お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« 2010年8月 | トップページ | 2010年10月 »

2010年9月に作成された記事

2010年9月30日 (木)

T-01B ケース購入

ここのところ、サイバー攻撃やらFD改ざんネタをずっと扱ってばかりだったので、久々にスマートフォンの話を。

6月19日に購入してはや3ヶ月になるT-01Bであるが、今回ケースを購入した。

T-01B及び同型のIS02専用ケースも、何社からか発売されているが、今回購入したのは

CAPDASE au IS02 / Toshiba K01 / docomo T-01B 専用 ConXept Case: Polishe with Screen Guard Crystal Clear, Black コンセプト ハードケース

というケース。

しばらく在庫切れが続いていたのだが、月曜日の夜にAmazonを見たら入荷していたので発注、水曜日の朝に到着。

他社のような革のケースとかいったものではなく、ハードタイプのケースで、装着は爪でひっかけるもの。

本体にぴったりとフィットしていい感じである。ストラップホールも付いているので安心できるし、このケースの大きな特徴は、背面にカードホルダーが付いていること。いわゆるクレジットカードサイズのカードが2枚まで入るので、ICOCAだとかいった非接触ICカードを入れておくと便利かも。

関西では関東のモバイルSuicaといった様なサービスは提供されていないので、おサイフケータイで改札を通る人はまずいないが、これを使えばT-01Bをおサイフケータイっぽく使うことが可能になるので、明日からはモバイルPitapaで通勤できるようになる。

このケースを装着すると厚みが3mm程度増加、カードホルダー部分は更に3mm程度厚くなるが、T-01Bは元々が薄いので、それほど気にはならないように思う。

以前にも書いたがFOMAとの2台持ちにクツワのDr.IonというシリーズのW携帯ケース横型186DRBK-1200を使っているが、このハードケースを装着しても収納可能であった。おそらく他社のいわゆるのり巻きケースではサイズが大きくなってしまい収納できないのではと思う。

ハードケースを装着したことで、本体サイドの電源ボタンや音量調整ボタン等が若干奥まるために、誤って押されるといったようなことも無くなるのではと思われる。

全体的に3mm厚くなる。
カードホルダー部は更に3mm厚くなる。

通常の厚みのICカードが1~2枚入る。
1枚が調度良い。
レンズと干渉するため、下方向にずらす必要があるが、ずらすとスピーカーと干渉する。
2枚入れた時は1枚だけ取り出すことは困難。
入れるならSuica+iD付きクレジットカードとか?
ポスト・イット スタイル カードノートも入りそう。

操作性
特に問題はない。
画面縁の操作も可能。
ケース縁の触り心地が悪い。

2010年9月26日 (日)

朝日新聞の「別のファイルも改ざんか」って記事おかしくね?

朝日新聞の記事「別の文書ファイルも改ざんか 逮捕の主任検事」によると、

朝日新聞が入手した特捜部の捜査報告書によると、「通知案」が作られた時期を示す作成日時は「04年5月18日午後12時43分23秒」と記載されていたが、昨年7月16日に上村被告側にFDが返された時点では「04年5月18日午後12時43分22秒」と1秒のずれが生じていた。セキュリティー会社の解析の結果、「コピー~通知案」と同じ日にデータがいじられた可能性が高いことがわかった。

 また、前田検事の逮捕容疑となったデータと同様に、厚労省の管理外のパソコンと専用ソフトで書き換えられた疑いがあることも確認された。

 検察関係者によると、前田検事が改ざんに使ったとみられる専用ソフトは「ファイルバイザー」。このソフトでFDの文書ファイルの日時データを変えると、末尾の「秒」が自動的に偶数になる。「通知案」の作成日時の秒も奇数から偶数に変わっていた。

とのこと。

おそらく各検索エンジンのキーワードでは、「ファイルバイザー」が検索ワード急上昇となっているんではないだろうか。

FileVisor、確かWindowsが普及しだした頃に、DOS時代のファイラーと同じような感覚で使えるようにと出てきたソフトだ。

調べてみたらFileVisor32が1996年11月にリリースされ、もう10年以上になる高機能ファイラーであり、決して「タイムスタンプ改ざん専用ソフト」ではない。確かWindows3.1の時代から出てたんじゃなかったかなぁという風に記憶してたんだけど。

DOSの時代に、FD、FILMTN、FS、エコロジーといった高機能ファイラーを使っていた人の多くが、Windowsに移行してからもファイルマネージャーやエクスプローラの使いにくさに耐えられず、Windowsでもこういったファイラーに移行していったと思われる。FileVisorや卓駆★ for Windows、WinFD等々といったものがよく知られているところだろうか。

さて、朝日の記事によると、ファイルバイザーで日時データを改ざんすると末尾の秒が自動的に偶数になると、なにやらファイルバイザーの仕様というかバグが裏目に出たみたいな受け取り方もできそうな記事の書き方になっているけど、末尾の秒が偶数になるのはなにもFileVisorを使ったからじゃなくて、FATの更新日時の仕様。

FileVisorを使ってファイル日時を変更してもNTFS上のファイルへなら奇数秒への変更だってもちろん可能である。

でも今回の記事は作成日時についてである。

作成日時については奇数秒での記録も可能であり、実際にFileVisorを使って試してみたが、何ら問題なく任意の奇数秒への変更が可能であった。

記事を書いてる記者もたぶんPCには詳しくないんだろうなぁ。なんだかごちゃごちゃになってきている。

誰か一度、この朝日新聞の記事を全部わかりやすいように整理してくれないかなぁ。

#9月28日追記

試してみた環境はWindows7上のVirtualPCにインストールされているXP Mode。

ここにFileVisor6.4.7.1をインストール。USB-FDDをマウントして、FD内のテキストファイルに対して実行した。

Before オリジナルの状態では

作成日時が2010年9月28日、22:43:52

更新日時が2010年9月28日、21:30:58

Photo

これがFileVisorでFD内のテキストファイルを右クリックし、ファイル属性の変更を選択、作成日時を変更するで指定の日時に2010/09/27 01:23:45を指定しているところ

