編集可能

【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 記事からのセキュリティコミュでの反応

@amneris84さんの記事をきっかけにしたセキュリティコミュの反応まとめ 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調 http://bylines.news.yahoo.co.jp/egawashoko/20140311-00033448/ 続きを読む
12
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

これはありがたい! まず、捜査機関側の分析が正しいかどうか、証言を聞いた裁判官がすぐに判断できないことはよくわかると思う。 【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調(江川 紹子) http://t.co/xPTv297p5F

2014-03-11 11:55:46
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

(続き) 分析が正確かどうか、これは、弁護側で分析を再現するしかない。そのためには、HDDの保全データ(丸ごとコピー)が弁護側に開示されることが必要。 開示されれば、分析が正確かどうかは確認できるし、おそらくそこに問題はないのだろう。(もし開示されなかったら、大問題)

2014-03-11 11:58:00
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

(続き) 分析が正確であるとすれば、勤務先のPCで事件に関連する動作があり、その記録の断片が残っていたことは確定する。そうすると、それがゆうちゃんの操作によるものか、遠隔操作によるものかという、争点が残ることになる。これは、先行する4件の誤認逮捕・冤罪事件と同じ構造。

2014-03-11 12:01:48
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

(続き) そうすると、勤務先PCのHDDの保全データを分析して、ゆうちゃんの操作によるものか、遠隔操作によるものかを判断することになる。これが、今後の弁護側の課題になるだろう(そのためにも保全データの開示が大前提になる)。 ある意味、分析担当者への反対尋問は、どうでもいい。

2014-03-11 12:04:04
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

(続き) 勤務先PCの遠隔操作は、iesys.exeでなされた可能性が高い(別の遠隔操作プログラムが用いられた可能性もないではない)。 そうすると、先行4事件のうちiesys.exeが使われた3事件で、HDDにどのような痕跡が残っているかが重要なポイントになる。

2014-03-11 12:05:41
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

(続き) これら3事件で押さえてあるHDDの保全データの開示はどうなっているだろうか? もし万が一開示されないということであれば、それは、極めて不当な事態だと思う。

2014-03-11 12:07:43
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

(続き) 全体的な見立てとしては、捜査側の分析が示すような露骨な痕跡が、職場のPCに残っているというのは、やや不自然という気がする。自分に捜査が辿りつくことはないと考えていたのであれば、どんな証拠が残っていてもおかしくないのだが、それなら自宅のPCにも同程度の証拠が残るだろう。

2014-03-11 12:15:19
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine

(続き) フォレンジック的な理屈からいうと、シナリオは3つ。遠隔操作の痕跡が明らかになるか、遠隔操作では説明のつかない痕跡があるか、いずれも分からず、証明責任の問題として処理されるかだ。 最後のケースでは、理屈からいうと無罪ということも考えられるのだが、有罪の公算が高そうだ。

2014-03-11 12:20:21
Tsukasa #01 @a4lg

あっ、この情報が真だとするとかなり黒くなるぞ。でもこれだけ黒い情報を警察が掴んだなら何故ああも頑なな勾留をやったんだ?という新たな疑問が。

2014-03-11 12:58:53
Tsukasa #01 @a4lg

oO( で弁護側の主張だけど、論理自体は合っている。が、Visual C# 2010 Express を気付かれず数回にわたってインストールしたり、それと同等の情報を残すだけでもかなり大変だぞ。今まで犯行で使われた遠隔操作ウイルスより格段にレベルの高いものを使う必要がある。

2014-03-11 13:00:58
Tsukasa #01 @a4lg

oO( で、これを見る限りでは弁護側はデジタルフォレンジックに関わる裁判所への納得のさせ方をもっと工夫する必要があると思う。単に論理的に正しいだけではなく、裁判所に "それが十分有り得る" ことを説明しないといけない。 )

2014-03-11 13:03:02
Tsukasa #01 @a4lg

oO( 今弁護側が抱えている問題のひとつとしては、犯行で使われた遠隔操作マルウェアと "真犯人を偽装するために" 使われた [今のところ仮想的な] 遠隔操作マルウェアの両方で使用された (またそうだと思われる) 技術の溝をどうやって埋めるか。 )

