でもこれだけ黒い情報を警察が掴んだなら何故ああも頑なな勾留をやったんだ?という新たな疑問が。
Tsukasa #01 [要出典] @a4lg
oO( で弁護側の主張だけど、論理自体は合っている。が、Visual C# 2010 Express を気付かれず数回にわたってインストールしたり、それと同等の情報を残すだけでもかなり大変だぞ。今まで犯行で使われた遠隔操作ウイルスより格段にレベルの高いものを使う必要がある。
Tsukasa #01 [要出典] @a4lg
oO( で、これを見る限りでは弁護側はデジタルフォレンジックに関わる裁判所への納得のさせ方をもっと工夫する必要があると思う。単に論理的に正しいだけではなく、裁判所に "それが十分有り得る" ことを説明しないといけない。 )
Tsukasa #01 [要出典] @a4lg
oO( 今弁護側が抱えている問題のひとつとしては、犯行で使われた遠隔操作マルウェアと "真犯人を偽装するために" 使われた [今のところ仮想的な] 遠隔操作マルウェアの両方で使用された (またそうだと思われる) 技術の溝をどうやって埋めるか。 )
Tsukasa #01 [要出典] @a4lg
oO( あと念の為に言っておくと、私はここまで証拠が固められているなら 1 年もの勾留を行う必要は全くないと思っている。検察が危惧したとすれば、これらの根拠の証拠が捏造されたものであるということか、あるいは新たな犯行によって仮想的な真犯人を作られないか、ということだと思う。 )
Tsukasa #01 [要出典] @a4lg
oO( 弁護側が押収された PC のディスクイメージをちゃんと取得できるならこれらに対する反証も楽になると思う。 )
Tsukasa #01 [要出典] @a4lg
@amneris84 記事を読みました。検察の出した証拠が捏造でないなら、これだけでかなり厳しいですね。被告人の主張は論理的には合っているのですが、裁判所に納得させることは難しいかもしれません。
Tsukasa #01 [要出典] @a4lg
@amneris84 というのも、被告人の主張が事実であると仮定すると、誤認逮捕を生み出したマルウェアと "ニセの真犯人を生み出した" マルウェアの間に相当の技術力の差があるためです。専門家から見て後者も不可能ではないと考えますが、そのために必要な技術は前者より格段に上です。
Tsukasa #01 [要出典] @a4lg
@amneris84 私としては、押収された PC のディスク内容を (空き領域や検察側の主張にあるスラック領域含めて) 弁護側が独自解析をするのが、事態を進めるために有用であると考えます。横槍で失礼しますが、セキュリティ研究者の端くれとして助言ができていれば幸い。
Tsukasa #01 [要出典] @a4lg
@amneris84 一番手っ取り早いのは、そうした行為によって、"ニセの真犯人を作り出した" マルウェアを特定・発見すること、ないし、彼らが提出した "証拠" の致命的な瑕疵や捏造があるならそれを暴くことですね。それだけは確かです。
Tsukasa #01 [要出典] @a4lg
@Yuichiro_S 全く同意見。個人的な考えでは被告人が黒寄りに見えますが、だとしても不可解なところが色々多すぎる。
Tsukasa #01 [要出典] @a4lg
oO( "曰くつきの" 人物を真犯人に仕立て上げる理由と、彼が使う複数のコンピュータを遠隔操作するまでの流れは弁護側の十分な説明によって埋めることはできるはず。もうひとつ弁護側が埋める必要があるとすれば、その特定個人に最初の高度なマルウェアをインストールするまでの流れ。 )
Tsukasa #01 [要出典] @a4lg
@Yuichiro_S 解析台数と証明したい事実に照らし合わせると、おそらく普通のセキュリティ (デジタルフォレンジック) 会社であればこれらの主張を埋めるための解析は長く見積もって 3 ヶ月程度だと思う。
残りを読む(181)

コメント

Iᗯ@ @iwaniwata 2014年3月12日
何よりも裁判官が一番たいへんそうだなぁ。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine 2014年3月12日
「この証人が言っていることが事実であれば」という留保は、実は大事。 それから、証人尋問の元になっている報告書(タイトルはまぁ、違うかも)を読むと、全然違う印象を受けたりということもありそう。 反対尋問もまだだし。
倉瀬美都 @clausemitz 2014年3月12日
仕事先のPCで2ケ月かけて、って時点で「ほんまかいな?」って疑いが。個室を与えられてない限り、周りの人間が気づくだろうし、開発時間もかかりすぎだわ。私だったら証拠隠滅しやすいよう自宅PCに外付けHDかUSBメモリをつけて、その上にファイルを置くし、実地テストはネカフェですると思う。わざわざ勤務先PCを使ってる痕跡を残すのが何らかの意図を感じるんだよね。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine 2014年3月12日
その不自然さと、実際にPCに痕跡が残っていること(仮に遠隔操作だと証明はできないとして)を、どう評価するかですね。
マルンボーリ @tandaji 2014年3月13日
疑わしきは罰せず。個人的には、検察はメンツのために有罪に持ち込みたいんだろうと思うが、公判を無茶しなきゃ維持できないのならそもそも起訴すべきではないと考える。
Yuji TANAKA @ugtk 2014年3月13日
証拠の残り方が異常なんだよ。検察をからかう目的なら辻褄があうが。
Tsukasa #01 [要出典] @a4lg 2014年3月14日
kyoshimine ですね。私のツイートの議論展開はあくまで検察側証人の主張を真とした場合です (しかも一部は他の人に突っ込まれてます) し、もしそうだった場合でも、まだ解釈の余地は残っていそうで。
Tsukasa #01 [要出典] @a4lg 2014年3月14日
ugtk その意見には同意しかねます。タイムスタンプやキャッシュのような分かりやすいメタデータは消すのも改ざんするのも容易ですが、そうでない情報もフォレンジック的には色々あるので、この辺は単なる消しそびれ、という可能性も十分あると思います。
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine 2014年3月14日
a4lg これは、どのようなデータが、どのように残っていたかによりますよね。証人尋問はそういう意味では隔靴掻痒で、報告書本体を読むか、さらには、データ自体を分析してみないと、どこまで言えるかは分かんないんですよねー。
Tsukasa #01 [要出典] @a4lg 2014年3月14日
kyoshimine なるほど、参考になります。
Hiroyuki Endo @Hiroyukiponn 2014年3月18日
@connect24h 横から失礼します。 彼が犯人だとして、マルウェアの作成を派遣先の誰からも見えるPCで、なおかつ自分が休職して他の人が使うようなところで行うものでしょうか?素人の私が考えても、自宅のPCに外付けHDDつけて、そこで作業して終わったら捨てますけどね。
ログインして広告を非表示にする
ログインして広告を非表示にする