確かにFAT/FAT32上では、奇数秒を指定しても偶数秒に丸められます。

との注意が書かれているが、作成日時については丸められることなく変更できてしまう。更新日時については確かに丸められてしまう。

After

こうして、ファイル作成日時を書き換えた後のプロパティ画面

確かに作成日時が2010年9月27日、1:23:45と変更されているのがわかる。

ロングファイルネームとショートファイルネーム

ここで少し書いたけど、今回はファイルネームの話。

元々古いDOS時代にはファイル名というのは8文字+3文字の拡張子形式で作成されていた。UnixやMacOS、同じマイクロソフトのWindowsNTのNTFSと呼ばれるファイルシステムでは以前からそれ以上の長いファイル名が使用可能であったが、FATでは長い間この制限があった。

DOSの頃からずっとパソコンを使い続けている人の中には、今でもファイル名は8+3文字で可能な限り半角英数で付けるという人がいたりする。

ちなみに半角英数で名付けるのは、万が一ディスクが破損するなどして、データレスキュー作業をする際に、半角英数ならば簡単にファイル名を入力することができるから。全角で名付けたりしていれば、必要最小限度のシステムで起動した際などにファイル名を入力できなかったり、そもそも文字化けしてしまいファイル名の表示すらできなくなってしまうことがあるから。

1994年に発売されたWindowsNT3.5において初めてFAT16のファイルシステム上でロングファイルネームが使用できるようになり、翌年のWindows95で一般向けにも普及しだした。

パス名付きのファイル名の長さ全体をパス長と言うが、

Windows95のGUIモードではパスバッファが259文字分しかないので、「C:\TESTFILE」ディレクトリの下にファイルを作成する場合には

259-12=247文字までのファイル名

しか作ることができない。

さらに深い階層や長いパス名のディレクトリにファイルをコピーすることはできない。ちなみにルートディレクトリのファイル名格納方法はMS-DOS1.0の頃から変わっていないので、長いファイル名を使うとファイル名の格納エリアがあふれてしまい、空き容量があるにもかかわらず記録できないという事態が発生する。

ちなみにフロッピーディスクでは255文字のファイル名を使用すると8個までしかファイルを記録することができない。

これがMS-DOSプロンプトになると、若干異なり、ファイル名の長さは255文字となるが、コマンドラインで一度に入力できる文字数がデフォルトで128文字となっているので、それ以上の長さにはできない。

昔懐かしいconfig.sysでshell=command.com /p /u:255 /l:1024 /e:2048と指定し、1行の大きさを大きくしても255文字が限界であるので、非常に長いファイル名をコマンドラインで扱うことはできない。

ファイル名に使用できない文字は「.」「,」「\」「/」「:」「*」「?」「"」「<」「>」「|」の各文字、英半角の大小文字は区別されない。

ピリオド以降を拡張子とするが、3文字までという制限はなく、ファイル名全体で255文字となっている。

ショートファイルネームとして使えない文字は、制御記号、スペース、「"」「*」「+」「,」「.」「/」「:」「;」「>」「=」「<」「?」「[

」「\」「]」「|」英小文字

複数のカンマをロングファイルネーム中に使用できるが、拡張子として識別できるのは最後のピリオド以降

スペースが入るファイル名は「""」で囲むことで指定が可能

ちなみにNTFSでのロングファイルネームは拡張子を含めて255文字まで、名前には大文字と小文字を使用できるが区別はされない。

使用できない文字は「?」「"」「/」「\」「<」「>」「*」「|」「:」

なおコマンドラインから作成する場合は253文字までとなっている。

ちなみにロングファイルネームが作られると必ず8+3形式のショートファイルネームが同時に作成されている。

ロングファイルネームが8.3形式以内の場合はショートファイルネームも同じものが作成されるが、長い場合には、先日も書いたように先頭からスペースをのぞいた6文字をショートファイルネームにつけ(但し6文字目が2バイト文字の1バイト目の場合は5文字目まで)「~1」「~2」の様に番号をつけていくことととなっている。

拡張子については拡張子部分のスペースをのぞいた先頭から3文字となる。

同じファイル名と拡張子を持つファイル名がある場合は作成順に番号が付いていく

ファイルが削除されるなどして中抜きになると、同じファイル名が次に出てきた場合にはその抜けた番号を使うことになっっているので、ショートファイル名と作成日時のタイムスタンプは同じ順序に並ぶのが本来の姿となる。

論理的には9+99+999+9999+65535=76641個のファイルが作成できるが、FAT16の場合は0バイト以外のファイルは1ドライブあたり最大65530個しか作れない。

なお、ロングファイルネームの名前を変更するとショートファイル名の番号が変化する。(新しいロングファイルネームとショートファイルネームを作成し、元のファイル名を削除するため)

ファイルのコピーをする際にコピー先で新規作成されたときと同じように新たな番号を割り付けるために、コピーされる順番によりファイル名が変わってしまうという現象が発生するので注意が必要となる。