2014-03-11 13:05:13
Tsukasa #01 @a4lg

oO( あと念の為に言っておくと、私はここまで証拠が固められているなら 1 年もの勾留を行う必要は全くないと思っている。検察が危惧したとすれば、これらの根拠の証拠が捏造されたものであるということか、あるいは新たな犯行によって仮想的な真犯人を作られないか、ということだと思う。 )

2014-03-11 13:06:41
Tsukasa #01 @a4lg

oO( 弁護側が押収された PC のディスクイメージをちゃんと取得できるならこれらに対する反証も楽になると思う。 )

2014-03-11 13:07:47
Tsukasa #01 @a4lg

@amneris84 記事を読みました。検察の出した証拠が捏造でないなら、これだけでかなり厳しいですね。被告人の主張は論理的には合っているのですが、裁判所に納得させることは難しいかもしれません。

2014-03-11 13:10:44
Tsukasa #01 @a4lg

@amneris84 というのも、被告人の主張が事実であると仮定すると、誤認逮捕を生み出したマルウェアと "ニセの真犯人を生み出した" マルウェアの間に相当の技術力の差があるためです。専門家から見て後者も不可能ではないと考えますが、そのために必要な技術は前者より格段に上です。

2014-03-11 13:13:23
Tsukasa #01 @a4lg

@amneris84 私としては、押収された PC のディスク内容を (空き領域や検察側の主張にあるスラック領域含めて) 弁護側が独自解析をするのが、事態を進めるために有用であると考えます。横槍で失礼しますが、セキュリティ研究者の端くれとして助言ができていれば幸い。

2014-03-11 13:14:34
Tsukasa #01 @a4lg

@amneris84 一番手っ取り早いのは、そうした行為によって、"ニセの真犯人を作り出した" マルウェアを特定・発見すること、ないし、彼らが提出した "証拠" の致命的な瑕疵や捏造があるならそれを暴くことですね。それだけは確かです。

2014-03-11 13:16:56
ゆーいちろー @Yuichiro_S

@a4lg 私も、検察側が出してきたこの証拠を見たら黒寄りだと思いました。でも、そんなに調べるのに時間がかかるような内容なのか? と考えると、不思議です。

2014-03-11 13:24:03
Tsukasa #01 @a4lg

oO( "曰くつきの" 人物を真犯人に仕立て上げる理由と、彼が使う複数のコンピュータを遠隔操作するまでの流れは弁護側の十分な説明によって埋めることはできるはず。もうひとつ弁護側が埋める必要があるとすれば、その特定個人に最初の高度なマルウェアをインストールするまでの流れ。 )

2014-03-11 13:25:01
Tsukasa #01 @a4lg

@Yuichiro_S 解析台数と証明したい事実に照らし合わせると、おそらく普通のセキュリティ (デジタルフォレンジック) 会社であればこれらの主張を埋めるための解析は長く見積もって 3 ヶ月程度だと思う。

2014-03-11 13:26:30
Tsukasa #01 @a4lg

oO( スラック領域の証拠までまっすぐたどり着いていれば報告書作成込で 2 週間。ただそこまでうまくいったはずもないだろうし、複数のアプローチは試していると推測。それを考慮した推測結果が、3 ヶ月。 )

2014-03-11 13:28:32
Tsukasa #01 @a4lg

oO( 弁護側へのコネがないので江川紹子氏にまとめてリプライを送ってしまったが、迷惑だっただろうか? )

2014-03-11 13:29:52
Tsukasa #01 @a4lg

@Yuichiro_S あとは精査 (事件のタイムラインとの整合性調査や偽装有無の確認) の時間もあるので、スラック領域にたどり着いてからも長い場合は考えられます。

2014-03-11 13:30:48
Tsukasa #01 @a4lg

oO( とりあえず、江川紹子氏がリプライのひとつに☆をつけてくれたので、一応読んでくれたとは思う。 )

2014-03-11 13:31:18
残りを読む(136)

コメント

nekosencho @Neko_Sencho 2014年3月13日
なんかすげえことになってんな
0
Yuji TANAKA @ugtk 2014年3月14日
検察の失態はあっても、片山(丑田)への嫌悪感は変わらない。小学生相手に、無反省に陰湿な行為をする男。
0
Tsukasa #01 @a4lg 2014年3月14日
まとめられて見てみると、自分、技術的な解釈にものすごく偏ってるな。技術的な部分の正しさは確信しているが、他の解釈の余地は……かなりあるんだね。
0