【セキュリティ】FDデータ"改ざん"、痕跡はこうして残る [09/23]

このエントリーをはてなブックマークに追加
1ライトスタッフ◎φ ★
大阪地検特捜部の元主任検事が証拠隠滅容疑で逮捕された事件で、捜査資料の
フロッピーディスク(FD)の中身を改ざんするのに使ったとされる専用ソフト。
ファイルの更新日時などを書き換えられる「タイムスタンプ変更ツール」とも
呼ばれている。

こうしたツールは本来、「CD−ROMに格納して販売するソフトのファイルの
更新時間をそろえたり、所定の期日に納入した電子文書を修正してから納期前の
日付にさかのぼって変更したりする用途で使われる」(セキュリティー会社ラック
の西本逸郎取締役)という。現在は、有料から無料のものまで多数のソフトが
ダウンロードサイトから簡単に入手できる。容疑者の元主任検事もそうしたツールで
書き換えを試みたとみられるが、多くの専門家は「偽装とすればあまりに初歩的では
ないか」と指摘する。

■ファイルに残る2種類の日付データ

改ざんされたワープロ文書の更新日時は、ファイルの「プロパティ」と呼ぶ欄に
記載されている。ここにはファイルの「名称」「種類」「データサイズ」のほか、
タイムスタンプと呼ぶ「作成日時」「更新日時」「アクセス日時」などが自動的に
記録される。

このタイムスタンプは通常、手動で書き換えることはできないが、変更ツールを
使うと任意の日時に変えることができるようになる。今回の事件では、更新日時を
本来の「2004年6月1日」から「2004年6月8日」に書き換えたとされる。

しかし、FDに記録された文書ファイルは、大きく二つの日付データで管理されている。
一つは「Windows」などの基本ソフト(OS)がファイル管理用に記録している
日付データ。もう一つは、マイクロソフトの「ワード」などアプリケーションソフトが
独自にファイルの中に記録する日付データだ。通常のテキストファイルは前者だけしか
ない。後者は、アプリケーションソフトが文書の作成者や更新日付、更新履歴といった
情報をファイル内に埋め込んで記録し、アプリケーションソフトごとに個別の方式で
ファイルの中に格納している。ワードの場合、この二つの日付データは、プロパティ
情報として別々に管理されており、解析ソフトなどを使わなくても照合できる。

このうちOSの日付データだけを変更ツールで書き換えても、アプリケーションソフト
が記録した日付と照合することで二つの日付に矛盾が生じてしまう。結果として、日付
データがなんらかの形で改ざんされたことを確認できるわけだ。一般に使っているだけ
では気付きにくいが、アプリケーションソフトは表から見えない多くの情報をファイル
に記録している。

もちろん一部には、OSが認識する日付データだけでなく、アプリケーションソフトが
記録する日付まで変更できる機能を備えたツールもある。しかし、日付情報以外で
ファイルが書き換えられた痕跡を見つけ出す方法も存在している。(※続く)

◎ソース
http://www.nikkei.com/tech/business/article/g=96958A9C93819499E0E0E2E08B
8DE0E0E2EBE0E2E3E2E2E2E2E2E2E2;dg=1;q=F2F2F2F2F2F2F2F2F2F2F2F2F
2F2;p=9694E3EAE3E0E0E2E2EBE0E4E2E2
2ライトスタッフ◎φ ★:2010/09/23(木) 15:13:57 ID:???
>>1の続き

例えば、FD上にデータを記録する物理的な順番。FDでは原則、更新された時間が
古い順にデータを物理的に記録していくが、ファイルの更新日時が改ざんされると
この順番に矛盾が発生する場合がある。また、磁気メディアであるFDに残った残留
磁気を科学的に読み取ることで矛盾を検出する方法もある。これは専用の装置を使い、
更新日時として記録された時期と現時点の磁気の強さから推測される更新時期を比較
することで検証できる。

■使用機器の調査で矛盾が明らかに

セキュリティーの専門家はこうしたいくつかの項目をチェックしていくことで、初歩的
な改ざんならたいてい発見できるという。ただし、「FD内のテキストデータに限れば、
改ざんした痕跡を残さないようにできるかもしれない」とラックの西本取締役は語る。
セキュリティーに詳しいS&Jコンサルティングの三輪信雄社長も「状況証拠までは
そろえられても、すべての場合で改ざんがあったと断定することはできない」という。