ロングファイルネーム TESTFILE1.TXT ショートファイルネーム TESTFI~1.TXT

               TESTFILE2.TXT                               TESTFI~2.TXT

というファイルをコピーする際に、TESTFILE2.TXTを先にコピーしてしまうと

TESTFILE2.TXTのショートファイルネームがTESTFI~1.TXT

TESTFILE1.TXTのショートファイルネームがTESTFI~2.TXT

と変化してしまうので、厳密には気をつけなければいけない。

ちなみに8+3形式以下のファイル名でもロングファイルネームが作成される場合とそうでない場合がある。

TEST.TXT この場合はショートファイルネーム

test.txtやTest.txt この場合は英小文字があるので、ロング、ショート両方の名前が作成される

テスト.TXT 全角文字があるので両方作成

TESTTESTTXT ピリオドがないので拡張子無しの11文字のファイル名

12345678.123 ショートファイルネーム

(####).$$$ ショートファイルネーム

[TEST].TXT ショートファイルネームで使えない文字があるので両方作成される

アルファベットだけのファイル名であれば、ショートファイルネームのみの場合、ファイルアイコンで表示されるファイル名の最初の1文字だけは大文字表記となる。

なお、ショートファイルネームは普段エクスプローラを使用していても見えないが、コマンドプロンプトで「dir」コマンドを「/X」オプションを付けて実行すると、ロングファイルネームに対になったショートファイルネームを見ることができるし、WinFDの様なファイラーを使用すれば、簡単に見ることが可能である。

2010年9月25日 (土)

サイバー空間に地域、国は関係ない

WEBページの改ざん事件等が発生すると、被害にあった当事者が決まって言う台詞が、

「何で何の関係もないうちが狙われたんだろう」だとか「うちみたいな田舎の町がどうして?」だとか、「何でトップページじゃなく、こんな(深い階層)の中の方のページを狙うんだろう」

という狙われる原因がわからないといような類のコメント。全く何を言ってんだろ、この人は?

よほどの理由がない限り、明確にこのサイトを改ざんしてやろうなんて理由は無いんじゃないか。

そう、理由なんて無い。あえて言うならば、セキュリティ的に狙いやすかったから。つまりセキュリティホールがあったから。それだけのこと。

インターネットの世界に、都会だとか田舎だとか物理的な距離なんて関係ない。

攻撃用ツールを使って、特定の範囲のIPアドレス内を調べたら、攻撃できそうな脆弱性を持ったサイトがあって、それがたまたま地方の田舎町のサイトだったり、何の関係もない個人のサイトだっただけのこと。

中身のコンテンツだって何が公開されていようが関係ない。

インターネット上にサーバーを公開している以上、危険性はどんなサイトにだってあるってことをもっと自覚すべき。

2010年9月24日 (金)

コマンドラインでタイムスタンプ変更

unix系のOSならtouchコマンドで作成日時、更新日時、アクセス日時の変更ってできたんだ。

全然知らなかった。

Windows(DOS)だと、それに該当するようなものは無いよなぁと思ってたんだけど、細かい任意のタイムスタンプには難しいかもしれないけど、とりあえず「copy」コマンド使えば更新日時くらいは変更できるらしい。

copy "filename" +

これだけで更新日時を変更することができた。

あらかじめdateコマンドとtimeコマンドでシステムの日時を変更しておいてから実行すればいい。

しかも全てcommand.comの内部コマンドだから、当該ファイルのアプリもツールも何もいらない。

セキュリティの絡みから、いろいろ使用を制限されているような場所のPCでも使えてしまいそうなネタだ。

2010年9月23日 (木)

コピーや移動によるタイムスタンプの変化について

なんか、事件の方は今回の改ざんの件で、論点が完全にずれてしまって、元々は何が問題だったのかということもすっかり忘れられてしまっているような気がする。

確かに証拠品となるFDを直接操作することから、そもそも間違っているわけだし、FDの日付改ざんの話が出たときに、上司が確認の必要なしと判断したということも問題視されているところなのだけど、決して検察の肩を持つわけではないが、実はこの上司二人がPCに詳しくて、昨日も書いたようにそもそもファイルのタイムスタンプなんて、使用したPCの時刻の整合やら、タイムスタンプの書き換えが簡単なことやらで、技術屋から見ればタイムスタンプの持つ意味なんて全然証拠能力がないわけなのだけれど、そこまで知っていて、「タイムスタンプなんて意味ないんだから、確認する必要もない」なんて判断をしていたら、それはそれですごすぎると思ったり。まぁそんなことは無いだろうけど。

ここのところ、ファイルのタイムスタンプについてずっと書いているので、ついでにもう少し。

FATのディレクトリエントリのどの位置にどのデータがあるのかという点については昨日の書き込みで書いたとおり。

0Dhには作成時刻の10m秒単位の値が入る。ファイルがコピーや新規保存等でディスク上にファイルとして新規作成された10m秒単位の値が入るが、ファイルのプロパティで表示される作成時刻の奇数秒の表示のみに使用される。値が00h~63hの場合は作成時刻で秒単位に表示、64h~c7hの場合、作成時刻+1秒で表示される。これが原因で作成時刻と更新時刻が1秒ずれて表示されることもある。はい、この時点で厳密に言うと作成時刻ってのが必ずしも作成された時刻を表していないことが明らかになる。また更新時刻の精度は2秒単位となっている。

NTFSの場合は、100ナノ秒単位で記録しているので、奇数秒に作成されたファイルをNTFSフォーマットのディスクからFATフォーマットのディスクにコピーすると、時刻の繰り上げが発生することがある。

NTFS 7時31分0秒000 をFATにコピーすると 7時31分0秒000であるが、

7時31分0秒001は7時31分2秒000

7時31分1秒000も7時31分2秒000

7時31分1秒999も7時31分2秒000

と変更される。

またWindowsNT以降のFATではアクセスについては日付のみしか記録されず書き込みをしたときのみ時刻が記録される。NTFSでは先ほど100ナノ秒単位と書いたが、アクセス日時のみ1時間単位での記録となる。なおアクセス日時というのは、最終書き込み日時、最終読み取り日時、最終実行日時のいずれかに基づき決定される。

