お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« ロングファイルネームとショートファイルネーム | トップページ | T-01B ケース購入 »

2010年9月26日 (日)

朝日新聞の「別のファイルも改ざんか」って記事おかしくね?

朝日新聞の記事「別の文書ファイルも改ざんか 逮捕の主任検事」によると、

朝日新聞が入手した特捜部の捜査報告書によると、「通知案」が作られた時期を示す作成日時は「04年5月18日午後12時43分23秒」と記載されていたが、昨年7月16日に上村被告側にFDが返された時点では「04年5月18日午後12時43分22秒」と1秒のずれが生じていた。セキュリティー会社の解析の結果、「コピー~通知案」と同じ日にデータがいじられた可能性が高いことがわかった。

 また、前田検事の逮捕容疑となったデータと同様に、厚労省の管理外のパソコンと専用ソフトで書き換えられた疑いがあることも確認された。

 検察関係者によると、前田検事が改ざんに使ったとみられる専用ソフトは「ファイルバイザー」。このソフトでFDの文書ファイルの日時データを変えると、末尾の「秒」が自動的に偶数になる。「通知案」の作成日時の秒も奇数から偶数に変わっていた。

とのこと。

おそらく各検索エンジンのキーワードでは、「ファイルバイザー」が検索ワード急上昇となっているんではないだろうか。

FileVisor、確かWindowsが普及しだした頃に、DOS時代のファイラーと同じような感覚で使えるようにと出てきたソフトだ。

調べてみたらFileVisor32が1996年11月にリリースされ、もう10年以上になる高機能ファイラーであり、決して「タイムスタンプ改ざん専用ソフト」ではない。確かWindows3.1の時代から出てたんじゃなかったかなぁという風に記憶してたんだけど。

DOSの時代に、FD、FILMTN、FS、エコロジーといった高機能ファイラーを使っていた人の多くが、Windowsに移行してからもファイルマネージャーやエクスプローラの使いにくさに耐えられず、Windowsでもこういったファイラーに移行していったと思われる。FileVisorや卓駆★ for Windows、WinFD等々といったものがよく知られているところだろうか。

さて、朝日の記事によると、ファイルバイザーで日時データを改ざんすると末尾の秒が自動的に偶数になると、なにやらファイルバイザーの仕様というかバグが裏目に出たみたいな受け取り方もできそうな記事の書き方になっているけど、末尾の秒が偶数になるのはなにもFileVisorを使ったからじゃなくて、FATの更新日時の仕様。

FileVisorを使ってファイル日時を変更してもNTFS上のファイルへなら奇数秒への変更だってもちろん可能である。

でも今回の記事は作成日時についてである。

作成日時については奇数秒での記録も可能であり、実際にFileVisorを使って試してみたが、何ら問題なく任意の奇数秒への変更が可能であった。

記事を書いてる記者もたぶんPCには詳しくないんだろうなぁ。なんだかごちゃごちゃになってきている。

誰か一度、この朝日新聞の記事を全部わかりやすいように整理してくれないかなぁ。

#9月28日追記

試してみた環境はWindows7上のVirtualPCにインストールされているXP Mode。

ここにFileVisor6.4.7.1をインストール。USB-FDDをマウントして、FD内のテキストファイルに対して実行した。

Before オリジナルの状態では

作成日時が2010年9月28日、22:43:52

更新日時が2010年9月28日、21:30:58

Photo

これがFileVisorでFD内のテキストファイルを右クリックし、ファイル属性の変更を選択、作成日時を変更するで指定の日時に2010/09/27 01:23:45を指定しているところ

確かにFAT/FAT32上では、奇数秒を指定しても偶数秒に丸められます。

との注意が書かれているが、作成日時については丸められることなく変更できてしまう。更新日時については確かに丸められてしまう。

After

こうして、ファイル作成日時を書き換えた後のプロパティ画面

確かに作成日時が2010年9月27日、1:23:45と変更されているのがわかる。

« ロングファイルネームとショートファイルネーム | トップページ | T-01B ケース購入 »

デジタルフォレンジック」カテゴリの記事

ニュース」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

>作成日時については奇数秒での記録も可能であり、
>実際にFileVisorを使って試してみたが、何ら問題なく任意の奇数秒への変更が可能であった。

FileVisorで試されたときにはどういうファイルが対象でしたか?

FileVisor5を使って実際にFD上のファイルの時刻を変更してみましたが、奇数秒には変更できませんでした。

FDで使われているFAT12の仕様から考えると当然ですけどね(秒数には5ビットしか領域がないので2秒単位でしか記録できない)。

FAT16とかFAT32だと1秒単位で記録できるのかも知れません。

それよりも「日付を変更した日時」がわかる方が不思議だ。

自分も、FATって偶数秒でしか記録できなかったはずと思っていたのですが、それにしては記事によるとオリジナルの状態で奇数秒に作成されているので、おかしいなと思ってやってみたら、確かに変更できたはずなんだけどと思って、もう一度やってみました。
使ってみたのはFileVisor 6.4.7.1
Windows 7 のVirtualPC上のXP ModeにFileVisorをインストール。
USBで接続したFDDをVirtualPCにマウントし、テキストファイルに対して実行してみました。
やっぱり作成日時は奇数秒に変更できます。本文中にキャプチャー画面をを付けました。
FDなのでFAT12だと思うんですが、何が違うんでしょうね。
何かとんでもない間違いをしてる?

