ネットエージェント株式会社 オフィシャルブログ

松本隆

ファイル共有を肯定する“宗教”kopimism伝道教会とは

こんにちは、松本です。ずいぶんお久しぶりになります。さすがに3回連続で杉浦に記事を書いてもらうのはまずいという事で急遽私に白羽の矢が立てられました。さて、そんな内輪の事情はさておき、今回は年明け早々にネット上で話題になったmissionary church of kopimism(以下kopimism伝道教会)という、ファイル共有を信仰する宗教について書いてみようと思います。kopimism伝道教会は私が今ヲッチしている中で一押しのカルト(※1) です。まずはこの動画(YouTube)を見てたっぷりと雰囲気を味わってから記事を読むのをお勧めします(笑)



-----

■ kopimism伝道教会の誕生
 2012年1月4日ネット上にkopimism伝道教会がスウェーデンで正式に宗教として認められたという興味深い記事が流れました。(※2) kopimism伝道教会はスウェーデンの哲学科の学生Isak Gersonによって2010年に設立された組織です。彼はインターネット上での自由な知識共有の信奉者でした。倫理と政治哲学を専攻し、インターネットと著作権の共存について否定的であり、著作権制度自体に反対の立場をとっています。世界中で商業ソフトウェアやコンテンツの違法コピー(いわゆる海賊版)の規制が強まり、ファイル共有ユーザーが当局に迫害を受けている状況を嘆き、同志を救済しコピー行為を正当化するためにkopimism伝道教会を立ち上げました。また、彼らは国家による信仰の保護を求めてスウェーデンで法務や金融の行政サービスを司るKammarkollegietに対して、正式な宗教として認めるよう申請を行いました。その試みは2度失敗に終わりましたが、宗教としての体裁を整え3度目の申請でようやく実現にこぎつけました。

 2012年2月27日現在、教会は(ドメイン上ですが)世界17ヶ国に存在し、信者は6000人を超えるといわれています。その中には
日本教会が含まれているのも非常に興味深いところです。

 
svgkopimism伝道教会が目指すのは、全ての人々が知識を共有しあらゆる情報に自由にアクセスできる世界です。そのために情報の検索や知識の循環、それを促すファイルのコピーは神聖な行為として正当化されます。Windowsのコピー&ペーストコマンドのCtrl + CとCtrl + Vをモチーフにしたシンボルが彼らの信仰を端的に表しています。
 信者(Kopimist)達にとって、ファイルをコピーし、リミックスし、共有することは倫理的に正しい行為であるとされているわけです。更に詳しい信仰内容に興味のある方はkopimism伝道教会の信仰のページをご参照ください。また、憲法のページにはkopimism伝道教会の組織運営についても説明されています。個人的には、教義の中でインターネットが神聖なものとして尊重されていて、当局からの監視などを想定とした通信の秘密とうまく共存できそうな仕組みになっている点は興味深い部分です。ただ、今回はそのkopimism伝道教会の教義ではなく、こうした「知識の共有と循環を善とする宗教」を立ち上げた目的の部分について少し考えてみたいと思います。

■ なぜ宗教なのか
 スウェーデンという国は、BitTorrentにおける世界最大のトラッカーサイトThe Pirate Bayを生み出し、またインターネットファイル共有の合法化を目指した政党Pirate Party(スウェーデン海賊党)が設立されるなど、ファイル共有の歴史の中で非常に象徴的な立ち位置を占めています。特にスウェーデン海賊党の存在は、単に情報共有だけでなくユーザーのプライバシーを守るという発想においてもkopimism伝道教会の在りかたと非常にリンクしているように見えます。
 
 そのスウェーデン海賊党は、知識の自由な共有と情報の自由を理念として掲げて2006年に結成されました。著作権や特許法の改正など既存の知的財産権に対抗し、市民の権利を強化するという活動によりスウェーデン国内の7.13パーセントの票を獲得し、2009年の欧州議会選挙では1議席を獲得しました。このように民主主義的な手続きに則って、既存の法律を改正し、ハッカーの理念を達成しようとしているのがスウェーデン海賊党であるとする見方もできます。この試みは、手続きとしては非常にまっとうではありますが、市場経済のルールが優先される現代では、決して多数派にはならないでしょう。

