「遠隔操作事件」裁判における検察側の主張 197
ストーリー by hylom
シロかクロか 部門より
シロかクロか 部門より
あるAnonymous Coward 曰く、
先日、被告の保釈請求に関する騒動も話題になった「遠隔操作事件」裁判だが、その第2回公判にて、被告のPCの解析を行った検察側の証人による主張について、ジャーナリストの江川紹子氏がまとめている(【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調)。
証人は、被告が職場で使用していたPCのHDDを解析した結果を証拠として証言したという。その内容を簡単にまとめると以下のようになる。
- PCはHP製のものだった
- PCにはHDD中に3つのパーティションがあり、また光学ドライブ(E:)があった
- それらに加え、TruCryptというソフトウェアで作成された仮想ドライブ(F:)も存在した
- PCには4回に渡ってVisual C# 2010 Expressがインストール/アンインストールされた痕跡があった
- HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
また、遠隔操作プログラムについてはその解析結果から、以下のことが分かっているという。
- 遠隔操作プログラムの開発ツールはVS2010であった
- 開発時の環境に関する情報として、F:ドライブの「vproj」ディレクトリを含むファイルパスが含まれていた
- 「Copyright(c)Hewlett-Packard Company 2012」というものも含まれていた
そのほか、F:ドライブ内にあったGoogle Chrome Portableの履歴などの解析から、F:ドライブを被告が使っていたと見なせる痕跡や、遠隔操作ウイルスが指令のやりとりに使っていたしたらば掲示板の管理者は被告が作成したものだった、といった情報も提示されていたという。
これらの情報を見る限り、被告のPCで遠隔操作プログラムが作成された可能性は十分ありそうだが、それが第三者によって遠隔操作で行われた可能性は否定できず、なんとも微妙なところである。
この情報だけだと (スコア:3)
状況証拠にしかならない気がするな。
遠隔操作されていた場合もそうだけど、そのPCを他の人が触ることが出来たのならとか専門家が見れば突っ込みどころが多そう。
とんでも判決が出るのか落としどころを見つけられるのかは興味がある。
PC と人を結び付けられるかが焦点? (スコア:2)
よほどフォレンジックでヘマをしていない限り、この PC で iesys.exe が作成された可能性は高い感じがするけど、この「会社の PC」を他の人が使っていなかった、という証拠はあるのかなぁ。
仮に、被告が犯人ではないとすると、この PC を遠隔操作するよりも、被告が利用していない時間に、社内の誰かが利用する方が簡単な気が。
Re:PC と人を結び付けられるかが焦点? (スコア:5, すばらしい洞察)
って言うことは、被告人側の弁護人の質問は二つですね。
・このPCを遠隔操作して、このような痕跡を残すことは可能ですか? 不可能ですか?
・このPCは被告人が操作していたのですか?(この証拠によって、被告人が当該PCを操作した証拠になりますか?)