こうしたケースでは、FDといった媒体から得られる情報だけでなく、改ざんに使用
したパソコンや元のデータがあったサーバーなど関係するすべての機器を検証し、
ファイルを操作した連続性の中から矛盾を検出していく。

例えば、パソコンのシステム日付をずらしてデータを上書きすればFD内のデータの
更新日時を改ざんすることはできる。しかし、データを変更したパソコンの履歴データ
にシステム日付を変更したという記録が残る。また、変更ツールをインターネット経由
でダウンロードしたといった履歴情報も、改ざんを疑う状況証拠としては効力を発揮する。
なんらかの偽装をした以上、矛盾なく全体の整合性を取ることは難しくなる。

■デジタルデータ、厳密な保全が必要に

今回の事件では、捜査当局が押収したFDをどのように取り扱っていたかも疑問視され
ている。デジタルデータが裁判の重要な証拠となりうるような場合、捜査当局はまず
原本が改ざんされていないことを明確にする必要がある。例えば、証拠となるデジタル
データを押収した時点で媒体の完全なコピーを取ってからコピーの方を検証するなど、
物理的な情報を保全しておく。セキュリティー会社では、デジタルデータの検証を委託
されると記録媒体を実際に扱う様子をビデオに記録し、複製処理や更新処理といった
経緯をすべて残すという手続きを踏むことが多いという。

デジタルデータが裁判の結果を左右するほど重要な証拠として扱われる機会は今後も
増える。データを扱う立場には、厳密なデータ保全と公正な扱いを証明する仕組みが
必要になる。
3名刺は切らしておりまして:2010/09/23(木) 15:15:24 ID:7lRYII/X
PCの時刻の方をずらせばいいんだよ。
4名刺は切らしておりまして:2010/09/23(木) 15:15:54 ID:wd4QdLsj
フロッピーいじりたいのなら、書き込み禁止にしてからディスクコピーしろ。
パソコン知らない検事ごときが、証拠であるフロッピーいじるな。

5名刺は切らしておりまして:2010/09/23(木) 15:16:04 ID:QAgh+5+5
悪質犯罪だった
6名刺は切らしておりまして:2010/09/23(木) 15:21:16 ID:HIxgtAfW
今の時代にフロッピーを使ってる所に驚きだよw
7名刺は切らしておりまして:2010/09/23(木) 15:21:23 ID:LR3yJzNJ
>>4
ddでイメージごとコピー
8名刺は切らしておりまして:2010/09/23(木) 15:26:02 ID:oUly9zk6
最近のPCじゃあフロッピーに対応してないやろ
外付けなりを買わんとな
9名刺は切らしておりまして:2010/09/23(木) 15:28:16 ID:65gY7l6i
今回の最高検の捜査で組織防衛のため最高検自身が証拠隠滅しないかと
いうチェックはちゃんとやるんだろうな。押収した主任検事のPCを改ざんしたりとか。
一番信用できないのは最高検だからなw
10名刺は切らしておりまして:2010/09/23(木) 15:34:05 ID:f47FEk+C
バカだよ、書き込み禁止にして内容を見れば良かったのに。
エクセルファイルなんか、内容見て、カーソル位置が変わっただけで、「保存しますか?」ってっ聞いてくる。 
うっかり保存したら日付更新になる。
マスコミ報道だとその辺が分からないが、どんな内容を更新したのか知りたいわ。
11名刺は切らしておりまして:2010/09/23(木) 15:48:11 ID:OWIdUMTH
お粗末としか
12名刺は切らしておりまして:2010/09/23(木) 15:57:59 ID:QppjQ0cg
>>4
いや、前田ピザ彦は故意に改竄を行ったのであって事故ではない。
13名刺は切らしておりまして:2010/09/23(木) 15:59:51 ID:A8KdmW33
>>6
学校関係では、昔からのしがらみでずっと一太郎とかなんだ。
なのでフロッピーもそんな感じでずっと使われている。
古いPCも使われているから、そうでないとデータの受け渡しに
困るんだよ。
14名刺は切らしておりまして:2010/09/23(木) 16:02:11 ID:7YRBsmBH
今回の検察は、ミスや事故ではなく、ワザと改ざんしてることは明白だよ。
改変ツールまで使ってるんだから

