パスワードを忘れた? アカウント作成
10752125 story
犯罪

「遠隔操作事件」裁判における検察側の主張 197

ストーリー by hylom
シロかクロか 部門より
あるAnonymous Coward 曰く、

先日、被告の保釈請求に関する騒動も話題になった「遠隔操作事件」裁判だが、その第2回公判にて、被告のPCの解析を行った検察側の証人による主張について、ジャーナリストの江川紹子氏がまとめている(【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調)。

証人は、被告が職場で使用していたPCのHDDを解析した結果を証拠として証言したという。その内容を簡単にまとめると以下のようになる。

  • PCはHP製のものだった
  • PCにはHDD中に3つのパーティションがあり、また光学ドライブ(E:)があった
  • それらに加え、TruCryptというソフトウェアで作成された仮想ドライブ(F:)も存在した
  • PCには4回に渡ってVisual C# 2010 Expressがインストール/アンインストールされた痕跡があった
  • HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた

また、遠隔操作プログラムについてはその解析結果から、以下のことが分かっているという。

  • 遠隔操作プログラムの開発ツールはVS2010であった
  • 開発時の環境に関する情報として、F:ドライブの「vproj」ディレクトリを含むファイルパスが含まれていた
  • 「Copyright(c)Hewlett-Packard Company 2012」というものも含まれていた

そのほか、F:ドライブ内にあったGoogle Chrome Portableの履歴などの解析から、F:ドライブを被告が使っていたと見なせる痕跡や、遠隔操作ウイルスが指令のやりとりに使っていたしたらば掲示板の管理者は被告が作成したものだった、といった情報も提示されていたという。

これらの情報を見る限り、被告のPCで遠隔操作プログラムが作成された可能性は十分ありそうだが、それが第三者によって遠隔操作で行われた可能性は否定できず、なんとも微妙なところである。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by iwakuralain (33086) on 2014年03月12日 13時02分 (#2561519)

    状況証拠にしかならない気がするな。
    遠隔操作されていた場合もそうだけど、そのPCを他の人が触ることが出来たのならとか専門家が見れば突っ込みどころが多そう。

    とんでも判決が出るのか落としどころを見つけられるのかは興味がある。

  • よほどフォレンジックでヘマをしていない限り、この PC で iesys.exe が作成された可能性は高い感じがするけど、この「会社の PC」を他の人が使っていなかった、という証拠はあるのかなぁ。

    仮に、被告が犯人ではないとすると、この PC を遠隔操作するよりも、被告が利用していない時間に、社内の誰かが利用する方が簡単な気が。

    • by Anonymous Coward on 2014年03月12日 13時32分 (#2561555)

      って言うことは、被告人側の弁護人の質問は二つですね。

      ・このPCを遠隔操作して、このような痕跡を残すことは可能ですか? 不可能ですか?
      ・このPCは被告人が操作していたのですか?(この証拠によって、被告人が当該PCを操作した証拠になりますか?)

      ぶっちゃけ、コンピュータに残された痕跡だけを頼りに4人を誤認逮捕したことの反省があるかどうかのような気がしますね。
      前の4人には「痕跡がある!お前だ!(だけど遠隔操作されてると指摘されちゃった)」と言い、被告人にもやっぱり「痕跡がある!お前だ!」と言う。
      警察・検察の主張には、ある意味一貫性があるわけですよ。
      「痕跡があれば、その現在の保有者/使用者が犯人だ」という頑迷な一貫性が。
      でも、今回の件では「現在の保有者/使用者の意識していないところで痕跡を残すことは可能」ということが(前4件で)認めさせられてしまったわけですから、警察・検察にはそこをどうにかして打ち破ってもらわないと困るわけです。
      何故なら、今後、こういう事件が起る度に冤罪を疑わなければいけなくなりますし、警察にはこういう事犯は取り締まり不能であるということになってしまいます。
      逆に言えば、誰でも(他者によって)罪に陥れられる可能性がある、という恐怖を社会に残すことになります。

      コンピュータ上に残された痕跡と、その痕跡を残した人物(=犯人)を結びつける証拠。
      裁判所には、電子的/電磁的記録と現実社会をつなぐ揺るぎない証拠を元に判断をしてもらいたいものです。

      親コメント
      • by Anonymous Coward on 2014年03月12日 14時18分 (#2561593)

        実際、今回の件が5台目のクラッキングされたPCの可能性を排除する証拠が出てきていない点が問題ですねぇ。
        いや、そもそもクラッキングされたPCが4台だけなのかって点も疑問なんですが。

        この手の定石として最小限数だけ侵入したというより、もっと多数のオーダーで侵入が行われていて、その中で作業が
        やりやすかった処を使うというパターンだと思うのですが。その場合、VC# だって後から入れるより
        最初から入っているところを使う方が都合がいいでしょうから、VC#がインストールされているのが証拠といわれても
        どっちとも取れる程度の話に見えます。

        親コメント
    • by Anonymous Coward on 2014年03月12日 13時14分 (#2561533)