でもそれはそれで、今度はオリジナルの作成日時が「04年5月18日午後12時43分23秒」ってのがあり得なくなっちゃって、どちらにしろおかしいことになっちゃいますよね?

誰か、わかるように教えて!

サイズ!!がっーー

何で今まで気づかなかったんだろうか。この画像の
http://www.asahi.com/special/kaizangiwaku/images/OSK201009270045.jpg
更新日時しか見ていなかったようです。
書き換え前のアクセス日を見て、この時点でFD内のデータが改変されているなと思ったものの。
(押収日より後の日付になっているため。ライトプロテクトかけてれば、上村被告が最後にアクセスした日になる筈)
まさか、サイズが増えていようとは。思いっきり編集、上書きしてますよ。一太郎は、閲覧後、編集しないで再保存しただけで、サイズが大きくなるんですよ。
専用ソフトって、タイムスタンプ変更ツールじゃなくて一太郎の事だったのか?
しかも、ダウンロードって事は体験版ですか!(私も2010の体験版ダウンロードしました。310MB)

すみません。自爆してしまいました。
「一太郎は、閲覧後、編集しないで再保存しただけで、サイズが大きくなるんですよ。」と、書きましたが、それは新規作成したファイルを保存後、最初に再保存した時だけサイズが大きくなるが正解でした。
朝日新聞の記事によると、偽証明書の下書きファイル「通知案」をコピーした問題のファイル「コピー~通知案」は上村被告によって最低2回の保存が行われているので、その後に閲覧後、編集しないで再保存した場合はファイルサイズに変更はないのでした。大変お騒がせいたしました。ごめんなさい。

しかし、そうなるとサイズが大きくなったのは本当にナゼなんでしょうか?
もしかしたら、ファイルバイザーにそんな機能が備わっているのでしょうか。
謎が増えました。

本当に何度もすいません。
一太郎のバージョンが違えば何度も保存したファイルであっても、閲覧後、編集しないで再保存しただけで、サイズが大きくなりました。自分のバージョンに合わせてメタデータを更新するみたいで、その後の再保存ではサイズに変化なしでした。一太郎10と一太郎2010体験版どちらも同じ結果でした。

上村被告と検察の一太郎のバージョンが違っていると仮定してこんなストーリーを作ってみました。

パソコンの時計が正しかったとして7月13日午後に、検事が閲覧中に誤って再保存してしまうと

FDのデータ領域にサイズが増えた状態で新規に書き込んで、ディレクトリエントリでも更新日時がその時点に、そしてクラスタ開始位置とサイズも変更された物が新規に作られる。(元のエントリは頭にE5が付けられて残る)

バックアップファイルは元のファイルを参照するので、ディレクトリエントリでの更新日時が2004年6月1日1時20分06秒に、アクセス日がその時点に、そしてクラスタ開始位置とサイズが変更された物が新規に作られる(元のエントリは頭にE5が付けられて残る)

更新日時が変更された事にあわてた検事がツールを用いて元に戻そうとするが、その時に「悪魔のささやき」が聞こえ(たかどうか知りませんが)

更新日時を2004年6月8日21時10分56秒に変更(ディレクトリエントリのみ書き換え)

などと検事に、とっても甘いお話ですが、これだったらデータの改ざん日が特定できます。
以前にも書きましたが、一太郎はFD内の一太郎ファイルを開くごとにディレクトリエントリにデータが記録されます。(ちなみに2010では一回の閲覧に付き2つのエントリが記録されます。)
作成日時、更新日時、アクセス日が残るのです。その後、編集や上書き保存をしても消えません。

以上、特捜検事並みの膨大な妄想を膨らませてストーリーをでっちあげました。
これですと使用者名がファイル作成者と前回更新者で別人になった可能性が高く、使用したパソコンが私物だったとの報道についても辻褄があうんですけども。都合良すぎますか?

あと、一太郎2010でもメタファイルに更新日時を記録していました。
それから、うちの環境でもFileVisover5.21、ver6.47両方とも試しましたが、作成日時を奇数秒に変更できます。
それを確認したから、朝日自爆ってコメント書いたんですけど。今日はそのしっぺ返しを食らったみたいです。

いろいろ検証していただきありがとうございます。
一太郎のファイル内に更新日時を管理している場所、やっぱりあったんですね。
最初はWORD等と同様にあるはずと思っていたんですが、文書情報の更新日時がファイルのタイムスタンプから取得していることがわかったので、無いものだと思っていました。何で文書情報にその値を使わないのでしょうね。
今度、自分でも見てみたいと思います。
それから、9月21日の朝日新聞の記事のファイルの日時の画像は見ていたのですが、まさか27日にあんな画像が掲載されていたとは知りませんでした。
確かにファイルサイズが増加していますね。あれは絶対にFileVisorによる日時変更だけではないということになります。ってことはタイムスタンプだけじゃなく、内容にも変更があったということになる?
たぶん一度編集しかけて元に戻しても、校正履歴みたいなのが残ってファイルサイズが増えますよね?
あるいは証拠化(書面化)するために印刷を行っているでしょうから、その後で上書きしたので、印刷したという情報が記録されてサイズが増加したとか。
なんかこの問題、調べれば調べるほど、次から新たな疑問がわいてきます。

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/49564982

この記事へのトラックバック一覧です: 朝日新聞の「別のファイルも改ざんか」って記事おかしくね?:

« ロングファイルネームとショートファイルネーム | トップページ | T-01B ケース購入 »

facebook

twitter

#XPERIAアンバサダー