お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« ファイルの改ざんを行った日時? | トップページ | タイムスタンプ以外からのファイル変更の痕跡 »

2010年9月23日 (木)

FD解析だけで改ざんをした日時までわかるのか?その特定方法について

昨日にも書いたが、マイクロソフトのワードで作成されたデータであれば、ファイル自身のメタデータに作成日時や更新日時、最終印刷日時、それからファイルの作成者と更新者等々といろいろなデータが含まれていることから、ファイルそのものの更新日時をいじっても、ファイル内にある更新日時との矛盾が生じることから、簡単に日付を変更していることはわかる。

しかし、その作業を行った日自体はわからない。

一太郎の場合は、どうもメタデータ内に更新日時の情報は持っていないっぽいので、そこから矛盾は発見しにくそうである。

ところが一太郎の場合、文書を更新して上書き保存をすると、通常は更新前の一世代前のファイルが拡張子の最初の「j」を「$」にリネームしてデータが残されている。「.jtd」→「.$td」等

このバックアップファイルの残し方が、元からあるファイルをリネームして、新たに保存するファイルを元のファイル名で作成しているのか。それとも元のファイルをコピーしてバックアップファイルにリネームして保存し、元のファイルを上書きしているのかどちらかわからないが、確かExcelなんかは、新たにファイルを作成して保存し、元のファイルを削除する方法を取っていたと思うんだけど、間違ってたら誰か教えて。

一世代前のバックアップファイルのタイムスタンプの更新日時や最終アクセス日時がどうなっているのか。また他にもこのFD内の削除ファイルの復元作業を行い、代々のこのファイルを復元するとファイルの更新日時は追うことができるかもしれない。

しかし、これは、当該ファイルのタイムスタンプが故意に変更されていることがわかっていて、変更前のオリジナルのタイムスタンプがいつだったということを調べることはできるかもしれないが、やはり変更された日時そのものを知ることはできそうにない。

パソコンも含めて解析すれば、ひょっとしたら日付の変更に使用したアプリの使用履歴やシステムのログなどから推定できるのかもしれないけど、今回FD以外のものを解析したとは、どこの報道にも出てきていない。少なくともFAT12ではそういった情報は管理してないと思う。

しかし、どちらにしろ使用していたパソコンのタイムスタンプが正しいという大前提がなければ何の説明にもならない。

仮にタイムスタンプが1週間ずれていたPCでファイルを開き、うっかり上書き保存してしまったら、実際に保存した日とは1週間ずれたタイムスタンプになってしまう。っていうかたとえば毎日日記みたいなものを1ファイルずつ記録していたとしたら、全ての日記が捏造した日記と言うことになる。

今回の情報をスクープした朝日新聞、もしくは朝日新聞の依頼で当該FDを解析したフォレンジック会社にはもう少しわかるように説明して欲しいところである。

今回は、当初確認して書類に残したファイルのタイムスタンプが現物確認したらいつの間にか変わっていたわけだけど、

そもそも、ファイルのメタデータならともかく(メタデータでさえ、バイナリでいじってしまえば変更できちゃうけど)ファイルのタイムスタンプなんて不確定な要素は証拠価値持たないんじゃないのかなぁ。自分的には、特定のディレクトリ配下のファイルの作成日時、更新日時を全部同じにするなんて作業は今までから普通にやってるんだけどなぁ。昔ならNiftyのフォーラムの会議室のログなんかを整理する際に、ファイル名もそうなんだけどタイムスタンプでもこのファイルは何年何月分のログなんてわかるようなタイムスタンプをつけたり、市販のアプリケーションなどでも、タイムスタンプがバージョンの数字になっていたりとかって一般的だと思うんだけど。

逆にタイムスタンプを変更せずに中身を変えるなんてことも簡単にできるわけだし。

何度も書くように、差し押さえ時点でシステム時計のずれ等を確認しているなら別だけど、その作業を行っていないのなら、タイムスタンプなんて全く当てにならないんじゃないの?仮に確認していたとしても、その確認の状況を立会人に確認してもらって、写真なんかに残しておかなきゃ意味ないし、パソコンやFDなんかも差し押さえる時点で封印してなきゃ差し押さえ時点からの同一性は確保できてることの証明はできないし。

当時のシステム時計のずれを確認できていたとしても、それは差し押さえ時点でのタイムスタンプのずれであって、ファイルの編集を行った当時にどれだけシステムの時計がずれていたかなんてことはわからないし。そのPCのシステムタイマーの精度がどのくらいのもので、時刻の整合をいつやっているかがわからなったらどうしようもなくない?

手書きメモに「このメモは何月何日何時にメモしたものです」って書き記しているメモの作成日時くらい信用できないよなぁ。

我が家のPCでもメモリバックアップ電池が切れてて、電源を入れるたびにシステムタイマーの設定を要求してくるPCってのがあったりするけど、そのPCで作成されたファイルなんてどうなるんだ。

« ファイルの改ざんを行った日時? | トップページ | タイムスタンプ以外からのファイル変更の痕跡 »

デジタルフォレンジック」カテゴリの記事

ニュース」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/49533256

この記事へのトラックバック一覧です: FD解析だけで改ざんをした日時までわかるのか?その特定方法について:

« ファイルの改ざんを行った日時? | トップページ | タイムスタンプ以外からのファイル変更の痕跡 »

facebook

twitter

#XPERIAアンバサダー