ぶっちゃけ、コンピュータに残された痕跡だけを頼りに4人を誤認逮捕したことの反省があるかどうかのような気がしますね。
前の4人には「痕跡がある!お前だ!(だけど遠隔操作されてると指摘されちゃった)」と言い、被告人にもやっぱり「痕跡がある!お前だ!」と言う。
警察・検察の主張には、ある意味一貫性があるわけですよ。
「痕跡があれば、その現在の保有者/使用者が犯人だ」という頑迷な一貫性が。
でも、今回の件では「現在の保有者/使用者の意識していないところで痕跡を残すことは可能」ということが(前4件で)認めさせられてしまったわけですから、警察・検察にはそこをどうにかして打ち破ってもらわないと困るわけです。
何故なら、今後、こういう事件が起る度に冤罪を疑わなければいけなくなりますし、警察にはこういう事犯は取り締まり不能であるということになってしまいます。
逆に言えば、誰でも(他者によって)罪に陥れられる可能性がある、という恐怖を社会に残すことになります。
コンピュータ上に残された痕跡と、その痕跡を残した人物(=犯人)を結びつける証拠。
裁判所には、電子的/電磁的記録と現実社会をつなぐ揺るぎない証拠を元に判断をしてもらいたいものです。
Re:PC と人を結び付けられるかが焦点? (スコア:5, 興味深い)
実際、今回の件が5台目のクラッキングされたPCの可能性を排除する証拠が出てきていない点が問題ですねぇ。
いや、そもそもクラッキングされたPCが4台だけなのかって点も疑問なんですが。
この手の定石として最小限数だけ侵入したというより、もっと多数のオーダーで侵入が行われていて、その中で作業が
やりやすかった処を使うというパターンだと思うのですが。その場合、VC# だって後から入れるより
最初から入っているところを使う方が都合がいいでしょうから、VC#がインストールされているのが証拠といわれても
どっちとも取れる程度の話に見えます。
Re:PC と人を結び付けられるかが焦点? (スコア:1)
>>仕込んだファイルを片っ端からDELコマンドで消せばいいだけの話
痕跡残りまくりだろ…
Re:PC と人を結び付けられるかが焦点? (スコア:2, 興味深い)
被告が使う前に「使っていた」可能性もあるような。
Re: (スコア:0)
被告本人は心当たりがないとかいってるけど、遠隔操作事件の犯人は被告を陥れる事を目的としているんだとすれば
被告に一番身近な人が犯人である可能性が一番高いよね。
あるいは被告に恨みがなくても、犯人に仕立て上げるのに相応しい人間として選ばれた可能性も高い。
Re:PC と人を結び付けられるかが焦点? (スコア:1)
この事件は裁判員裁判ではないですが、裁判員は有罪・無罪の判断をしますよ。
裁判官だけで判断するのは、法令解釈や訴訟手続に関する問題などですね。
検察の論理方向がおかしい (スコア:2, すばらしい洞察)
実際、冤罪だったといわれるケースだと、有名人を見つけ出して遠隔操作ではめ込むところまでシナリオ作りをしたり
居住地域に合わせて犯行予告をセッティングしたりしている。
真犯人がよほど強運なのでなければ、数百人とか数千人のPCがスキャンされて、個人情報や環境情報のリストを作ったうえでよさげなところを攻撃している、ボロがでそうなときは途中で撤退もしてる、と考えるのが自然。たかだか10台ばかしのっとって、それぞれくまなく調べて、そのPCのオーナーの性質を調べ上げてなりすまして、そのほとんどのケースで警察を騙せたっていうのは、警察がいかに無能だったとしてもムリがある。
数百人の候補者リストを作ったうえで、真犯人としては、HPのPCユーザーでVSをインストールした履歴をもつ奴、etcというのを見つけたから、そこに足跡を残せばいいだけだと気づいた、、って考えるほうがはるかに自然だよ。候補リストを作っていけそうなのを攻撃するってのはクラッキングの手法としても普通のことだと思う。
『悪魔の証明』 (スコア:1)
> 乙社の被告人専用PCのC:\testフォルダに、test.datファイルがあった。test.datファイルは、iesysと基本的動作が同じである。
からの、
> test.datはiesys開発のテストに使われたと思う。
となっているけれど、Cドライブにiesysと同じ動作のファイルがあったなら、
それはつまり、遠隔操作ウィルスに感染していた、ってことじゃないの?
それが動作検証の為に意図的に感染させたのか、真犯人に感染させられたのか
なんて、分かりっこないでしょ。
> 被告人の自宅からはUSBメモリなど8点が押収されている。シマンテック社製のソフトでウイルスチェックを行ったが、ウイルスは発見されていない。
この主張に至っては、全く意味をなさない。
過去に誤認逮捕された人たちのPCでも当然ウィルスチェックを行って、
それで検出されなかったから犯人と決め付けたんでしょ?
今回も全く同じなんじゃないの?