 その意味でIsak Gersonによるkopimism伝道教会の設立は非常に興味深く、その是非はさておき個人的には3つの意義があると考えます。ひとつは民主主義的な手続きを踏みながらも、知的財産権と同じステージで争わないと宣言したこと。Kopimism伝道教会はスウェーデン海賊党とは異なる、法律と戦うのではなく回避する道を選択したわけです。ふたつめは国家から宗教としての認可を得たことで、国内の信者や宗教関係者が最低限の保護を受けられるような組織を生み出し、またその道筋を世界に示したこと。みっつめは知識の共有に対し「善」という、共同体の垣根を越えた普遍的な概念を定義し、その実現手段であるファイル共有を倫理的に肯定する教義をまとめ、広く布教活動を実施することを可能にしたことです。「ファイル共有を積極的に肯定する宗教」という響きはジョークのようですが、考えてみるとこれはなかなか現実的かつ興味深いアプローチであるとも思います。

■ スウェーデンの思惑
 ここまで、kopimism伝道教会やスウェーデン海賊党について、彼らファイル共有を是とする側の視点で書いてきました。しかし私が最も気にかかっているのは「なぜスウェーデンはkopimism伝道教会を宗教として認可したのか」という点です。
アイスランドのような特別な思惑があるのかもしれませんし、深い意図などないのかもしれません。私はいちヲッチャーとしてこれからもスウェーデンのファイル共有事情をヲチし続けようと考えています。また何か動きがありましたら、ブログで報告できればと思っています。


※1 正式に国家から宗教として認可されたことで「カルト」という表現は適切でないかもしれない。しかし動画を御覧いただければ一目瞭然だが雰囲気はまだまだ十分にカルトっぽい

※2 「正式に宗教として認められた」は意味的に強すぎるかもしれない。実際には国家に宗教として認識された、もしくは登録が認可されたという意味合いか

フォレンジックエンジニアから見たコンピュータ監視法案

 こんにちは、松本です。今回は「コンピュータ監視法案」や「ウイルス作成罪法案」などと呼ばれ、何かと話題に上ることの多い「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案要綱」(以下改正案)について、デジタル・フォレンジックの観点から注目しているポイントを簡単にご紹介したいと思います。ただし、私は法律の専門家ではありませんので、細かい議論の部分には踏み込まず、理解している範囲でのご紹介となりますので、その点よろしくお願いいたします。

-----

■はじめに
 改正案に関しては、最新のものではありませんが、2月28日現在では法務省のページで第163回国会(2005年特別会)に提出されたバージョンを確認できます(参考)。
 内容を見ていてピンとくる方もいるかと思いますが、改正案はデジタル・フォレンジックの証拠保全手続きに関わる内容を多く含んでいます。これは、従来の法制度ではコンピュータを利用した、いわゆるハイテク犯罪に対応できなくなってきたことと、国境をまたがって行われるサイバー犯罪に対応し、国際協力を実現するために、現行の仕組みを一度改めようという狙いがあるためです。
 法案の内容について確認する前に、まずはこの改正案が提出されるにいたった背景について、少しご説明します。

■改正案が提出された理由
 法務省のサイトで紹介されている、改正案が作成された理由を以下に引用します。

 近年における犯罪の国際化及び組織化並びに情報処理の高度化の状況にかんがみ、国際的な組織犯罪の防止に関する国際連合条約の締結に伴い、組織的な犯罪の共謀等の行為についての処罰規定、犯罪収益規制に関する規定等を整備するとともに、組織的に実行される悪質かつ執拗な強制執行妨害事犯等に適切に対処するため、強制執行を妨害する行為等についての処罰規定を整備し、並びに情報処理の高度化に伴う犯罪に適切に対処するため、及びサイバー犯罪に関する条約の締結に伴い、不正指令電磁的記録作成等の行為についての処罰規定、電磁的記録に係る記録媒体に関する証拠収集手続の規定その他所要の規定を整備する必要がある。これが、この法律案を提出する理由である。