ちなみにVista以降はパフォーマンス向上のためデフォルトでアクセス日時の記録をしなくなったはず。作成日時と同じ値になっているのではと思う。 

それでは作成日時と更新日時はファイルのコピーや移動でどう変化するのか

FAT上のファイルを同じFAT上の別の場所へ、またFAT上からNTFS上へ、NTFS上から別のNTFS上へそれぞれ作業してみると、いずれの場合も

コピーすると、コピー前の更新日時が保たれるが、作成日時はコピーした日時に変化する。

移動した場合は、作成日時、更新日時ともに移動前の値が保持される。

ついでにフォルダの場合はどうなるかというと、

まず、NTFS上に2つのフォルダを作成する。いずれも作成日時と更新日時の値は同じものとなる。

次にフォルダ2をフォルダ1内に移動すると、フォルダ1の作成日時は変化せず、更新日時が変化

フォルダ1内のフォルダ2は、作成日時も更新日時も変化しない。

次、フォルダ2をフォルダ1内にコピーした場合は、フォルダ1の作成日時は変わらず、更新日時が変化

元のフォルダ2は、全く変化せず

フォルダ1内のフォルダ2は作成日時も更新日時も、コピーを行った日時になる。

つまりFATの場合は、フォルダ内が変更されてもフォルダ自身の更新日時は変化しないが、NTFSの場合は変化が生じる。

ということで、ややこしいが、作成日時と更新日時が時系列的に逆転しているようなファイルがある場合は、そのファイルは初めてファイルとして保存された場所は、今ある場所ではなく、その作成日時の値の日時にどこか別の場所からコピーされてきたものである可能性が高いということになる。

なお、FATでは時刻はそのOSのローカルタイムで記録されるが、NTFSの場合はUTCで記録されるようになっている。

9月23日23時(JST)にFAT上に記録したファイルは、どのタイムゾーンに設定されているPCで見ても9月23日23時(現地時刻)となるが、同じ時刻にNTFS上に記録したファイルは、タイムゾーンがイギリスになっているPCならば9月23日14時となるし、北京であれば9月23日22時となる。

イギリスで9月23日20時(GMT)に記録されたファイルと日本で9月23日23時(JST)に記録されたファイルがあった場合、FAT上への記録ならばイギリスで記録したファイルの方が3時間早いことになってしまうが、NTFSであれば同じタイムゾーンのPCに持ってきた場合に、日本の方が156時間早く記録したファイルであるということが判明する。

次回はファイルネームの話にでもするかな。

タイムスタンプ以外からのファイル変更の痕跡

ファイル自身のタイムスタンプからだけではどうも難しいというのは再三書いているとおり。

次に書いたのが、ファイル自身のタイムスタンプとファイル自身のメタデータと呼ばれる部分に記録されている日付データとの矛盾

このメタデータは場合によっては不要な情報漏洩につながるとして、最近ではメタデータの情報を削除するようなツールもある。Microsoft Officeの場合は2007以降はOfficeの機能に備わっていたと思うし、2003やXP用にはMicrosoftから削除ツールが無料提供されている。

また削除するだけでなく、変更ができる機能を持つツールについてもインターネット上からダウンロードできる。

次はファイル名。DOS時代からPCを使い続けている人には、ファイル名というのは8文字+3文字の拡張子だったが、Windows95でロングファイル名が採用され、半角255文字までの長さが可能になった。

しかし、システム的には従来の「8+3文字」しか扱えないようなシステムでもロングファイル名で名付けられたファイルが読み書きできるように各ファイルには「8+3文字」形式のショートファイル名も付いている。

たとえば、「LONGFILENAME1.TXT」というファイルには「LONGFI~1.TXT」

次に作った「LONGFILENAME2.TXT」には「LONGFI~2.TXT」という風に8文字以上のファイル名だと6文字+「~1」という名前が付き、次に8文字目まで同じ名前のファイルが作られた場合には6文字+「~2」というショートファイル名が作られる。

こうして3個のファイルを作成してから、「LONGFILENAME2.TXT」を「LONGFILENAME4.TXT」にリネームしてもショートファイル名は「LONGFIL~3.TXT」のまま。

この後で「LONGFILENAME2.TXT」を改めて作成するとショートファイル名は「LONGFIL~4.TXT」となって順序に矛盾が出てくる。

これは、ただファイルのコピーなどを行う際の順序でもショートファイル名の通し番号が変わってしまうので、これを以て何らかの改ざんが行われたとは言い難い。

しかし、ファイルの作成日時、更新日時、ショートファイル名、メタデータ等を総合的に判断すれば、そのファイルが元々その場所にあったものなのか、どこか別の場所からコピーされたものかという可能性については判断できそうである。

ファイルのタイムスタンプの変化については、また別に書くこととする。

しかしいずれにしろ、タイムスタンプを変更した日時そのものの特定にはたどりつけない。

後は何だろう。メディア内にある残留磁気の強さが、更新のタイムスタンプの順番になっていないとかだろうか。さすがにこれは個人レベルで調べるのはちょっと難しい。

FD解析だけで改ざんをした日時までわかるのか?その特定方法について

昨日にも書いたが、マイクロソフトのワードで作成されたデータであれば、ファイル自身のメタデータに作成日時や更新日時、最終印刷日時、それからファイルの作成者と更新者等々といろいろなデータが含まれていることから、ファイルそのものの更新日時をいじっても、ファイル内にある更新日時との矛盾が生じることから、簡単に日付を変更していることはわかる。

しかし、その作業を行った日自体はわからない。

一太郎の場合は、どうもメタデータ内に更新日時の情報は持っていないっぽいので、そこから矛盾は発見しにくそうである。

ところが一太郎の場合、文書を更新して上書き保存をすると、通常は更新前の一世代前のファイルが拡張子の最初の「j」を「$」にリネームしてデータが残されている。「.jtd」→「.$td」等

