お天気ブログパーツ

XPERIAに関するお買い物はこちらから

Amazon

  • デジモノステーション増刊『SIM PERFECT BOOK 02』
  • はじめての格安SIMフリー入門
  • デジタル・フォレンジック概論~フォレンジックの基礎と活用ガイド~
  • 格安SIMカード マル秘 活用術 (ハッピーライフシリーズ)
  • “カワイイ"をシェアする写真術 (別冊ステレオサウンド) [ムック]
  • 携帯MNPで確実に稼ぐ合法テクニック  (MSムック ハッピーライフシリーズ)
  • All about ThinkPad 1991‐1998―History of the IBM ThinkPad notebook computers
  • アキバ署! 03 (アフタヌーンKC)
  • アキバ署! 02 (アフタヌーンKC)
  • アキバ署! 01 (アフタヌーンKC)
  • ハイテク犯罪捜査入門―図解・実例からのアプローチ (基礎編)
  • ハイテク犯罪捜査入門 捜査実務編―図解・実例からのアプローチ
  • 図解・実例からのアプローチ サイバー犯罪捜査入門(ハイテク犯罪捜査入門)―捜査応用編 (ハッカー検事シリーズ Vol. 3)
  • 激ヤバ スマートフォン裏技バイブル
  • Androidスマートフォン自力バージョンアップガイド (白夜ムック)
  • サイバー犯罪とデジタル鑑識の最前線!

なかのひと

  • 無料アクセス解析
無料ブログはココログ

Google Analytics

« T-01Bアップデート完了 | トップページ | プラズマクラスター内蔵携帯電話機 »

2010年10月 6日 (水)

FD改ざん事件、一太郎のメタ情報について疑問点解決

9月22日以降、このブログでもいろいろとFD改ざんに関していろいろと書き込んでいて、すきまっ風さんからいろいろと調べていただいてコメントをいただいていた。

その中で一太郎自身がどこで使っているのかよくわからない更新日時らしきデータがファイル内に存在するということがわかってきたのは、ここの過去の記事を読んでもらったらおわかりになると思う。

最近、ゆっくりとした時間が取れなかったので、自分自身で検証できていなかったのだが、とりあえず何も文字が入っていない一太郎文書ファイルを作成し、一旦保存。そのファイルを開いて、何もせずに上書き保存。さらにもう一度上書き保存。

この3つのファイルをそれぞれ比較した際に1つ目と2つ目では新たなメタ情報が追加されファイルサイズが増加、2つ目と3つ目はファイルサイズは変化しないものの、バイナリレベルで調べるといろいろと変化が生じていることがわかった。

この辺のところが、いろいろと今回の件でネット上を調べていても、あまり触れられておらず、FD改ざんを扱ったブログを見ていてもそこまで技術的に書いている人も発見できず、今度じっくりと調べようと思っていたところ、ネットエージェントさんのブログFD改ざん事件についての技術的考察で、詳しい解説がなされた。

この記事を読めば、デジタルフォレンジック的な観点から、今までこのブログで書いてきた疑問点がほとんど解決してしまう。

先を越された。というか、まだまだ勉強不足だなということを痛感。ひょっとしたらEncaseとかFTKといったツールを使えば簡単にわかるようなことなのかな?

で、このブログの技術的考察を読んでみると、やっぱりタイムスタンプを変更しただけでなく7月13日にファイルの上書き保存を行っていたみたいで、すきまっ風さんの仮説が的を射ていたようだ。

って事は、タイムスタンプを変更するなんかよりも、当該一太郎の文書ファイルの内容そのものも変わっているかもしれないってことにならない?ファイルのタイムスタンプ改ざんよりももっと大きな問題にならないの?

これは騒がないでいいんだろうか?