スライド1 非常に長く分かりにくいところもあるので、要約して右図にまとめます。
 まずは①の「国際的な組織犯罪の防止に関する国際条約(国際組織犯罪防止条約)の締結」ですが、これは2000年11月15日に国際連合の総会で採択された、国際組織犯罪防止条約の締結に伴った改正となります。具体的には、組織的な犯罪の共謀(いわゆる共謀罪)についての処罰の明確化や、公務員による腐敗行為に対する規制、そしてマネーロンダリングに代表される犯罪収益の洗浄などに対応するための法整備です。
 ちなみに「共謀罪」は、共謀の定義があいまいである点や、実体がない共謀を立証するための捜査手法などが議論となり、多くの識者の方から反対の声が上がりました。この改正案が何度も廃案となる原因となった内容ですので、興味のある方はチェックしてみてください。なお、メディアの報道によれば2011年度に提出される法案では、共謀罪が切り離される予定とのことです。
 次に②の「組織的に実行される悪質な強制執行妨害事犯等に適切に対処」ですが、これは組織的に実行される、悪質かつ執拗な強制執行妨害事犯等に適切に対処するため、強制執行を妨害する行為等についての処罰規定となります。具体的には、封印等破棄罪に関して封印等が取り除かれた後に行われる妨害行為に関しても処罰の対象とするなど、現行刑法96条の拡充や、罰則の強化・加重処罰規定の新設などが挙げられます。
 そして、最後は今回の本題ともいえる③の「サイバー犯罪条約の締結」に伴った法整備です。これはフォレンジックの観点から特に重要であるため、詳しく内容を確認していきます。

■サイバー犯罪条約とは
 サイバー犯罪条約は外務省のページで公開されています。この条約は2001年11月8日にストラスブールで採択され、2004年4月の国会での承認を経て同年7月1日より効力が発生しています。ただし、過去に提出された法案が共謀罪とセットであったために廃案になったのは先述したとおりです。
スライド2 サイバー犯罪条約が成立した経緯は外務省ページの説明書に記載されています。条約の成立経緯などに関してはこの資料で確認できますが、重要なのは説明書の「条約の締結により我が国が負うこととなる義務」の内容です。簡単に要約すると右図のように3つの内容に分類できます。
 このうち、①の実体法的規定の中には、「不正指令電磁的記録作成等(ウイルス作成罪)」法案などが含まれていますが、活発な議論の最中ですので本記事では取り扱いません。また、③の国際協力規定に関しても詳しくここでは取りあげませんが、サイバー犯罪条約がこの3つの規定によって成立していることは頭に入れて置いていただければと思います。現在はこの3つの観点がバラバラに議論されることが多く、冒頭に紹介したように「ウイルス作成罪法案」や「コンピュータ監視法案」などと一部の法案に注目された形で取り上げられがちですが、これらの観点は本来サイバー犯罪条約という一つの土俵の上の話ですので、それぞれの規定の関係性を確認しながら、慎重に議論すべき内容でもあるということです。

■サイバー犯罪条約の手続法的規定と改正案の内容
 サイバー犯罪条約を締結したことにより、我が国が負うことになる義務のうち、手続法的規定の内容に関係するものについて、法務省サイトで公開されているサイバー犯罪に関する条約の説明書によると、「自国の権限のある当局が、蔵置されたコンピュータ・データの迅速な保全、捜索及び押収並びに提出命令、通信記録のリアルタイム収集並びに通信内容の傍受を行うことが可能となるよう、必要な立法その他の措置をとること」と記載されています。
スライド3 その具体的な手段としてとられたのが刑事訴訟法の改正です。改正の概要は、「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案の概要」として法務省のサイトで公開されています。項目を並べると右図のようになります。
 まずは①の「電磁的記録に係る記録媒体の差押えの執行方法の整備」についてです。これは、電磁的記録に係る記録媒体の差押えに代えて、電磁的記録を他の記録媒体に複写して、差し押さえることを可能とすることを指します。たとえば、これまでは原本のハードディスクを差し押さえたのちに調査のための複製を取る、というような形で、あくまで原本の物理的な記録媒体のみが差し押さえの対象だったのですが、この改正により現場に存在する原本のハードディスクを差し押さえる代わりに、原本とは別のハードディスクにデータをコピーして、それを差し押さえ対象とみなしてもよくなったということです(もちろん従来の方式も認められます)。これはつまり裁判で取り扱う証拠の中で、データそのものが非常に重要な位置づけとなったといえます。
 次に②の「記録命令付差押え」についてですが、これは裁判所の許可(令状)のもと、電磁的記録の保管者等に命じて、必要な電磁的記録を他の記録媒体に記録させて差し押さえることを可能とするものです。①と連動する具体的な手続きの部分ともいえます。
スライド4 記録命令付差押えで注意すべき点は、差押えの執行方法が2パターンあるということです。まず、記録命令付差押許可状を発行して捜査機関が自ら別の記憶媒体にコピーを行い、コピーされた記憶媒体を差し押さえる方法です。もう一つは、記録命令付差押状を発行して被差押者(差押えを受ける相手)に命じてコピー作業を行わせ、コピーされた記憶媒体を捜査機関が差し押さえる方法です。
 次は③の「電気通信回線で接続している記録媒体からの複写」に関してですが、これも裁判所の許可を得た上での差押え対象のコンピュータとネットワークで接続しているファイルサーバーなどのデータをコピーして差し押さえることを可能とする、というものです。
 法案には、「差押状又は差押許可状に、差し押さえるべき電子計算機に電気通信回線で接続している記録媒体であって、その電磁的記録を複写すべきものの範囲を記載しなければならない」と明記されていますが、例えば「接続している」という定義をどうするのか、どこまでの範囲を想定しているのかなどは、まだ議論されているところです。また、海外のオンラインストレージサービスなどを対象とした場合の法的な対応はどうするのか、といった問題も指摘されています。
 最後に④の「通信履歴の電磁的記録の保全要請」に関してですが、これは捜査機関が、プロバイダ等の通信事業者に対し、業務上記録している通信履歴(通信内容は含まれない)のうち、電気通信の送信元、送信先、通信日時その他通信履歴の記録の中から特定のものに対して、最大90日間(※)消去しないよう求めることを可能とする、というものです。なお、この保全要請は捜査機関独自の判断によって行えます。また、保全の必要がなくなったと判断した場合には、捜査機関は保全要請の取り消しをする義務があります。
 
