【遠隔操作ウイルス事件】「検察の主張は矛盾だらけだった」第4回公判後に片山氏らが会見
この証拠で起訴できる検察も凄いね。誰でも犯人になりうる。開発環境をインストールした人は皆犯人と見做される。
ここで反論されている事は、誰でも反論できる。もともとWindowsもリモートデスクトップの利用などが出来てしまうような実装があるのだし、プリインストールされているPCならば、インストールCDとかDVDを使わなくても、トリガーをオンにするだけで利用する事ができるようになる。
これはMacOSでも可能だ。古いMacOS9などでも、そうしたソフトウェアが流通していて、社内LANにつないだ複数のマシンで利用したこともある。Macのブラウザで立ち上がっているWindowsマシンのデスクトップを表示させ、クリックして操作を試したなどという事も実験した。
インターネットを知っている人は、サーバにSSL実装がされていないと、その間の通信が「テキスト」で行われている事を知っている。アナライザでネットワーク上でどんなやりとりがされているのかも「見える」のだ。いわゆるセキュアサーバというのは、そのテキスト平文で流れるネットワーク上の文字列を暗号化するという方法だ。
ファイルスラック領域の話が話題になっているのだが、どのような場合でも削除と上書きを繰り返すと、その削除したものの残骸が残る。実はファイルはハードディスク領域の場所にあるわけだが、ファイルの削除とはそのファイルを実際に削除するわけではなく、その管理をしているファイルシステムのインデックスから、当該ファイル情報を削除するだけの行為であって、実際にハードディスク上のファイルを削除しているわけではない。看板を外して「空き家」札を貼っただけだ。その家の中の家財道具は、次に引っ越してくるファイルによって上に積み上げられるだけだ。大きさが違えば以前に使っていた家財道具の一部は見つかる。これがファイルスラックである。上書きされた部分は、ものすごく高度な設備で高度な技術者が断片を拾い出すことは可能かも知れないのだが、それが目的のものなのか、それ以前のものなのかは断片化し過ぎて分からない。
ハードディスクの残存領域と、データの書き換えは関連する。ハードディスクの残存領域が潤沢にあれば、ファイルシステムはファイルを削除した領域よりも、未使用の領域を優先して利用する。ファイルスラック領域が検知可能で復元可能であるのは、そうした「余裕」のある使い方をしている場合に、より可能性が高くなる。逆に、ギリギリで使っていると、削除ファイルの領域は何度も上書きが繰り返されるため、仮にファイルスラック領域が発見できても、有意な意味を持つ形で再生するのは限りなく困難となる。
そういうファイルシステムを少なくとお片山君はエンジニアなら知っているはずだ。ファイルを削除した「開放領域」を全部0で埋める、場合に寄っては何度も再帰的に0で指定した回数だけ埋めて、ファイルの復元を不可能にするツールだって存在する。iesys.exeを作った人間が、それを知らないわけが無い。痕跡なんぞはサベージ出来ないほど完璧に消去し削除する事だって可能なのだ。
それを知らないエンジニアがiesys.exeを作るという起訴立脚点は、その事だけでも「危うい」のだと思う。
Kazuhiro Tamai @tama_don