ちなみに電磁的記録を証拠として扱う際の注意みたいな内容は、2006年3月1日にメールを照明するためにはという、当時の政界を騒がした偽装メール問題に関しての記事で扱っている。

最近では特定非営利活動法人デジタル・フォレンジック研究会の「証拠保全ガイドライン 第1版」が非常にわかりやすくまとめられているので、興味のある人はどうぞ。

« T-01Bアップデート完了 | トップページ | プラズマクラスター内蔵携帯電話機 »

デジタルフォレンジック」カテゴリの記事

ニュース」カテゴリの記事

パソコン・インターネット」カテゴリの記事

コメント

ご無沙汰しております。
穴があったら入りたい気分です。
以前のコメントで
「ジャストシステム独自の時間管理?により、更新日時を記録している箇所がありました。
年:月:日:時:分:秒ごとにビットを割り当てるFATとは違う変な仕組みで、まるで電気やガスのメーターのような感じの方法で時を刻んでいます。」
と、書いてましたがWindows標準だったのですね。
「64bit Windows タイムスタンプ」知りませんでした。恥ずかしいですぅ。

それから、一太郎のメタ情報ですが、Wordの「.doc」ファイルにあるような、文章自体の作成日時はなぜか記録されていません。ただファイルの保存時に、そのファイル自体が作成された日時(コピーされた物であればその時点、)と以前の更新日時を記録している箇所がありました。

一太郎のメタボ?情報について

今日ふと思い立ち、バイナリエディタ(Stirling Version 1.31)の文字エンコードを「Unicode」に変更してみたら、一太郎ファイルの前半部分に日本語表記の項目が沢山現れました。
今まで「あーでもない、こーうでもない」と見てた時とは大違いでそれぞれのタイムスタンプが持つ意味が理解できました。ただ、本当の「更新日時」は「Root Entry」と、英語表記ですね。

更新日時とほとんど変わらない(10m秒早いか同じ)値を持っていたのが「最終アクセス日時」だったとは、ちょっぴり驚きでした。何の為に必要なのかはっきりとした事は分かりませんが、やはりセキュリティー上の観点では必要みたいですね。

私が初めてコメント欄に書き込んだ内容「プロパティーをクリックするだけで更新日時変更」あれを、昨日の事になりますが、一太郎ソフトのインストールされていないPCで、一太郎ファイルに行いました。なんと、メタデータの更新日時とその他良く分からない部分を書き換えていました。
(実はこの時点で更新日時のタイムスタンプが「ジャストシステム独自の時間管理」などでは無いと気づき、更にネットエージェントさんのブログを読み直したところ「8バイトのWindowsタイムスタンプ形式」という表記に愕然としたのでした。そして、どこかに穴は無いかなと探しだしたのでした。)

つまりそのファイル内のメタデータでは、「更新日時」と「最終アクセス日時」が大幅に異なる事になります。本来ふたつの値は殆ど同じはずなのに違うという事で、何かしらの操作を行ったという証拠になりえますよね。一見、必要ないと思われるデータですが何らかの形で役にたつ(まるで「赤鼻のトナカイさん状態」)事もあるのではないかと想像いたしました。

それから、ネットエージェントさんが検証に用いたタイムスタンプは「作成日時」と「前回更新日時」に、なります。「ファイルシステムのタイムスタンプ情報とは異なる日時が記録されている」と、疑問に感じておられたようですが、私が昨日のコメントで記入した事が正にこれになります。

一太郎のメタ情報では「作成日時」と「前回更新日時」は現在のファイルシステムの情報とは違うということです。では何が記録されているのかというと、今現在のファイルを再保存する前の状態のファイルシステムの情報、つまりファイルのプロパティーに書かれている日時が記録されているのです。

なんか余計に分かりづらくなったかもしれませんので、こんな実験をお勧めします。
先ず、作成済みの一太郎ファイルの「作成日時」と「更新日時」を「タイムスタンプ変更ソフト」を使用して適当な日時に変更してください。(例えば両日時とも「1980年1月1日0:00:00」とか。)
次にそのファイルを開いてから再保存して、バイナリエディタにて確認してみてください。
納得していただけると思います。

一回だけしか保存していない(再編集していない)ファイルのメタ情報に「作成日時」と「前回更新日時」が記録されていないのは、このためだったのです。

以上のような事から考えると、一太郎のメタ情報はファイルの改ざんがあったかどうかを確かめる為には欠かせない物なんだなと思いました。タイムスタンプ以外にも本当に謎のデータがファイル後半部分には存在してるし、その他「二重三重」の体制で不正を見抜こうとしている姿を感じる事ができました。
もしかしたら大口ユーザーである官公庁などで一太郎が採用されている理由のひとつに、こういった点があるのかもしれません。

