FD解析だけで改ざんをした日時までわかるのか?その特定方法について
昨日にも書いたが、マイクロソフトのワードで作成されたデータであれば、ファイル自身のメタデータに作成日時や更新日時、最終印刷日時、それからファイルの作成者と更新者等々といろいろなデータが含まれていることから、ファイルそのものの更新日時をいじっても、ファイル内にある更新日時との矛盾が生じることから、簡単に日付を変更していることはわかる。
しかし、その作業を行った日自体はわからない。
一太郎の場合は、どうもメタデータ内に更新日時の情報は持っていないっぽいので、そこから矛盾は発見しにくそうである。
ところが一太郎の場合、文書を更新して上書き保存をすると、通常は更新前の一世代前のファイルが拡張子の最初の「j」を「$」にリネームしてデータが残されている。「.jtd」→「.$td」等
このバックアップファイルの残し方が、元からあるファイルをリネームして、新たに保存するファイルを元のファイル名で作成しているのか。それとも元のファイルをコピーしてバックアップファイルにリネームして保存し、元のファイルを上書きしているのかどちらかわからないが、確かExcelなんかは、新たにファイルを作成して保存し、元のファイルを削除する方法を取っていたと思うんだけど、間違ってたら誰か教えて。
一世代前のバックアップファイルのタイムスタンプの更新日時や最終アクセス日時がどうなっているのか。また他にもこのFD内の削除ファイルの復元作業を行い、代々のこのファイルを復元するとファイルの更新日時は追うことができるかもしれない。
しかし、これは、当該ファイルのタイムスタンプが故意に変更されていることがわかっていて、変更前のオリジナルのタイムスタンプがいつだったということを調べることはできるかもしれないが、やはり変更された日時そのものを知ることはできそうにない。
パソコンも含めて解析すれば、ひょっとしたら日付の変更に使用したアプリの使用履歴やシステムのログなどから推定できるのかもしれないけど、今回FD以外のものを解析したとは、どこの報道にも出てきていない。少なくともFAT12ではそういった情報は管理してないと思う。
しかし、どちらにしろ使用していたパソコンのタイムスタンプが正しいという大前提がなければ何の説明にもならない。
仮にタイムスタンプが1週間ずれていたPCでファイルを開き、うっかり上書き保存してしまったら、実際に保存した日とは1週間ずれたタイムスタンプになってしまう。っていうかたとえば毎日日記みたいなものを1ファイルずつ記録していたとしたら、全ての日記が捏造した日記と言うことになる。
今回の情報をスクープした朝日新聞、もしくは朝日新聞の依頼で当該FDを解析したフォレンジック会社にはもう少しわかるように説明して欲しいところである。
今回は、当初確認して書類に残したファイルのタイムスタンプが現物確認したらいつの間にか変わっていたわけだけど、
そもそも、ファイルのメタデータならともかく(メタデータでさえ、バイナリでいじってしまえば変更できちゃうけど)ファイルのタイムスタンプなんて不確定な要素は証拠価値持たないんじゃないのかなぁ。自分的には、特定のディレクトリ配下のファイルの作成日時、更新日時を全部同じにするなんて作業は今までから普通にやってるんだけどなぁ。昔ならNiftyのフォーラムの会議室のログなんかを整理する際に、ファイル名もそうなんだけどタイムスタンプでもこのファイルは何年何月分のログなんてわかるようなタイムスタンプをつけたり、市販のアプリケーションなどでも、タイムスタンプがバージョンの数字になっていたりとかって一般的だと思うんだけど。
逆にタイムスタンプを変更せずに中身を変えるなんてことも簡単にできるわけだし。
何度も書くように、差し押さえ時点でシステム時計のずれ等を確認しているなら別だけど、その作業を行っていないのなら、タイムスタンプなんて全く当てにならないんじゃないの?仮に確認していたとしても、その確認の状況を立会人に確認してもらって、写真なんかに残しておかなきゃ意味ないし、パソコンやFDなんかも差し押さえる時点で封印してなきゃ差し押さえ時点からの同一性は確保できてることの証明はできないし。
当時のシステム時計のずれを確認できていたとしても、それは差し押さえ時点でのタイムスタンプのずれであって、ファイルの編集を行った当時にどれだけシステムの時計がずれていたかなんてことはわからないし。そのPCのシステムタイマーの精度がどのくらいのもので、時刻の整合をいつやっているかがわからなったらどうしようもなくない?
手書きメモに「このメモは何月何日何時にメモしたものです」って書き記しているメモの作成日時くらい信用できないよなぁ。
我が家のPCでもメモリバックアップ電池が切れてて、電源を入れるたびにシステムタイマーの設定を要求してくるPCってのがあったりするけど、そのPCで作成されたファイルなんてどうなるんだ。
« ファイルの改ざんを行った日時? | トップページ | タイムスタンプ以外からのファイル変更の痕跡 »
「ニュース」カテゴリの記事
- 携帯電話における緊急速報メールサービス及び代替サービスYahoo!防災速報の落とし穴(2017.09.04)
- 平成28年度880万人訓練を受信して(2016.09.05)
- XPERIAでFM補完中継局を受信する。 #XPERIAアンバサダー(2016.03.02)
- 大阪・伊丹空港のB747-400里帰りフライトを見に行ってきた。(2014.01.14)
- 着陸後にエンジン火災を起こした日本航空の小型ジェット機を偶然撮影していた。(2013.05.06)
「パソコン・インターネット」カテゴリの記事
- Emotetが送られてきたのでちょっと中身をのぞいてみた。(3月16日追記)(2022.03.10)
- 今年買ったデジタルガジェット #2018ガジェ収め(2018.12.24)
- 2017年に購入した端末(2017.12.30)
- ブックオフ、ゲオ、ハードオフと回ってきた。(2017.02.19)
- 格安Windowsタブレット購入(2016.01.04)
「デジタルフォレンジック」カテゴリの記事
- Emotetが送られてきたのでちょっと中身をのぞいてみた。(3月16日追記)(2022.03.10)
- AppleTime、UnixTimeからJSTへの変換(2015.04.15)
- Androidでのバックアップ(2014.07.25)
- iOSやAndroid端末内に保存される位置情報履歴?(2014.06.05)
- iOS6に記録される位置情報履歴(2013.02.16)
この記事へのコメントは終了しました。
コメント