このバックアップファイルの残し方が、元からあるファイルをリネームして、新たに保存するファイルを元のファイル名で作成しているのか。それとも元のファイルをコピーしてバックアップファイルにリネームして保存し、元のファイルを上書きしているのかどちらかわからないが、確かExcelなんかは、新たにファイルを作成して保存し、元のファイルを削除する方法を取っていたと思うんだけど、間違ってたら誰か教えて。

一世代前のバックアップファイルのタイムスタンプの更新日時や最終アクセス日時がどうなっているのか。また他にもこのFD内の削除ファイルの復元作業を行い、代々のこのファイルを復元するとファイルの更新日時は追うことができるかもしれない。

しかし、これは、当該ファイルのタイムスタンプが故意に変更されていることがわかっていて、変更前のオリジナルのタイムスタンプがいつだったということを調べることはできるかもしれないが、やはり変更された日時そのものを知ることはできそうにない。

パソコンも含めて解析すれば、ひょっとしたら日付の変更に使用したアプリの使用履歴やシステムのログなどから推定できるのかもしれないけど、今回FD以外のものを解析したとは、どこの報道にも出てきていない。少なくともFAT12ではそういった情報は管理してないと思う。

しかし、どちらにしろ使用していたパソコンのタイムスタンプが正しいという大前提がなければ何の説明にもならない。

仮にタイムスタンプが1週間ずれていたPCでファイルを開き、うっかり上書き保存してしまったら、実際に保存した日とは1週間ずれたタイムスタンプになってしまう。っていうかたとえば毎日日記みたいなものを1ファイルずつ記録していたとしたら、全ての日記が捏造した日記と言うことになる。

今回の情報をスクープした朝日新聞、もしくは朝日新聞の依頼で当該FDを解析したフォレンジック会社にはもう少しわかるように説明して欲しいところである。

今回は、当初確認して書類に残したファイルのタイムスタンプが現物確認したらいつの間にか変わっていたわけだけど、

そもそも、ファイルのメタデータならともかく(メタデータでさえ、バイナリでいじってしまえば変更できちゃうけど)ファイルのタイムスタンプなんて不確定な要素は証拠価値持たないんじゃないのかなぁ。自分的には、特定のディレクトリ配下のファイルの作成日時、更新日時を全部同じにするなんて作業は今までから普通にやってるんだけどなぁ。昔ならNiftyのフォーラムの会議室のログなんかを整理する際に、ファイル名もそうなんだけどタイムスタンプでもこのファイルは何年何月分のログなんてわかるようなタイムスタンプをつけたり、市販のアプリケーションなどでも、タイムスタンプがバージョンの数字になっていたりとかって一般的だと思うんだけど。

逆にタイムスタンプを変更せずに中身を変えるなんてことも簡単にできるわけだし。

何度も書くように、差し押さえ時点でシステム時計のずれ等を確認しているなら別だけど、その作業を行っていないのなら、タイムスタンプなんて全く当てにならないんじゃないの?仮に確認していたとしても、その確認の状況を立会人に確認してもらって、写真なんかに残しておかなきゃ意味ないし、パソコンやFDなんかも差し押さえる時点で封印してなきゃ差し押さえ時点からの同一性は確保できてることの証明はできないし。

当時のシステム時計のずれを確認できていたとしても、それは差し押さえ時点でのタイムスタンプのずれであって、ファイルの編集を行った当時にどれだけシステムの時計がずれていたかなんてことはわからないし。そのPCのシステムタイマーの精度がどのくらいのもので、時刻の整合をいつやっているかがわからなったらどうしようもなくない?

手書きメモに「このメモは何月何日何時にメモしたものです」って書き記しているメモの作成日時くらい信用できないよなぁ。

我が家のPCでもメモリバックアップ電池が切れてて、電源を入れるたびにシステムタイマーの設定を要求してくるPCってのがあったりするけど、そのPCで作成されたファイルなんてどうなるんだ。

2010年9月22日 (水)

ファイルの改ざんを行った日時?

大阪地検特捜部の問題、今回問題になっているのは被告が作成した偽の証明書をFDに保存した日時、つまりファイルの更新日時

報道によると

差し押さえ後に調べたときは、当初「04年6月1日 午前1時20分06秒」となっていた更新日時が後で「04年6月8日」になっており、その更新日時の変更を行ったのが昨年の7月13日だったというもの。

さて、このFD、テレビ報道などで見ていると一太郎の文書ファイルであったことからFDはFAT12でフォーマットされていると思う。

FAT12でファイルを作成するとディレクトリエントリ構造では

0Dh に作成時刻の10m秒単位の値
0Eh~0Fh に作成時刻
10h~11h に作成日付
12h~13h にアクセス日付
16h~17h に更新時刻
18h~19h に更新日付

が記録される。

更新日時の変更を行った7月13日というタイムスタンプはどこから出てきたんだろう?

一太郎ってメタファイルにタイムスタンプを持っているのかなと思ったが、ファイルを開くのメニューから文書ファイルの詳細情報を見ると、前回印刷日時や総編集時間などの情報は持っているようであるが、更新日時についてはファイルのタイムスタンプから持ってきている模様である。

試しにファイルを変更せずにタイムスタンプのみを変更してみたが、同じように変更されていた。

更新日時の変更作業を行った日付ってどうすればわかるの?