そうなると今回の事件、本当に情けない程にお粗末な事をしてたんだなと思います。
「タイムスタンプ変更ソフト」を使用しての「更新日時」改ざんだけではなくて、実際に文章の編集があったかどうかは不明ですが、上書き再保存によるファイル自体の書き換え。ユーザー情報で足が付くという準備の無さ。不正を見抜く側がこんな事じゃ本当の不正は見抜けないのではないか、とさえ思えます。
って、別に「もっとうまくやれよ」と言っている訳ではないので誤解なさらないように願います。

そして私もXPFさんが疑問に思われている点は同感です。タイムスタンプを変更しただけなら2バイト、しかし上書き再保存ですと、19,456バイトいやそれ以上の変更がFD内で行われた事になります。
また、これを美術品に置き換えるなら、更新日時の変更はラベルの張替えに当たりますが、上書き再保存だと美術品その物を作り替え、つまり贋作になりますよね。まあ、本物は名前を変えてすぐ近くに置いてあるから、それでいいんだっていう反論もありそうですが著作権の問題もあるはずで本当は大問題なんですけれども一向にマスコミでは報道されませんね。これはおかしな事だと思います。この事件、真相はもっと奥深い処に何かあるのかもしれませんね。

今はFD改ざんの本人よりも、その上司たちの犯人隠避の方に焦点が移っているようですが、これってもしかしたら3人一緒の同… いやーこれ以上は怖くて書けませんが、だったりするんじゃないかなと勘ぐってしまいました。

ところで今回の件ではフォルダの存在は関係ないですよね。ネットエージェントさんが最後の方に書いていらっしゃたり、読売にもこんな記事があるんですけれども。
http://www.yomiuri.co.jp/national/news/20100921-OYT1T00777.htm
そもそもFAT上に作成されたファルダの更新日時は作成日時と同じで、フォルダ内部でどんなに変化が起きようとも変更される事は無い筈なんですけれども。それとも何処かに記録残ったりしますか?

最後に、大変長文で失礼いたしました。


すいません。昨日の書き込みで言葉足らずな点がありましたので追加です。

「最終アクセス日時」の処で、「プロパティーをクリックするだけで更新日時変更」にて、「メタデータの更新日時とその他良く分からない部分を書き換えていました。」と、書いたのですが、この場合の「更新日時」とは、メタ情報の頭の部分にある「Root Entry」項目の事です。
実は一太郎ファイル内には、「Root Entry」項目のタイムスタンプと同じ値が何ヶ所も記録されているのですが、変更されるのは「Root Entry」部の1ヶ所だけなので、本来の更新日時を割り出す事が可能です。

ちなみに「更新日時」と同じ値が記録されている箇所は文章内容によって異なるみたいで、検証に用いた何も入力していない文章では3ヶ所あり、複雑な編集が行われている文章では7ヶ所や13ヶ所、中には20ヶ所も記録しているファイルもありました。
大抵は、「最終アクセス日時」の値と対になって記録されていますが、ファイルによっては「最終アクセス日時」の値と多少異なる物もありました。何でそんなに多くの場所に記録する必要があるのか?。やっぱり、メタボですね。

それから「作成日時」についてですが、最初から最後まで同じ場所で作成、保存、編集、再保存・・・されたファイルでしたら本来の作成日時を示していますが、他所からコピーしたきた場合には次回の保存時からはコピー時の日時を記録します。ただし、コピーではなくて移動してきた場合(切り取って貼り付け)には、作成日時を引き継ぎますので、本来の作成日時を次回の保存時にも記録します。
しかし何でまたWordのように文章自体の作成日時を残さないのでしょうか?。作成日時は、いわば文章の誕生日に当たると思うのですが、一太郎にしてみればどうでもいい情報なのですかね。