■最後に
 いわゆる、「コンピュータ監視法案」とは、具体的にはこれらの①~④の手続き及び、新設・拡充されたサイバー犯罪関連の刑法を合わせて指すことが多いようです。ネットでは今回の法改正によって、PCそのものだけでなくPCがつながっているネットワーク上のデータも含めて広く保全対象となる点、また、保全の要請が捜査機関の判断でできるようになることなどから、捜査機関がコンピュータに対する監視を合法的に強化していくのではないかと警戒し、抵抗感や拒否感を示す方も多く見受けられます。しかし、近年増加しつつあるサイバー犯罪に対応するためにも、そして私自身フォレンジックに関わる立場から、データそのものが証拠として扱われるための重要な手続きとして、法制度が変わっていくことは必要であると考えています。ただし、同時にウイルスの定義やオンラインストレージの問題、プライバシーに関する情報の取り扱いなど、確かに不明確な点も多く、まだまだ慎重な議論が必要であるとも感じています。
 また、フォレンジックとは別の議論として、日本以外に主要先進国でサイバー犯罪条約を批准した国はないではないか、という意見もあります。サイバー犯罪条約を批准した場合には、通信の秘密に抵触する事案が発生する可能性もあります。また状況によっては他の加盟国との関係の中で自国の主権が侵される状況も考えられるために、他の主要先進国は二の足を踏んでいるのだということです。
 このような複雑な事情もあり、様々な意見が飛び交っている今回の改正案ですが、我々にとって非常に重要な内容でもありますので、読者の皆様が少しでも関心を持っていただけるよう、また改正案を読み解く際の助けになればと願い、専門外ではありますが今回記事を書かせていただきました。

(※)指宿教授の資料では60日とありますが、法務省のページに記載されている法案は90日と記載されていましたのでそちらを採用しました。もしかするとコラムの内容は最新の内容と異なる可能性があります

参考資料
 警察官のための刑事訴訟法講義(補訂版) 津田 隆好 著
 衆議院院内集会(2011年2月15日) 「コンピュータ監視法を考える:手続法観点から」 指宿 信 成城大学教授による基調講演資料


----- 追記 (2011/07/06)
 平成23年6月17日に「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」が可決成立したため、以下に法務省のサイトで公開されている法案とQ&Aのリンクをご紹介します。

国会提出主要法案第177回国会(常会)
情報処理の高度化等に対処するための刑法等の一部を改正する法律案


いわゆるサイバー刑法に関するQ&A

ポルノ画像を検出する密告ツールの実力と死角

 こんにちは、フォレンジック・エバンジェリストの松本です。遅れましたが、明けましておめでとうございます。今回は少し視点を変えて、アンチフォレンジックの視点で、いかにファイルシステムに痕跡を残さずに不適切な画像を見れるか、に関して実験をしてみようと思います。今回はあまり技術的な内容ではありませんので、肩の力を抜いて読んでいただければと思います。