法治国家の検察官が物証を手作したら、法治国家は終わりだろ。
この国で最も重大な犯罪だよ 死刑を100回執行しても余りある罪

15名刺は切らしておりまして:2010/09/23(木) 16:28:25 ID:rWLRee/N
むかし見たい画像の日付が未来だったのに気付かず
「なんじゃこりゃあ、表示されんじゃないか!」っと
PCを窓から捨てそうになったことがある
16名刺は切らしておりまして:2010/09/23(木) 16:36:43 ID:XMoL/TCR
>>14
どんな難しい試験パスしても悪さする人間はするからねぇ。
証拠の改ざんは起こりうるという前提で、証拠を検証する第三者機関が必要だよね。
それ言い出すとその機関を監査する機関が必要、とかなるかもだけど・・・
17名刺は切らしておりまして:2010/09/23(木) 16:37:46 ID:qUU1IQ4J
touch で変更で、あと残るんだっけ?
18名刺は切らしておりまして:2010/09/23(木) 17:04:38 ID:f6ApZ0Wl
そういやこないだ某板で
動画ファイルに埋め込まれた作成日時を知る方法を尋ねてきた奥さんが居た
旦那の嘘をあばくために知りたいんだと
19名刺は切らしておりまして:2010/09/23(木) 17:48:41 ID:5TBtYkda
こういうの、どれくらいの市場規模があるんだろうね
jpegファイルに固有データや日付を埋め込むような技術とか
ファイル形式の変換にも耐えられたりするの
20名刺は切らしておりまして:2010/09/23(木) 18:09:00 ID:WhLHcpF7
で、この犯罪者に改竄の方法を教えたのは誰よ?
21名刺は切らしておりまして:2010/09/23(木) 18:47:59 ID:pdnpXq0G
>>20
こんなのパソコンちょっと詳しければ誰でもできるレベルだろ。
22名刺は切らしておりまして:2010/09/23(木) 18:50:12 ID:mhTBOEez
フロッピーの一太郎だもんな・・・90年代前半
こりゃ失われた20年にもなるわ
23名刺は切らしておりまして:2010/09/23(木) 19:14:29 ID:3gTC39zB
突っ込みどころはフロッピー使ってること自体だろ

とはいってもそれに代わる確実な手段が未だ確立されてないんだよなあ
どれもこれも一長一短だ
24名刺は切らしておりまして:2010/09/23(木) 19:45:42 ID:5Cf9QB6Y
文書だけならフロッピーくらいの容量でも十分なんだよな
25名刺は切らしておりまして:2010/09/23(木) 20:01:41 ID:wEXgO987
>>6
銀行とか意外とあるよ
26名刺は切らしておりまして:2010/09/23(木) 20:14:19 ID:ZP/q7VQp
光学系は基本的に書き換えできないし、フラッシュメモリは長期保存に向いてないし、MOとかはマイナーだし。
フロッピーも長期保存に向いてないとは思うが。
27名刺は切らしておりまして:2010/09/23(木) 21:54:09 ID:WhLHcpF7
>>21
詳しければ文書本体にもタイムスタンプがあることくらいわかるはず
タイムスタンプとその情報が食い違っていた場合、誰が疑われるのかも
28名刺は切らしておりまして:2010/09/23(木) 22:59:11 ID:kH7MoooB
確か電磁的記録媒体は機械的に丸ごとコピーした上で、
コピーしたほうを調べるように警察では指導されてたはずだけど、
検察はやりたい放題なの?
警察もハイテク犯罪以外はやりたい放題なのかな?