      被告が使う前に「使っていた」可能性もあるような。

      親コメント
    • by Anonymous Coward

      被告本人は心当たりがないとかいってるけど、遠隔操作事件の犯人は被告を陥れる事を目的としているんだとすれば
      被告に一番身近な人が犯人である可能性が一番高いよね。

      あるいは被告に恨みがなくても、犯人に仕立て上げるのに相応しい人間として選ばれた可能性も高い。

  • by Anonymous Coward on 2014年03月12日 13時53分 (#2561569)

    実際、冤罪だったといわれるケースだと、有名人を見つけ出して遠隔操作ではめ込むところまでシナリオ作りをしたり
    居住地域に合わせて犯行予告をセッティングしたりしている。

    真犯人がよほど強運なのでなければ、数百人とか数千人のPCがスキャンされて、個人情報や環境情報のリストを作ったうえでよさげなところを攻撃している、ボロがでそうなときは途中で撤退もしてる、と考えるのが自然。たかだか10台ばかしのっとって、それぞれくまなく調べて、そのPCのオーナーの性質を調べ上げてなりすまして、そのほとんどのケースで警察を騙せたっていうのは、警察がいかに無能だったとしてもムリがある。

    数百人の候補者リストを作ったうえで、真犯人としては、HPのPCユーザーでVSをインストールした履歴をもつ奴、etcというのを見つけたから、そこに足跡を残せばいいだけだと気づいた、、って考えるほうがはるかに自然だよ。候補リストを作っていけそうなのを攻撃するってのはクラッキングの手法としても普通のことだと思う。

  • by Anonymous Coward on 2014年03月12日 13時13分 (#2561530)

    > 乙社の被告人専用PCのC:\testフォルダに、test.datファイルがあった。test.datファイルは、iesysと基本的動作が同じである。

     からの、

    > test.datはiesys開発のテストに使われたと思う。

    となっているけれど、Cドライブにiesysと同じ動作のファイルがあったなら、
    それはつまり、遠隔操作ウィルスに感染していた、ってことじゃないの?
    それが動作検証の為に意図的に感染させたのか、真犯人に感染させられたのか
    なんて、分かりっこないでしょ。

    > 被告人の自宅からはUSBメモリなど8点が押収されている。シマンテック社製のソフトでウイルスチェックを行ったが、ウイルスは発見されていない。

    この主張に至っては、全く意味をなさない。
    過去に誤認逮捕された人たちのPCでも当然ウィルスチェックを行って、
    それで検出されなかったから犯人と決め付けたんでしょ?
    今回も全く同じなんじゃないの?
    犯人が作成したウィルスが、iesysだけとは限らないのだから。

    結局「アンチウィルスソフトでは検知できないウィルスに感染して遠隔操作され、
    痕跡を残さずウィルスは消えた」という被告の主張を覆すには、悪魔の証明を
    しなければならない。
    逆にそれを証明することなく有罪にできるのなら、今後も日本は冤罪天国。
    中世レベルの司法だと証明することになる。

  • 誤認逮捕したほかの人のパソコンにも同じものがあったりして。
    --
    -- 哀れな日本人専用(sorry Japanese only) --
  • by Anonymous Coward on 2014年03月12日 12時54分 (#2561511)

    C#なら .csproj じゃなきゃおかしいだろ

    • by Anonymous Coward

      いやvprojは拡張子じゃなくてディレクトリ名な。

  • by Anonymous Coward on 2014年03月12日 12時54分 (#2561512)

    HPのパソコンはコンパイル時にHPのコピーライト埋め込むのか?

    • by Anonymous Coward on 2014年03月12日 13時04分 (#2561522)

      HPのパソコンはコンパイル時にHPのコピーライト埋め込むのか?

      BTOのパソコンでVS2012ですが、新規作成でプロジェクト作成して試してみたらアセンブリ情報にデフォルトでBTOメーカーのコピーライトが入りました。

      親コメント
      • ヘルプ>バージョン情報を見てみましょう。
        ライセンス先がBTOメーカーのコピーライトではありませんか?
        レジストリエディタで
        32bit OSならHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
        64bit OSならHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion
        を開いた先にある、RegisteredOrganizationが元です。

        この挙動、セットアップ時の設定か現行設定が反映されるかの差異はありますが、
        Win9x時代のVB 6.0とかからの登録した会社名がデフォルト値になる挙動で今更なネタですね。
        MS Officeでドキュメントにユーザー名や会社名が設定されるのと同じレベルで既知。
        製品を納品するビルド環境を構築する際にちゃんと適切な設定になっているかちゃんと確認するのが嗜みですがしてない所も極稀に。

        あと、別ツリーや子のCopyright © [RegisteredOrganization] 2014とかの西暦はプロジェクト作成時の年が動的に埋め込まれるのであまり役に立たないです。
        # ちなみにコピーライト表記の効力を発揮するには© 名前 作成年が最小構成だったり。
        # Copyright 著作者 年だと無効な罠ありだから要注意な!