誰か勉強不足な自分に教えてm(_ _)m

2010年9月20日 (月)

HT-03Aでrootを取ってクロックアップ

中国サイバー攻撃ネタは少し休憩して、スマートフォンネタ

spモードメールのサービスからも見放され、このままでは本当になかったことにされてしまいそうなHT-03Aであるが、それでもまだまだ終わらせるにはもったいない端末である。

「IMoNi」の最新版と「メール通知」、iモード.netを組み合わせればHT-03Aでも「@docomo.ne.jp」ドメインのアドレスがpush配信で受信可能であり、googleサービスとの親和性やトラックボールの使いやすさに相まって片手で操作可能なコンパクト性など、まだまだ引退させるには惜しい端末である。自分も含めて端末購入サポートの期限が残ってる人も多いだろうし。

そういや、未だ在庫がある店もあるようで、新規、機種変、MNPいずれも無料となっている店がよくいく量販店等でも見受けられる。

カスタムROMに入れ替えて最新のAndroid2.2を使っていたりする人も多いようだが、そこまでするのはちょっと・・・と思っていたり、スキル的にも壁があると言ったもいるだろう。

自分的には今のところ、特に不満はないのでカスタムROMまではいいかと思っていたりしたのだが、それでもエクスペリア等と比べてしまうと、この動作速度のもっさり感だけはもう少し何とかならんのかと思ったり。

そんななか、PCに接続してゴニョゴニョするまでもなく、HT-03A単体でroot化することができる方法があることを知ったのでやってみた。

使用したのは、Universal Androotというツール、マーケットではなくググって探してブラウザから直接インストール。

あとは実行するだけでOK。注意する点は、「Soft Root」にチェックを入れると、リブートすると元に戻ること。チェックしなければリブートしても有効。クロックアップをするときに影響が出る。

これだけでroot権限を取ることができてしまう。まるでiPhoneの「Jailbreakme」のような簡単さ。PCの無い場所ででも簡単に実行可能。

root化できれば、次はマーケットから「Overclockwidget」をインストールして、デスクトップに貼り付けてから実行する。

最小クロックと最大クロックの設定や、画面オフ時のクロック設定、最後に「Auto start on boot」にチェックを入れて「Save」しておけば、次から端末を再起動したときにも有効となる。

ここで先のroot化の際の「Soft Root」のチェックの有無が影響される。チェックが入っていると再起動すると元に戻っているので、クロック変更ができなくなる。クロック変更はroot権限を取っていることが大前提なのだ。

これによりHT-03Aで使用されているCPUの本来の能力を引き出すことができる。

HT-03AのCPUの本来の最大クロック数は528MHz、たぶんバッテリーの関係からなのか384MHzで動作するようにされている。これでエクスペリア等には及ばないものの動作が以前よりはきびきびとなるはず。

ただしバッテリー消費は一段と早くなるため、最小動作クロックやスクリーンオフ時のクロック等は128MHzにしておくなどすると、バッテリーの消費を抑えることができる。

カスタムROMに入れ替えてまでとか、起動時のdocomoロゴが無くなるのが嫌だけれどもノーマル以上にカスタマイズをしたい人にはお勧めかも。

2010年9月19日 (日)

サイバー攻撃による改ざん被害サイト一覧?

今回のサイバー攻撃で改ざんに成功したと戦果が報告されているところを発見

yyの中で報告されていた。

ttp://blog.hackernets.com/post/59.html 

によると、いくつかのサイトが中国国旗がはためく画面に改ざんされているらしい(一部は自分でも確認済み)

なんか変なスクリプトなんかが埋め込まれていてボット感染とかしないとも限らないので、閲覧は自己責任で!

えっ!?このなかのリストに国家公安委員会ってあるんだけど改ざんされたの?

されてないよね。

海保と警察の組織

今回のサイバー攻撃、発端の一つに尖閣諸島での漁船逮捕があると思われる。

とうぜん海の上で司法警察権を行使したのは海上保安庁である。

さて、警察庁のサイトが攻撃を受けたらしいという報道がなされた。一時的につながりにくい状態になっていたという。

警察庁が公式に発表した様子がないので、本当に攻撃を受けていたのか単なるアクセス集中なのかはわからないが、これを中国からの抗議の攻撃だとすると、中国人って海上保安庁が警察庁の組織だとでも思っているんだろうか。

海上保安庁は国土交通省の外局であり、国家公安委員会の下に置かれている組織ではない。確かに一時期省庁再編の話の時に、海保を警察に組み込むという案も出たようだが、結局その話は流れて、国交省の外局として続いている。ちなみに気象庁や観光庁も国交省の外局である。

海保への抗議が警察庁への攻撃だとすれば、間違いもいいところである。

日本の国の仕組みをきちんと勉強してから抗議しろって。

これでサイバーテロなのか?

まだ350人ほどがやりとりを続けている状態。

今回のサイバー攻撃、中国の掲示板等ではどんどん煽る者もいれば制止する者の書き込みもあった。

その中であったのが「中央省庁へのDDoSなんて意味がないからやめよう」というもの。

その通りだ。夜中に中央省庁のWEBサイトが閲覧できなくても、国民生活にはそれほど大きな影響は無いかもしれない。

わかるやつもいるんだと思ったが、次の書き込みでは、「どうせやるなら、銀行等金融機関のネットワークを破壊して、ATMを止めてしまえ。」とか、「医療機関を攻撃し、患者の電子カルテのデータをすべて削除してしまえ」だとか「電力会社の供給システムを破壊し、日本全国を停電に陥れよう」と提案している者がいた。そういうことかよ。

確かにそんなことが起これば、国民生活は大混乱する。まさしくテロ行為になるだろう。

だけど、そんなことできるわけがないだろうが。詳しくは語れないが、外部からのコンピュータによる攻撃ではあり得ない理由がきちんとある。そもそも・・・おっと誰か来たようだ。

やれるもんならやってみろって(笑)

中国からのサイバー攻撃について

当初、北京時間20時に攻撃という情報が各方面から流れていて、いろいろソースを調べようと中国方面の掲示板等を徘徊しまくったが、時刻に言及している書き込みがなかなか見つからない。

baiduなどいろいろな掲示板に書き込みはあるのだが、これによると、彼らはYYだとかQQといったリレーチャット?のソフトを使い情報交換をしていた。掲示板にはこれらのチャンネルがいくつか書かれてそちらに来るように誘導していた。(実際に確認したのはyyの3つだけ)

Yy6969_4で、入室してみると北京時間の19時に集結、21時に一斉攻撃となっていた。

これがその画面(キャプチャーしたのはもっと後になってから)右上を見ると「18日晩19点集合 21点開始攻撃」と書かれているのがわかる。

国内では当初の20時攻撃の情報が広まっていたから、日本時間21時になっても「何も起こらないじゃないか」とつぶやいている人たちもいたけど、やはり22時前後から中央省庁の一部のサイト等でレスポンス低下が起こっていた。Twitterを見ていると、防衛省、宮内庁、法務省等が極端に重く表示できなかったり、農協、商工会議所、電気事業連合会等のサイトもアタックされているらしい。

官邸が重いのはトップにFlashで大きな写真を貼り付けているから?それともやはり攻撃?