鑑識にもデジカメが普及して一度しか記録できず変更不可能な、
SDカードとか作られたりしてるはずだけど、デジタルって扱いが大変だね
29名刺は切らしておりまして:2010/09/23(木) 23:10:52 ID:aV0QO/X0
>>26
MO は容量も十分、耐久性も抜群で、 Zip のような突然の暴走もなく、 Next-FD として普及してもいいと思うのですけれどもね。
30名刺は切らしておりまして:2010/09/24(金) 02:41:18 ID:Iy+bIy7K
MSX-DOSはMS-DOS互換(9セクタ)だから〜と思ってたら
WINDOWSはどんな大切なFDでも
読むだけでブートセクタ書換えて使えなくさせてくれる
親切な設計だったよと
31名刺は切らしておりまして:2010/09/24(金) 02:48:26 ID:2Axi4Zyz
企業や官公庁では古いPCもあるし、データの移動や保管にフロッピーを使わざるを得ないことはあるでしょ。
組織内での恒久的なデータの保存がFDってなら、システム考え直したほうがいいけど。
32名刺は切らしておりまして:2010/09/24(金) 03:01:03 ID:MutP58w/
>>22
で更新しようとすると「ゼーキンノムダヅカイ」と騒ぐ
33名刺は切らしておりまして:2010/09/24(金) 03:36:31 ID:5WfQ6pQG
意図的に改ざんしたんだから死刑が妥当だと思う。一罰百戒、最後は潔く罪を認めなされ。
34名刺は切らしておりまして:2010/09/24(金) 06:12:37 ID:O6TJ//s6
とにかくwindowsの標準機能ではタイムスタンプを過去のある日時に書きかえれないのだから
奴の言い訳「いじくっていたら変更してしまった」なんて通用しないのは
中卒の俺でも分かるわな
検事ってバカなの?
35名刺は切らしておりまして:2010/09/24(金) 08:58:43 ID:Ms3mAqKT
1週間後の日付に変えたんだよ
36名刺は切らしておりまして:2010/09/24(金) 11:20:27 ID:xxbTpvXb
うっかり上書き、日付更新ってなら、書き換えられた日付の6月8日にいじってなきゃ無理じゃん。
37名刺は切らしておりまして:2010/09/24(金) 11:54:04 ID:eQVPdBrY
>>29
MOベースで大容量化出来れば言うことなかったんだけどなあ
38名刺は切らしておりまして:2010/09/24(金) 13:11:33 ID:5Fmygp+b
いまどきフロッピーディスクなのがすごい USBメモリじゃないんだ・・・・・
39名刺は切らしておりまして:2010/09/24(金) 13:14:53 ID:OJlH7QMF
むかしFDで100Mフロッピーとかあったような気がするな
40名刺は切らしておりまして:2010/09/24(金) 13:22:43 ID:ZKAgs9VZ
>>36
そうだよねw
41名刺は切らしておりまして:2010/09/24(金) 13:33:57 ID:QU2UI25q
>FD上にデータを記録する物理的な順番。FDでは原則、更新された時間が
>古い順にデータを物理的に記録していく

また嘘を書くあほマスゴミ。
42名刺は切らしておりまして:2010/09/24(金) 14:38:02 ID:2JPVWAZg
・ワード固有の日付データ
  →今回の事件のファイルは一太郎ファイル
・データの記録順序
  →今回の事件はFATの書き換えだから上書き
・磁気強度
  →書き込みドライブが異なる場合は参考にならない

ナナメ読みしただけでこんなにつっこみどころが
43名刺は切らしておりまして:2010/09/24(金) 14:40:20 ID:RsaMz9Av
この事件でバカだと思うのは、やはりフロッピーを返却した事だろう

紛失、盗難(改ざんの証拠隠滅)にしとけば、始末書くらいで済んだのに・・・・・・・・・
44名刺は切らしておりまして:2010/09/24(金) 14:42:07 ID:eQVPdBrY
>>42
一太郎にも固有の日付データくらいあるだろ
45名刺は切らしておりまして:2010/09/24(金) 14:45:56 ID:8SXDPxDQ
>>42
FATの書き換えじゃなくルートディレクトリ情報の書き換えね。
そんで記録順序は変わらない。
46名刺は切らしておりまして:2010/09/24(金) 15:22:26 ID:bBbbfzU/