犯人が作成したウィルスが、iesysだけとは限らないのだから。
結局「アンチウィルスソフトでは検知できないウィルスに感染して遠隔操作され、
痕跡を残さずウィルスは消えた」という被告の主張を覆すには、悪魔の証明を
しなければならない。
逆にそれを証明することなく有罪にできるのなら、今後も日本は冤罪天国。
中世レベルの司法だと証明することになる。
Re:『悪魔の証明』 (スコア:1)
iesys.exe は、Windows起動時に自動的に起動するんだよんwww
誤認逮捕を意図しているんだったら、ソースファイルを送り付けるなんて、ありがちな気もするけど。 (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
vproj ? (スコア:0)
C#なら .csproj じゃなきゃおかしいだろ
Re: (スコア:0)
いやvprojは拡張子じゃなくてディレクトリ名な。
ちょっと待て! (オフトピ) (スコア:0)
HPのパソコンはコンパイル時にHPのコピーライト埋め込むのか?
Re:ちょっと待て! (オフトピ) (スコア:5, 参考になる)
HPのパソコンはコンパイル時にHPのコピーライト埋め込むのか?
BTOのパソコンでVS2012ですが、新規作成でプロジェクト作成して試してみたらアセンブリ情報にデフォルトでBTOメーカーのコピーライトが入りました。
Re:ちょっと待て! (オフトピ) (スコア:1)
ヘルプ>バージョン情報を見てみましょう。
ライセンス先がBTOメーカーのコピーライトではありませんか?
レジストリエディタで
32bit OSならHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
64bit OSならHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion
を開いた先にある、RegisteredOrganizationが元です。
この挙動、セットアップ時の設定か現行設定が反映されるかの差異はありますが、
Win9x時代のVB 6.0とかからの登録した会社名がデフォルト値になる挙動で今更なネタですね。
MS Officeでドキュメントにユーザー名や会社名が設定されるのと同じレベルで既知。
製品を納品するビルド環境を構築する際にちゃんと適切な設定になっているかちゃんと確認するのが嗜みですがしてない所も極稀に。
あと、別ツリーや子のCopyright © [RegisteredOrganization] 2014とかの西暦はプロジェクト作成時の年が動的に埋め込まれるのであまり役に立たないです。
# ちなみにコピーライト表記の効力を発揮するには© 名前 作成年が最小構成だったり。
# Copyright 著作者 年だと無効な罠ありだから要注意な!
Re:ちょっと待て! (オフトピ) (スコア:2)
> # ちなみにコピーライト表記の効力を発揮するには© 名前 作成年が最小構成だったり。
> # Copyright 著作者 年だと無効な罠ありだから要注意な!
まあ間違っちゃないですけど、それが罠になる(=万国著作権条約には加盟しているが、ベルヌ条約に加盟していない)のはラオスとカンボジアの二国だけ [wikipedia.org]ですね。万国著作権条約では方式主義(適切な著作権表示を行うと加盟した他国でも著作権が有効になる)のにたいし、ベルヌ条約加盟国間では無方式主義(何もしなくてもただそこにあるだけで著作物には著作権が発生する)ので著作権表示は不要。
アメリカがベルヌ条約に加盟した今となっては、Copyright表記は「それっぽい装飾が施された、ただの著作者表示」にすぎないと思う。もう格好良ければなんでもあり。
#Webアプリな仕事とかで「Copyright 表記を現在年で動的に表示してくれ」なんて言われたりすることがよくあるし。
Re:ちょっと待て! (オフトピ) (スコア:1)
プリインストールマシンで良く有る、無人セットアップの仕様でユーザー名だけ入れて組織名は空っぽってのが不可能なだけです。
何らかの会社名が無いと手動で入力する必要が出るので、プリインストール機で何も考えずにPCメーカー名が入っているのは良くある事です。
本来ユーザー名と共に要求すべきだとは思いますがね。
[HOWTO] Unattend.txt ファイルの無人セットアップ パラメータ [microsoft.com]をOrgNameで検索してみるとか自分で試すとかで確認してください。
Re:ちょっと待て! (オフトピ) (スコア:1)
リンク先のKB間違えました。
正しくは、[HOWTO] Unattend.txt ファイルの無人セットアップ パラメータ [microsoft.com]です。
# DefineDosDeviceが古いAPIなので余談で張ろうかと思ってコピってたのが張られたらしい。
Re:ちょっと待て! (オフトピ) (スコア:1)
Re:ちょっと待て! (オフトピ) (スコア:1)
HPじゃなくて、マハーポーシャとかだったらちょっとはふーんって思うけど
よりによってHPだろ、何台出荷してるんだよ、、
Re: (スコア:0)
iesysのバイナリに入っているのが判明したとき、埋め込まれる現象が確認されて話題になりましたね。
魔法 (スコア:0)
ここで言ってる「遠隔操作(iesys.exe)」ってあらゆることができる完全なバックドアではないよね?
