お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« 開会式と閉会式、出る選手と出ない選手 | トップページ | 本当にWinnyだけが悪いのか? »

2006年3月 1日 (水)

メールを証明するためには

例の偽装メール事件に関してである。結局偽物らしいという事で落ち着きそうだが、メールに限らずパソコンの中から取りだした電磁的記録の証拠化というのは難しい。何故か、それは電磁的記録であるが故に容易に改変が可能であるからである。

ここで、コンピュータフォレンジックという観点でPC内のデータについてどういう扱いをすれば証拠能力を証明できるか考えてみる。

東京法令出版から出されている「ハイテク犯罪捜査入門」という本がある。これは現役の検事さんが司法関係者のために執筆している書籍であるが、別に検事や警察官でなくとも普通の一般市民でも誰でも購入できる書籍である。
早速購入して読んでみたが、純粋に技術参考書としてもおもしろい本である。

で、この本にも当然のように電子ファイルの証拠能力についての話題が書かれている。
本の性格から、事件捜査における電磁的記録の押収方法や証拠化といった点についても書かれているが、公の場で電磁的記録について証明するとなると、ほぼ同じようなことをしないと証明できないのではと思う。

まぁ今回のメールに絞って言うと、まず受信者側のパソコンから受信メールを取り出すのであるが、ここで注意。
PC内のファイルのタイムスタンプはそのPCの時計が反映されている。従ってPC内のシステム時計と日本標準時との誤差がどれだけあるのかを、データを取り出す時点で確認しておかなければならない。そうしておいてメールであるならメールサーバの標準時との誤差も重要である。

次、電磁的記録であり、改変が簡単に可能であるということから、検証するまでの間に誰も手を触れられない様に封印などを第三者の立ち会いの下に行っておかないと行けない。だってそうじゃないと、データを取り出すまでの間に誰かが捏造したデータをPCの中にコピーしている可能性もあるからだ。

次に封印を解いたPCのHDDを取り出す等して、物理的に複写をする。そうしておいてその複写物を封印する。これは確かに現時点でのPC内のデータをそのまま完全に保存しましたという証明のための物であるので、当然そのことを証明してくれる第三者の立ち会い人も必要だと思われる。

更にもうひとつ複写物を作成する。実際にHDD内のデータを見るのはこのHDDを用いるのだ。そうしてこのHDDは別にシステムが起動可能なPCのデータドライブとして接続する。ここでこのHDDが読み取り専用でマウントされていたりすればなおよしだろう。これは何故かと言えば、直接そのHDDから立ち上げてしまうと立ち上げてしまうというだけで更新されるファイルがいくつか存在するためにそれを防ぐためである。ひょっとしたらスタートアップ等に重要なファイルを削除するようなコマンドが仕込んであるかも知れないし、それよりも何よりも、持ち主が明かに手を触れていない時間帯のタイムスタンプのファイルがそのHDD内に存在すると、例えデータ捏造などを行っていなくても、たった一つでもそういうファイルがあるがために、いらぬ疑いをもたれてしまうことを防ぐためだ。国会でも話題になっていたが、無いと言うことを証明するのは難しいのである。何もしていないと言うことを証明するのは難しい。それなら最初からそういう疑いが少しでも起こらないようにすればいいのである。

そこまでやって初めて、このファイルはこのPC内から出てきたと主張できるのである。もちろん必要であれば取り出すときにも立会人がいるだろうし、それでも疑われれば、疑う人間の目の前で最初に封印した複写物(全く同じ物が保存されている)から、同じデータを取り出して証明してやればいい。

しかし、それでも証明できることは、そのデータがそのPCから出てきたと言うだけで、次はそのPCを使っていたのが誰であったか等を証明しなければいけないのは言うまでもない。

で、今回はメールであるから送信側のPCに対しても同様の作業を行う。これでそれぞれのPCの時差等を勘案して送信側、受信側に同じ文面が存在していれば、ほぼ確定できると言えるのではないだろうか。必要となればSMTPサーバやPOPサーバのログも調べなければならないかもしれない。

もちろん、これにしたって誰が使用していたのかまではPCを特定できるだけでわかるはずもない。

今回の問題だって、ここまでやってあれば、「偽物じゃないの」って言われたときに封印してある方から同じ物を取り出して証明してやればよかったのである。

ただ印刷してあるだけでは、メモ帳で同じ物を打てば同じ物の再現はできるし、電磁的記録なら後からいくらでも作成することができる。例えメールヘッダがあったとしても、それが印刷物なら証拠にはならないのだ。

これが普通の形ある物(有体物)の証拠化と電磁的記録という無体物を証拠化する際の違いであり難しい点であると思う。

« 開会式と閉会式、出る選手と出ない選手 | トップページ | 本当にWinnyだけが悪いのか? »

デジタルフォレンジック」カテゴリの記事

ニュース」カテゴリの記事

パソコン・インターネット」カテゴリの記事

経済・政治・国際」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/8899288

この記事へのトラックバック一覧です: メールを証明するためには:

« 開会式と閉会式、出る選手と出ない選手 | トップページ | 本当にWinnyだけが悪いのか? »

facebook

twitter

#XPERIAアンバサダー