そして最後に余計な事を書きます。
ネットエージェントさんのブログ「FD改ざん事件についての技術的考察」を、良く読んでいなかったので気づきませんでしたが、はっきり言って自爆されてます。ダウンロードしたテンプレートファイルからタイムスタンプを発見されたのは流石ですが、項目が違うんですよね。あれは、ファイルの下の方に記録されている「作成日時」と「前回更新日時」なのです。ですから現在のファイルシステムの情報とは違うのは当然な訳でして。あのブログにはコメント欄が無いのでどうしようかと思っています。
それと、更新者が「Last Saved By」、更新日時が「Last Revised Date」と書かれていますが、こちらの環境ではバイナリエディタでは発見できませんでした。何か特別なツールが在るんですね。

ネットエージェントさんが勘違いされた「作成日時」と「前回更新日時」

先ず前回の私のコメントで、ネットエージェントさんのブログに対して大変失礼な書き込みを行いました事をお詫びいたします。今にして思えばもっと適切な表現があったのではないかと反省しています。申し訳ありませんでした。

そして、勘違いされていたのがネットエージェントさんだけではない事が分かりましたのでご報告いたします。

Windows XPでは、「ファイルのプロパティー」の「概要」タブの「詳細設定(V)>>」画面にて、Wordファイルですとメタ情報の日時に関する項目が表示されますが、一太郎ファイルではそれらの項目がありません。
しかしWindows 2000では、一太郎ファイルの場合にも「作成日」「最終保存日」「最終印刷日」の項目があります。それぞれメタ情報のタイムスタンプの値から日付のみを表示していますが、「作成日」は「作成日時」、「最終保存日」は「前回更新日時」、「最終印刷日」は「前回印刷日時」を参照しているようです。(殆ど活躍しなくなったWindows 2000で試してみました)
そのため、Windows 2000で一太郎文章の「ファイルのプロパティー」を表示させると「全般」と「詳細設定(V)>>」では、全く内容が異なって混乱してしまう場合があります。

この事は、Windows 2000がメタ情報の読むべき場所を勘違いしているのか、それとも一太郎が書き込む場所を勘違いしてしまったのか、深くは追求できませんがどこか奥深い処でボタンの掛け違いがあったようです。
以上の事からネットエージェントさんが勘違いされたのも仕方の無い事だったのかなと思えました。

ところで、こういう矛盾点に関して当時話題になったのかどうか記憶に無かったので、ネットで検索してみましたが全くヒットせず、マイクロソフト、ジャストシステムのどちらからも案内など見つかりませんでした。

ただ、Windows XPになってから一太郎ファイルで項目が無くなったという事はマイクロソフトが問題を認識した結果だと考えられます。つまり、一太郎ファイルでは敢えて表示しなくなったという事ですね。そして、それがいつしか当たり前の事になって、一太郎ファイルのプロパティーに日時に関するメタ情報の項目が無いものだから、一太郎ファイル内部には更新日時など記録されていないと間違った認識を与えてしまったようです。

ちょっとWindows XPに騙されたような感じがしたので少し意地悪をしてみました。
それは拡張子の付け替えです。つまり、一太郎ファイルには「.doc」、Wordファイルには「.jtd」を付けて「ファイルのプロパティー」を表示させる。結果は?。どうぞ、お試しくださいませ。(ただ、「最終」から「前回」に変更になっているので、この場合は間違っていないのかも)

それにしてもWindows 2000は、既に過去の物となってしまったようです。
http://support.microsoft.com/ph/1131#tab0

しかし、ちょうど1年違いますが、7月13日って偶然ですね。

返事が遅くなりました。

まず、そうですね。
通常FDはFAT12で使用しているはずなので、フォルダの作成日時と更新日時は同じだと思います。
フォルダ内のファイルに変化があってもフォルダのタイムスタンプに変化はないと自分も理解しています。変化があるのは、ファイルをコピーした際の作成日時だけだと思います。

それから、Windows2000とXPで一太郎ファイルのファイル情報の見え方が違うんですね。これは知りませんでした。2000とXPっていろいろ似通ってる部分があってバージョンだって0.1違うだけだし、同じだと思っていました。我が家にもWindows2000マシンがあるので、一度確認してみます。
それから拡張子をリネームしたあとの表示もびっくりです。データ自体を触らずリネームだけで見え方が変わってくると言うことは、すきまっ風さんがおっしゃる通り、OS側の挙動なんですね。