Twitterなどを見ていると、くそガキが集まってF5押してるんじゃないのなんて書いてる人がいたりするが、それは違う。しっかりとしたツール類を駆使して攻撃している。F5によるリロードを繰り返していたのはもう一つの国の方であるし、しかもそれは過去の話。確かに過去にはみんなでF5を押そうなんて呼びかけていたこともあったけど、最近ではツールを使っているんじゃないのかなぁ。

このルーム内では攻撃に使うための各種ツールのダウンロード先の紹介や、既に攻撃を行った者の戦果の報告がなされており、DDoS攻撃だけでなくWEB改ざんの報告が何件か行われていたので、攻撃手法も多岐にわたっていたと思われる。攻撃を受けて改ざんされた中には一部の自治体や公共団体のサイトもあったり。また当初「中国民間保釣連合会」の掲示板に書き込まれた今回の攻撃対象のリスト(これっていったい何年前のアドレスリスト使ってるんだか。確か小泉総理の時代に行われた攻撃リストそのままじゃないの?)意外にも新たなターゲットを示すアドレスが掲載されていたり。

ちなみにこの「中国民間保釣連合会」のサイトは落ちている。管理人曰く逆に日本から攻撃を受けたとのこと。Vipperの攻撃(逮捕記念に田代砲?)なのか、はたまた自作自演なのか。

ちなみに、今このブログを書いている現在もチャンネルには800人前後の人間が入って情報交換を続けている。

夕方には200人くらいしかいなかった参加者が19時前後には2000人にふくれあがり、ルームが飽和してしまうといったこともあったり、おそろしい勢い(本当に目にもとまらない速度で)で画面がスクロールしていく中でたまに日本語が混じっていたり。

誰だよ「I am Japanese Fuck China」なんて書き込んで挑発していたやつは。

あと、自宅でアップローダを公開して、ダイナミックDNSを使用している人のサーバーが改ざんされていたみたいなんだけど、この人のPC、アップローダのディレクトリの階層を上に上がっていくとメールディレクトリとかDocumentsだとかMyPictureだとかのディレクトリ等が丸見えになっちゃってる。ちょっとこれはまずいんじゃないの?

2010年9月 8日 (水)

Android用spモードメールアプリの不具合解消策について(一考察)

Android用spモードメールアプリの不具合について、とにかくぼろくそに言う人もいれば、何の問題もなく動作している人もいるようだ。

ということは、必ずしもspモードメールアプリだけが悪いのではないんじゃないの?別にドコモや開発元の会社の擁護をするわけじゃないけど。

スマートフォンがこれまでのガラケーと大きく違うのは、ユーザーそれぞれの利用環境がバラバラであるということ。

一人一人がいろいろなカスタマイズを行い利用しているわけだから、おそらくPCと同じで他のソフトとの競合とか相性の悪さなどといった原因もあるのではないだろうか。

一度初期の出荷状態まで戻して、真っ先にspモードメールのインストール等を行い、その後に、いろいろなソフトをインストールするだけで、不具合の無くなるっていう人も結構いるんじゃないのかなぁ。

spモードメールアプリのアップデートがある?

サービスインして一週間、Android用のアプリのできが悪いようで、かなり酷評されているspモードメール

自分はT-01Bなので、そこまでぼろくそに言われる理由がいまいちピンと来ないのだが、iモード.netメールとspモードメールを併用しているが、受信したspモードメールを開くのが重いのが気になる。

さて、したらばのXperia総合スレによると、spモードメールのアップデートが9月10日13時に予定されているらしい。

・メールの受信音が電話着信音と同じになってしまっているのが別に設定可能になる

・文字の大きさが大中小の3種類に

・着信時のイルミネーションの色が変更可能に

・メールの送信相手に電話帳登録名を表示させるかどうかを設定可能に

・メールに添付された画像をMediascapeで閲覧可能に

・メール受信中に着信した場合、メール着信音を停止

・バイブレーション振動時間と着信音鳴音時間の設定項目が別々に

といった改善がなされるらしい。

これが事実なら、わずか10日でかなりの改善が行われることになる。

10日程度で対応できるような内容なら、初日のサービスインまでにもう少し詰められなかったのだろうかって思う。

ところでWindowsMobile版のアップデートは無いんだろうか?先にも書いたようにもう少し軽くなって欲しい。

2010年9月 1日 (水)

SPモード、現在までに判明した事実(随時更新)

SPモードの接続にはID、Passwordは不要。(回線に紐付いてるみたい)

SPモードメールの設定等に必要なパスワードの初期値は0000、iモードパスワードとは異なるので注意。

なんだかんだ言っても携帯電話のメールサービスであるので、携帯電話の回線でのみ送受信可能。無線LAN使用時には着信通知のみ。これは携帯電話のWAP Pushの仕組みを使っているから。

HT-03AでのSPモードメールはアプリのインストールと起動までは可能だが、通信を行う時点で機種判定ではねられる。そのうち対応アプリを作ってくれる人が出てきそうな予感。