Re:魔法 (スコア:1)
別にあらゆることができなくてもいいんじゃない?
ボットネットの作り方と一緒で、うまくいったケースだけ頑張ればいい
遠隔操作の本当の真犯人の手口の種明かししてみます
http://matome.naver.jp/odai/2136089025623964501 [naver.jp]
Re: (スコア:0)
あ、そういう意味じゃなくて、タレこみ文の
>>被告のPCで遠隔操作プログラムが作成された可能性は十分ありそうだが、それが第三者によって遠隔操作で行われた可能性は否定できず
っていうけど、iesys.exeじゃこれだけのこと遠隔操作でできないですよね?
って意味の質問だったの。
Re:魔法 (スコア:2)
•PCはHP製のものだった
•PCにはHDD中に3つのパーティションがあり、また光学ドライブ(E:)があった
•それらに加え、TruCryptというソフトウェアで作成された仮想ドライブ(F:)も存在した
•PCには4回に渡ってVisual C# 2010 Expressがインストール/アンインストールされた痕跡があった
↑この辺まではソフト会社なら普通に有り得る事で「iesys.exe」でこれらの情報を得た上で
•HDD中に遠隔操作プログラムである「iesys.exe」や、そのデバッグデータである「iesys.pdb」などの痕跡が残っていた
↑ここの段を
「ターゲットを真似た環境でビルド」or「普通に自分でビルドしたものの環境情報の改竄」を行い、
「iesys.exe」を使ってそれらを置けばいけるんじゃない?
Re:魔法 (スコア:2)
検察の挙げるファイルスラック領域にデバッグ中に一時に作成されるファイルの削除痕跡があったことからすると、単にファイルを持ってきただけではなくて開発の過程を当該PCで再現するようにファイル作成・削除を実行したことになりますね。
Re:魔法 (スコア:3)
うんまあ俺も相当回りくどい感じはするのだけども。
この件の犯人って、既に判明している情報でも
少なくとも最初に遠隔操作してから3か月間を置いてから犯行声明を出すような計画的忍耐強さを見せてるので
そんな犯人がこの片山君を有罪にする事をこの事件のクライマックスとして本気で突き詰めて企んでるとしたら
という可能性を考えると、「そこまで考えてやるもんかねぇ?」という予断はちょっと危険かな、とも思う。
検察側の証人=脚本家? (スコア:0)
解析結果を使って、それらしいストーリーを組み立てろと言われたとか?
Re:検察側の証人=脚本家? (スコア:1)
それは正しいんじゃ?
怖いのは,与えられたストーリーからそれらしい解析結kNO CARRIER
結局TrueCryptの中は判らないまま? (スコア:0)
リンク先の文章ではよく判りませんが、要するに一番肝心なTrueCryptの中を検察は確認できないままって事ですかね?