最高検察庁:「国民感情と将来の警察・犯罪者の友好関係を考慮して、被疑者の主任検事は処分保留とし、釈放します。」
47名刺は切らしておりまして:2010/09/24(金) 15:54:17 ID:t31gpImk
ワープロ代わりのPCなんて20年前の性能でも十分です
そんなところに税金掛けないのはいいことだ
48名刺は切らしておりまして:2010/09/24(金) 15:57:21 ID:eQVPdBrY
むしろワープロ専用機を復活させればいい
49名刺は切らしておりまして:2010/09/24(金) 16:07:46 ID:t31gpImk
>>48
いや、しかし、サーバーに接続はできた方がいいし
マインスイーパもやりたいよね
50名刺は切らしておりまして:2010/09/24(金) 17:11:19 ID:VOduT8LG
前田の裏に尖閣あり。
検察はFD鑑定も行わずフライング逮捕で幕引きしようとしたが結局政治圧力に屈した。
51名刺は切らしておりまして:2010/09/24(金) 17:22:04 ID:LKc4TpnX
>>22
未だに役所の申請はフロッピーが多いからなぁ。
メール添付もCDRもUSBメモリもダメで
内容を紙に印刷してフロッピー持参とかあるし
酷いのになると、役所指定の専用ソフト(しかも滅茶苦茶使いにくいw)
でフロッピーに保存とかある。

>>28
日本の役所は昔からやりたい放題だよw
基本的にお上に逆らうヤツは全員犯罪者だから・・・
法律に書いてなくても、省令とか局長/課長通達とか
慣例で勝手に取り締まるし。
52名刺は切らしておりまして:2010/09/24(金) 17:26:08 ID:LKc4TpnX
>>43
今回のは策略で返したらしいよ。
日付が違うんで弁護士側が証拠として提出すると矛盾が生じて
アリバイ崩壊を狙ったらしい。
53名刺は切らしておりまして:2010/09/24(金) 17:29:59 ID:0uXp8bpP
まあ司法の専門家でも他の分野じゃ素人。
他分野のプロの目を騙すインチキは難しいよ。
54名刺は切らしておりまして:2010/09/24(金) 17:49:15 ID:3NbooO+y
この時代にまだフロッピー使ってる人がいるとは
フロッピー・・・懐かしいですな
55名刺は切らしておりまして:2010/09/24(金) 17:55:46 ID:VTBcWaHR
>>54
官公庁のデータ添付書類はFDD提出が義務化されてるケースが多数残ってる
その場合、CDR・メモリーカード・外付けメモリの場合却下される
役人脳だからデータ量がFDDナニソレ?ってジャンル以外はFDD必須のまま改善されてない
56名刺は切らしておりまして:2010/09/24(金) 18:05:53 ID:5uKaUKiT
OS日付変えてファイル開いて上書き保存すれば特殊ソフト使わず出来上がり
57名刺は切らしておりまして:2010/09/24(金) 19:00:02 ID:sNN8kPuB
>>37
登場は遅れたのですが、ギガまでいっていますから十分だとは思うのですけれども。
58名刺は切らしておりまして:2010/09/24(金) 19:17:56 ID:O6TJ//s6
「2004年6月8日」にFDDがこの間抜け検事の手元にあるはずがないのに
いじっていて更新日時が2004年6月8日になるはずがないよね
この馬鹿は死刑でいいよ
おれの尊敬する小室さんもコイツの卑劣な策略によって有罪にされたんだな
59名刺は切らしておりまして:2010/09/24(金) 19:24:18 ID:sNN8kPuB
>>58
申し訳ないが、日付を変えるフリーソフトは存在するし、なんだったら作ってもいい。
SetFileTime()
http://msdn.microsoft.com/ja-jp/library/cc429940.aspx
60名刺は切らしておりまして:2010/09/24(金) 20:28:23 ID:ICzmVfoa
有る日付を(正確か否かは別にして)保存対象としたければ
pgp/GnuPGとかでも使っておけば?
有料でそういった電子証明書も発行して貰えるし。

自己証明だとあくまで改竄の有無のみしか補償できないけどさ。
61名刺は切らしておりまして:2010/09/24(金) 20:31:19 ID:ONZvrGLE
日付なんて書き換えて遊んで何が楽しいんですかーーー
62名刺は切らしておりまして:2010/09/24(金) 20:50:44 ID:O6TJ//s6
>>59
だから
日付を変えるフリーソフトを立ち上げて証拠をいじくるのかと
63名刺は切らしておりまして:2010/09/24(金) 20:59:26 ID:eaZS+l4E
>>55
電子納品の筈が、分厚いファイル5冊位提出となる
でも紙の方が見やすいし扱いやすい
64名刺は切らしておりまして:2010/09/24(金) 22:21:41 ID:V1RPwffH
>>3は、正解ではないの?
俺、いつもPCの日付を変えて改ざんしてるんだけど。
65名刺は切らしておりまして:2010/09/24(金) 22:47:54 ID:cRgTHrHm
しかし日付より中身をどう書き換えたのかが重要じゃないの?
まぁまだ明かせないかー。
エース検事が同僚に足引っ張られたのかと思ったんだけどそうじゃないんだね。