        --
        私を信じないで、貴方を裏切ってしまうから。
        親コメント
        • > # ちなみにコピーライト表記の効力を発揮するには© 名前 作成年が最小構成だったり。
          > # Copyright 著作者 年だと無効な罠ありだから要注意な!

          まあ間違っちゃないですけど、それが罠になる(=万国著作権条約には加盟しているが、ベルヌ条約に加盟していない)のはラオスとカンボジアの二国だけ [wikipedia.org]ですね。万国著作権条約では方式主義(適切な著作権表示を行うと加盟した他国でも著作権が有効になる)のにたいし、ベルヌ条約加盟国間では無方式主義(何もしなくてもただそこにあるだけで著作物には著作権が発生する)ので著作権表示は不要。

          アメリカがベルヌ条約に加盟した今となっては、Copyright表記は「それっぽい装飾が施された、ただの著作者表示」にすぎないと思う。もう格好良ければなんでもあり。
          #Webアプリな仕事とかで「Copyright 表記を現在年で動的に表示してくれ」なんて言われたりすることがよくあるし。

          親コメント
    • by Anonymous Coward on 2014年03月12日 14時18分 (#2561592)

      HPじゃなくて、マハーポーシャとかだったらちょっとはふーんって思うけど
      よりによってHPだろ、何台出荷してるんだよ、、

      親コメント
    • by Anonymous Coward

      iesysのバイナリに入っているのが判明したとき、埋め込まれる現象が確認されて話題になりましたね。

  • by Anonymous Coward on 2014年03月12日 12時55分 (#2561515)

    ここで言ってる「遠隔操作(iesys.exe)」ってあらゆることができる完全なバックドアではないよね?

    • by Anonymous Coward on 2014年03月12日 13時29分 (#2561550)

      別にあらゆることができなくてもいいんじゃない?
      ボットネットの作り方と一緒で、うまくいったケースだけ頑張ればいい

      遠隔操作の本当の真犯人の手口の種明かししてみます
        http://matome.naver.jp/odai/2136089025623964501 [naver.jp]

      親コメント
      • by Anonymous Coward

        あ、そういう意味じゃなくて、タレこみ文の
        >>被告のPCで遠隔操作プログラムが作成された可能性は十分ありそうだが、それが第三者によって遠隔操作で行われた可能性は否定できず
        っていうけど、iesys.exeじゃこれだけのこと遠隔操作でできないですよね?
        って意味の質問だったの。

        • by I-say (18650) on 2014年03月12日 14時15分 (#2561590)

          •PCはHP製のものだった
          •PCにはHDD中に3つのパーティションがあり、また光学ドライブ(E:)があった
          •それらに加え、TruCryptというソフトウェアで作成された仮想ドライブ(F:)も存在した
          •PCには4回に渡ってVisual C# 2010 Expressがインストール/アンインストールされた痕跡があった
          ↑この辺まではソフト会社なら普通に有り得る事で「iesys.exe」でこれらの情報を得た上で

          •HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
          ↑ここの段を
          「ターゲットを真似た環境でビルド」or「普通に自分でビルドしたものの環境情報の改竄」を行い、
          「iesys.exe」を使ってそれらを置けばいけるんじゃない?

          親コメント
          • by nobanner (41086) on 2014年03月12日 19時34分 (#2561836) 日記

            検察の挙げるファイルスラック領域にデバッグ中に一時に作成されるファイルの削除痕跡があったことからすると、単にファイルを持ってきただけではなくて開発の過程を当該PCで再現するようにファイル作成・削除を実行したことになりますね。

            親コメント
  • by Anonymous Coward on 2014年03月12日 13時05分 (#2561523)

    解析結果を使って、それらしいストーリーを組み立てろと言われたとか?

  • by Anonymous Coward on 2014年03月12日 13時14分 (#2561532)

    リンク先の文章ではよく判りませんが、要するに一番肝心なTrueCryptの中を検察は確認できないままって事ですかね?
    キーワードについても要約では実ファイルの痕跡なのかテキストなのかもよく判らない。

    そもそも使用者が完全特定出来ない会社のPCって処でどうなのよ? と疑問があるけどさ。

    • by Anonymous Coward

      証人はFドライブの中身に言及しているようだけど、タレコミ読むとそれがTrueCryptのドライブっぽいよね。

  • by Anonymous Coward on 2014年03月12日 13時24分 (#2561546)
    こういうの見ちゃうとまあ黒かなあって判断しちゃうわ。
    どこにいるのかわからない真犯人とやらはゆうちゃんが有罪判決くらってからまたなにか声明をだすのかしらね。
  • by Anonymous Coward on 2014年03月12日 13時41分 (#2561563)

    問題は、Visual C# 2010 Expressがサイレントインストールされたか否かですね。
    通常インストールされてるのが確認できれば、限りなく怪しいと思います。

    サイレントインストールについてはこのあたり。
    http://stackoverflow.com/questions/19450343/silent-install-of-visual-b... [stackoverflow.com]

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...