すきまっ風さんの調査には脱帽です。

Windows2000、今年の7月13日で全てのサポートが切れてしまいました。
今月のマイクロソフトの脆弱性パッチが今までにない数のアップデートがあるようです。XPもSP3のみのサポートになってしまっていますが、XP SP3の脆弱性と対策パッチが公表されることで、逆に構造が似通っているSP2以前のXPやWindows2000も同じ脆弱性がある可能性が高く、そしてこれらのOSの対策はされないでしょうから、特にインターネットに接続するようなPCでの使用は危険ですね。

Windows2000はおろか未だにNT4なんかで稼働しているWEBサーバーなんかもあったりするので、何とかして欲しいところです。自分のサーバーが改ざんされたり不正アクセスされるのは勝手ですが、他のサイトへの攻撃の踏み台になったりbotに感染したり指令サーバーに悪用されたりするのは勘弁して欲しいです。

お返事ありがとうございます。
フォルダの件、安心しました。ああいう風に記事になってると何だかちょっぴり不安に感じたものですからお聞きしました。

ところでここの処、改ざんの手口に関してのニュースが無いなと思っていたら、とんでもない情報が出てきました。

前田元検事:「組織の問題明らかに」最高検会見 ◇文書ファイル順序も改ざん…前田元検事
http://mainichi.jp/select/jiken/news/20101012k0000e040041000c.html?inb=yt

証拠品改ざん・隠ぺい事件 前田被告、フロッピー内のデータの順番も入れ替える
http://www.fnn-news.com/news/headlines/articles/CONN00186142.html

【検事起訴】渦中のソフトで記者も改竄試みる…ただし…
http://sankei.jp.msn.com/affairs/crime/101013/crm1010131329014-n1.htm

文書ファイルを入れ替えって事は、ディレクトリエントリをいじったのか、それともFDの中身を全部何処かに退避しておいて入れ直したのか。どちらにせよ、前田オリジナルにしたんですね。
こうなってくると、結構手間のかかる大変な事をやらかしていたようですね。何だか、朝日の記事に騙されていたような気持ちがしてきたのは私だけでしょうか?
 
以前、私が描いたシナリオは完全に崩れました。一から構図の練り直しです。FileVisorの使用も、更新日時ではなく、作成日時の書き換えに使ったんではないかと思えてきました。
それらの検証のためにディレクトリエントリの記録に関して色々実験しているのですが、NT系と9X系では少し違いますね。ちょっと混乱してしまいそうです。(ちなみに一太郎ファイルのプロパティーの見え方、Meも2000と同じでした。98は全く違っていました)

ファイルの順番入れ替えってどういうことなんでしょうね。
一番手っ取り早く簡単なのは、いったんどこかへ待避して、フロッピーを空にしてから順番を変えてフロッピーに戻すことでしょうか
フロッピー内のファイル名がどうなっていたのかがわかりませんけど、仮に「通知案.jtd」「通知案2.jtd」・・・といったファイル名だったとすると、以前に「タイムスタンプ以外からのファイル変更の痕跡」のところで書いたように、ショートファイル名の通し番号が変わってくるので、その辺とディレクトリエントリのタイムスタンプ、さらにメタ情報のタイムスタンプを整理するとわかってくるのかもしれませんね。
あれFileVisorってディレクトリエントリのソート機能は無いんだっけ?

うちの一太郎は、ファイルにOSのバージョンを記録しているようです。

一太郎以外にも、三四郎や、Word、Excel、PowerPointなどのオフィス系ソフト、それに拡張子「.msi」が付いたインストールパッケージファイルにも記録されています。(docFileの仕様でしょうか?)

もし、前田被告が改ざんに使用した私用パソコンのOSが「VISTA」だったとしたら、朝日新聞の記事で良く登場した
「厚労省の管理外のパソコン」という謎の意味が分かるんですよね。

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/166122/49668879

この記事へのトラックバック一覧です: FD改ざん事件、一太郎のメタ情報について疑問点解決:

« T-01Bアップデート完了 | トップページ | プラズマクラスター内蔵携帯電話機 »

facebook

twitter

#XPERIAアンバサダー