>>57
ロr動画がいっぱい入ら・・・いや、なんでもない。
機器が一般的になることと、えっちなことは切り離せないんだよ。うん。
66名刺は切らしておりまして:2010/09/25(土) 20:00:27 ID:sBK7oK/l
昨日、ビックカメラに行ったら、「フロッピーディスク製造終了につき云々」というポップをつけて
売ってた。
67名刺は切らしておりまして:2010/09/25(土) 22:13:35 ID:C5pLX0iT
つーかWindowsには標準でtouchコマンドも無いのか。
68名刺は切らしておりまして:2010/09/27(月) 08:45:42 ID:g+xMHyZo
最初の言い訳、「数字をいじって遊んでいたら、書き換えてしまった」ってのも、そもそも証拠品の数字をいじって遊ぶってのも
不可解な行動。どの数字を触って遊べるのか。「あ〜あ、このファイルの日付が6月8にちだったらなぁ〜」てな感じに、
日付書き換えのソフトでも実行してたのだろうか。
69名刺は切らしておりまして:2010/09/27(月) 19:51:12 ID:PewFqmwt
>>68
ま、それしかないわな
で、それがどっかにバックアップしたのをいじってるつもりが、元のFDだったと。
もしそれが本当なら、気づいた瞬間に血の気が引くが。
上司なんかに報告して善処する

それが「時限爆弾」だってんだから、どう言い逃れるつもりなんだろ
70名刺は切らしておりまして:2010/09/27(月) 21:04:30 ID:t70ECR0n
>>68
>最初の言い訳、「数字をいじって遊んでいたら、書き換えてしまった」ってのも、そもそも証拠品の数字をいじって遊ぶってのも 
>不可解な行動。

というか、職務時間中に遊んでいたなら職務専念義務違反で、そもそも職務外の行為

どうやら自宅でいじったらしいが、職務時間外に職務外で遊ぶのなら自由とはいえ、職務上
知りえた秘密を使ったらアウト
71名刺は切らしておりまして:2010/09/27(月) 22:32:13 ID:mPwOzlNA
もとに戻す、という発想はなかったのか?
72名刺は切らしておりまして:2010/09/28(火) 02:40:28 ID:P7cpCNsb
>>41
きっとランダムアクセスが出来ないFDなんだろうね

>>70
いやいや
押収した物を自宅に持ち帰っちゃダメでしょ
エースだからいいのかしら?


うちみたいな零細でも
客から預かったメディアは預かり物だから
ドライブに突っ込む前にはライトプロテクト
かけてからと徹底してるのに
地検と来たらオリジナルのメディアで遊ぶって…
73名刺は切らしておりまして:2010/09/28(火) 05:30:09 ID:eZfjLxcp
>>71
74名刺は切らしておりまして:2010/09/28(火) 08:13:18 ID:Wfnzdahu
>>72
>うちみたいな零細でも 
>客から預かったメディアは預かり物だから 
>ドライブに突っ込む前にはライトプロテクト 
>かけてからと徹底してるのに 
>地検と来たらオリジナルのメディアで遊ぶって… 

文系に、何を期待してるんだ?
75名刺は切らしておりまして:2010/09/28(火) 08:20:07 ID:5aBK4Azm
>>64
イベントが残るじないのか?
76名刺は切らしておりまして:2010/09/28(火) 09:02:04 ID:jh1nOADb
>>43
>>52
ホリエモンもつぶやいいたな
裁判終わってないのに押収物を返却するなんてありえないって
無関係な品物でも申請してもなかなか返してくれないらしい。
77名刺は切らしておりまして:2010/09/30(木) 00:37:57 ID:yZLLMVMP
>>75
消せば消えるだろ>イベント
78名刺は切らしておりまして
>>77
特定のイベントだけを消すことはできない。消すなら全部消えてしまう。