XPFの独り言

例の偽装メール事件に関してである。結局偽物らしいという事で落ち着きそうだが、メールに限らずパソコンの中から取りだした電磁的記録の証拠化というのは難しい。何故か、それは電磁的記録であるが故に容易に改変が可能であるからである。

ここで、コンピュータフォレンジックという観点でPC内のデータについてどういう扱いをすれば証拠能力を証明できるか考えてみる。

東京法令出版から出されている「ハイテク犯罪捜査入門」という本がある。これは現役の検事さんが司法関係者のために執筆している書籍であるが、別に検事や警察官でなくとも普通の一般市民でも誰でも購入できる書籍である。
早速購入して読んでみたが、純粋に技術参考書としてもおもしろい本である。

で、この本にも当然のように電子ファイルの証拠能力についての話題が書かれている。
本の性格から、事件捜査における電磁的記録の押収方法や証拠化といった点についても書かれているが、公の場で電磁的記録について証明するとなると、ほぼ同じようなことをしないと証明できないのではと思う。

まぁ今回のメールに絞って言うと、まず受信者側のパソコンから受信メールを取り出すのであるが、ここで注意。
PC内のファイルのタイムスタンプはそのPCの時計が反映されている。従ってPC内のシステム時計と日本標準時との誤差がどれだけあるのかを、データを取り出す時点で確認しておかなければならない。そうしておいてメールであるならメールサーバの標準時との誤差も重要である。

次、電磁的記録であり、改変が簡単に可能であるということから、検証するまでの間に誰も手を触れられない様に封印などを第三者の立ち会いの下に行っておかないと行けない。だってそうじゃないと、データを取り出すまでの間に誰かが捏造したデータをPCの中にコピーしている可能性もあるからだ。

次に封印を解いたPCのHDDを取り出す等して、物理的に複写をする。そうしておいてその複写物を封印する。これは確かに現時点でのPC内のデータをそのまま完全に保存しましたという証明のための物であるので、当然そのことを証明してくれる第三者の立ち会い人も必要だと思われる。

更にもうひとつ複写物を作成する。実際にHDD内のデータを見るのはこのHDDを用いるのだ。そうしてこのHDDは別にシステムが起動可能なPCのデータドライブとして接続する。ここでこのHDDが読み取り専用でマウントされていたりすればなおよしだろう。これは何故かと言えば、直接そのHDDから立ち上げてしまうと立ち上げてしまうというだけで更新されるファイルがいくつか存在するためにそれを防ぐためである。ひょっとしたらスタートアップ等に重要なファイルを削除するようなコマンドが仕込んであるかも知れないし、それよりも何よりも、持ち主が明かに手を触れていない時間帯のタイムスタンプのファイルがそのHDD内に存在すると、例えデータ捏造などを行っていなくても、たった一つでもそういうファイルがあるがために、いらぬ疑いをもたれてしまうことを防ぐためだ。国会でも話題になっていたが、無いと言うことを証明するのは難しいのである。何もしていないと言うことを証明するのは難しい。それなら最初からそういう疑いが少しでも起こらないようにすればいいのである。

そこまでやって初めて、このファイルはこのPC内から出てきたと主張できるのである。もちろん必要であれば取り出すときにも立会人がいるだろうし、それでも疑われれば、疑う人間の目の前で最初に封印した複写物（全く同じ物が保存されている）から、同じデータを取り出して証明してやればいい。

しかし、それでも証明できることは、そのデータがそのPCから出てきたと言うだけで、次はそのPCを使っていたのが誰であったか等を証明しなければいけないのは言うまでもない。

で、今回はメールであるから送信側のPCに対しても同様の作業を行う。これでそれぞれのPCの時差等を勘案して送信側、受信側に同じ文面が存在していれば、ほぼ確定できると言えるのではないだろうか。必要となればSMTPサーバやPOPサーバのログも調べなければならないかもしれない。

もちろん、これにしたって誰が使用していたのかまではPCを特定できるだけでわかるはずもない。

今回の問題だって、ここまでやってあれば、「偽物じゃないの」って言われたときに封印してある方から同じ物を取り出して証明してやればよかったのである。

ただ印刷してあるだけでは、メモ帳で同じ物を打てば同じ物の再現はできるし、電磁的記録なら後からいくらでも作成することができる。例えメールヘッダがあったとしても、それが印刷物なら証拠にはならないのだ。

これが普通の形ある物（有体物）の証拠化と電磁的記録という無体物を証拠化する際の違いであり難しい点であると思う。