キーワードについても要約では実ファイルの痕跡なのかテキストなのかもよく判らない。
そもそも使用者が完全特定出来ない会社のPCって処でどうなのよ? と疑問があるけどさ。
Re: (スコア:0)
証人はFドライブの中身に言及しているようだけど、タレコミ読むとそれがTrueCryptのドライブっぽいよね。
Re:結局TrueCryptの中は判らないまま? (スコア:1)
訂正。TrueCryptで作ったドライブの中と考えられるパスが他のところ(各種履歴とか)にあったということだった。
Re:結局TrueCryptの中は判らないまま? (スコア:1)
でも、そこまで自主的に機密情報が漏れないように慎重になる奴が、ネット上で怪しいサイトから怪しいプログラムをダウンロードしまくっていたからトロイの木馬を踏んだかもしれないって言い出すのは変なので、十分に異議あり!
#異議を認めます。
にしても (スコア:0)
どこにいるのかわからない真犯人とやらはゆうちゃんが有罪判決くらってからまたなにか声明をだすのかしらね。
問題は (スコア:0)
問題は、Visual C# 2010 Expressがサイレントインストールされたか否かですね。
通常インストールされてるのが確認できれば、限りなく怪しいと思います。
サイレントインストールについてはこのあたり。
http://stackoverflow.com/questions/19450343/silent-install-of-visual-b... [stackoverflow.com]
Re:Windowsに詳しくない方へ (スコア:1)
わざわざvprojフォルダ掘ってそこにプロジェクト置くようなヤツがOutputDirだけ別ドライブに分ける理由が分からん。
明らかに外部から持ち込まれたとしか思えなくね?
Re: (スコア:0)
>状況証拠とはいえ、Fドライブなんてあまり使いませんし、
え、今使ってる会社PC、内蔵HDDがC、Y、Z、外付けHDDがJ、K、TrueCryptボリュームがN、USBメモリがM、
実DVDドライブがD、リムーバブル(カードリーダ)がF、G、H、I、仮想DVDドライブがLにドライブレターついてるんだけど
「異常な使い方してる、怪しい」なの・・・・?
Re: (スコア:0)
それだけで怪しいというわけじゃないでしょ
反論するための反論はやめなよ
Re: (スコア:0)
>> F:ドライブの「vproj」ディレクトリ
>.vprojはVisual Studioのプロジェクトファイルです。
vprojはディレクトリ名と明記されているうえ、Visual Studioのプロジェクトファイルの拡張子は.vsprojですよ、っと。
--
Windowsに詳しい方より
Re: (スコア:0)
VS2010って.vsxprojじゃなかったっけ?
Re:Windowsに詳しくない方へ (スコア:1)
# CXXFLAGS
Re: (スコア:0)
C:,D:+光学ドライブ(E:)でリムーバブルドライブがF:〜というのはよくある気がしますが。
Re: (スコア:0)
この理屈だと、殺人事件で凶器がたまたま捨てられた畑を耕してる爺さんだって犯人って言える気がするんだけど
警察が自分で柵をのぞき込んで「柵は誰ものぞけないはずだから爺さん以外犯人じゃない」ってなもんでさ。
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:1)
> ちょっとズレるけど、DOSの頃に出来たのって「ディレクトリにドライブレターを割り当てること」だっけ?
substコマンドですね。
Re:Windowsに詳しくない方へ(おふとぴ) (スコア:1)
ちなみに、
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices
に、"F:"="\??\C:\foo\bar"というエントリを追加する事でログイン時に自動的に割り当てる事も出来るし、
内部的にDefineDosDevice APIを呼び出すプログラムを書いても出来る。
# この件、もし該当PCでビルドされてたとしても、Fドライブが本当にTruCryptのドライブだったかすら疑問。
# アンマウントされてUSBメモリとかになってた可能性とかはどうなの?
# 普通にフォレンジックしたなら過去の接続デバイスも解るはずなんだけど、ちゃんと現物とか押さえてるの?
Re:これからは (スコア:1)
ドラレコと同じように自分のPCで起きてることをどこかに記録しておく仕組みが必要だな
そんな、流出したら人生がダメになってしまいそうなモン、記録できるわけがない
Re:これからは (スコア:2)
ダメな使徒の人生がダメになるなんて、目も当てられない。
Re:C#でプログラムできるという証拠が提示されていない (スコア:1)