ってかさっきのWAP Pushは使っている機種に関係なく送られてきているっぽいので、WAP Pushを検知してメールを見に行くような仕組みを作れば、HT-03AだけでなくドコモのSPモードメールアプリが対応していない他の機種やSIMフリー機、iPhoneでもPush受信可能なアプリができるんじゃないだろうか。

ちなみにSPモードは現時点IMEIのチェックをしていないのでSIMフリー機でも接続は可能。

※9月2日追記

9月1日だけだった模様。現在はSIMフリーiPhone等からは接続不可能になっているらしいです。HT-03Aからの接続は可能です。

なお、SPモードで接続した際、端末にはプライベートIPアドレスが付与される。

FOMA回線を二回線所有しているときに、A回線をSPモードで接続している際に、B回線のメールをiモード.netメールアプリを使って送受信することは可能。つまりスマートフォン1台で2回線のメールのPush受信が可能となる。

SPモードの契約と同時にiモードを解約して、アドレス移行をしている人が多いようだが、こうするとFOMAカードをガラケーに戻した際には音声通話しか利用できなくなる。iモード契約を残したままSPモード契約をすると、SPモードサイトから双方のメールアドレスを入れ換えることが可能なので、どちらの端末にFOMAカードを挿入しても同一アドレスで使用可能となる。どうせ最大半年間はSPモードは無料で利用できるし、その後もISP割があるので、あせってiモードを解約する必要はないと思われる。

上記契約をしていれば、HT-03AでSPモードを契約してもメールアドレスをガラケー側に置いておけばiモード.netを使いメール送受信が可能。しかも芋煮が最新版でPushに対応したので、HT-03Aでもほぼリアルタイム受信ができる。

自分のように2回線でガラケー2台とT-01B、HT-03Aを使っている場合、T-01Bで使う場合はメールアドレスを入れ換えてSPモードメール+ガラケーBのメールをiモード.netアプリで受信(ガラケーB宛メールはどちらの端末でも送受信可能)。HT-03Aで使う場合はメールアドレスをガラケーAに戻した後でHT-03Aで芋煮を使い、戻したアドレスをiモード.netで受信、もう一回線の方はもう一台のガラケーBでそのまま使用すればOKということになる。

9月4日追記

なお、SPモード契約により新たに付与されたもう一つのメールアドレスについては、ドコモwebメールのアドレスを取得(無料)しておいてガラケーからiモードメール自動保存を行うようにしておけば、リアルタイムではないし、ドメインが変わってしまうものの、webブラウザーから送受信が可能となる。ドメインを変えずdocomo.ne.jpドメインそのままで使いたい場合は、iモード.netの契約を行えばwebメールとして送受信可能になる。

moperaUスタンダードプランを契約していて、moperaメールを使っていた場合は、APNをspmode.ne.jpに変更してSPモードで接続していてもmoperaメールの送受信は従来通り可能(勿論受信に関してはPush配信がかかる)

A回線のmoperaUライトプランは使わなければ基本料金も発生しないので、あえて解約する必要もなく、そのまま継続でよし。

9月1日、SPモード使用までの流れ

SPモードサービスイン、本日の流れ

既にSPモードのAPN設定についてはspmode.ne.jpであることが判明していたので、前日に端末に設定済み。

午前2時過ぎ、SPモードメールアプリがダウンロード可能になった模様。

朝、8時前、SPモード契約後、同モードで節約しないとダウンロードできないと言われていたが、実際にはダウンロード可能であったためにT-01Bにダウンロード、インストール。

試しにHT-03Aでもダウンロードしてみると、ダウンロードもインストールも可能というより起動も出来た。

午前9時、時報が鳴ると同時にドコモインフォメーションセンター151へダイヤル。音声ガイダンスで2を選んで進んでいく人が多かったみたいだが、ガイダンスを聞くことなくいきなり「0」(オペレータつなぎ)をプッシュ、しばらくコールが続いた後でオペレータのお姉さんにつながりサービスの申込開始。

電話でお姉さんと会話中、Twitterを見ているといろいろな書き込みが流れていくが、ドコモインフォメーションにつながらない人が多い様子。時報と同時にかけて、直接オペレータにつないだのが正解だった模様。

全ての作業が終わるまで約15分弱、アプリのダウンロード等の説明については既にダウンロード済みなのでといって断る。概ね10分程度で使えるようになるとのことであったが、電話終了後APNの設定を変更してみると、10分も待たずに使用できることを確認。

メールアドレスを今までのアドレスと今回新たに付与されたアドレスを入れ換え、メールの受信についても確認。

HT-03Aの結果を含めて、一日使ってみて、いろいろいじった結果判明したことについては、別にまとめることとする。

HT-03AでSPモードメールアプリは動くのか

とりあえず、HT-03Aでもインストールできてしまった。

起動もする。使えるのかどうかはまだ不明。

9月2日0時47分追記

送受信を行った時点で機種判定ではねられ、使用できないことが判明

SPモードメールとiモード.netメールの併用?

現在、A、Bの2回線のFOMAを契約していて、1台(A回線)をスマートフォン(T-01B)で利用中。

B回線をiモード.netの契約を行い、このメールアドレス宛に来たメールをiモード.netアプリを使ってA回線のT-01Bで受信している。

この状態でA回線をmoperaからSPモードにISP変更を行い、SPモードメールアプリを使ってAアドレスを受信できるようにすると、AB両方のメールをT-01Bの1台でプッシュ受信できるようになるのだろうか?

後程実験。

SPモードメールアプリ

現在9月1日、8時前。

サービスインまであと1時間。

SPモードメールのアプリは、WindowsMobile、Androidともにすでにダウンロード可能状態になっている模様。

« 2010年8月 | トップページ | 2010年10月 »

facebook

twitter

#XPERIAアンバサダー