-----

■はじめに
 仕事柄、筆者は会社のPCで不適切なWebサイト、ありていに言えばポルノ画像や動画を検証することがある。さすがに正当な業務としてコンテンツをチェックしているので、会社で閲覧すること自体の抵抗感はそれほどないが、背中越しに時折感じる同僚(主に女性)の冷たく厳しい視線が、筆者としては非常に気になるところである。
 それはさておき、今回は「ハードディスクになるべく痕跡を残さずに不適切な画像を見る」ことについて考えてみたい。これは、フォレンジック調査に携わる上で避けて通れない「アンチフォレンジック」に関するテーマでもある。筆者のPCでポルノサイトを閲覧した後に、画像スキャンツールSnitch Plusを使ってハードディスクをスキャンし、ポルノ画像が検知されるかを確認する。
 
■ポルノ画像スキャンツールSnitch Plus
 フォレンジックのツールの中に、ハードディスクなどに溜め込んだポルノ画像をスキャンして、しかるべき相手に通報してくれるツールがある。今回試すSnitch Plusも名前が示すように、そういった「密告ツール」のひとつである。この類のツールは日本ではあまりお目にかかることはないが、児童ポルノの所持や公共の場でのポルノ利用に厳しい欧米などを中心に(ドラッグや犯罪の兆候などをチェックする機能なども追加された形で)販売されており、ユーザーにも広く認知されている。もちろんオンラインショップ経由で日本からでも購入できる。
 Snitchシリーズを販売しているHyperdyne Softwareの製品紹介ページによると、Snitch Plusは主に家庭のパワーユーザーを対象とした、ローカルPCのハードディスクをスキャンして上記のような疑わしいデータを検知するツールのようだ。サイトライセンスを利用し、ネットワーク越しに複数台のマシンをスキャンする場合や、監査用の詳細なレポートが必要な場合はSnitch Enterprise Auditorが必要である。今回は手持ちのノートPCをスキャンするだけなのでSnitch Plusの試供版を用いる。ちなみにこの試供版は30日限定での利用が可能だが、スキャンに関しては全機能が利用できる。
 ソフトウェアの設定項目や機能に関しては、以前勉強会用に作成した動画があるので、以下をご参照いただきたい(YouTube)。


 ちなみに今回利用するのは、SkinScan、Internet history search、Signature Analysisの3つの機能である。簡単にそれぞれの機能を紹介すると、SkinScanは画像から人物と背景を切り出し、イメージにおける肌系ピクセルの多さでポルノ画像かどうかを検知する仕組みだ。Internet history searchはその名のとおりインターネット履歴の調査で、ここでは主にWebサイトの閲覧中にキャッシュされた画像ファイルをチェックする。Signature Analysisはファイルの拡張子と中身のデータ形式が異なっているもの、つまり偽造の疑いのあるファイルをピックアップする機能だ。前回のタイムスタンプに関する記事でも紹介したように、ファイルにはシグネチャと呼ばれる、ファイルを識別するための情報が記録されている場合がある。Signature Analysisを実装しているツールでは、シグネチャ情報に紐づけられた拡張子の組み合わせのデータベースをもっており、実際のファイルとそのテーブルを比較することによって、拡張子の偽装などを検出するのだ。

■実際に試してみよう
 それでは、これら3つのSnitch Plusのチェックをかいくぐって、不適切な画像を閲覧してみようと思う。ただし今回は特殊なアンチフォレンジックツールは用いず、Windows環境で一般的に利用するツールやユーザーの操作によって、ちょっとした隠蔽を試みたい。
 まずはインターネット履歴とキャッシュが、ローカルのPCで保存されないように、ブラウザのプライベート・ブラウジング機能を用いて閲覧する。プライベート・ブラウジングとは、ユーザーがどのWebページを閲覧したかの記録を残さずに(閲覧履歴やcookie情報、キャッシュファイルをローカルPCに作成せずに)Webページの閲覧を可能にする機能である。今回はInternet Explorer8のInPrivateブラウズモードを用いて閲覧を行った。
 それでは実際に操作をしてみよう。まずはWebブラウザを利用してインターネット上から画像を保存する。用いたブラウザはInternet Explorer8である。画像を選択して右クリックし「名前を付けて保存」を選択した。ファイルは調査員を欺くため、「まじめな内容.doc」という名前を付けて保存した。
fo1 拡張子とアプリケーションの紐づけを無視して画像ファイルを閲覧するには、拡張子に関係なくデータ形式を自動判別してくれる画像ビューアが必要である。ここではWindows7に標準で搭載されているWindowsフォトビューアを使って閲覧してみよう。閲覧するファイルの上で右クリックし、メニューから「プログラムから開く」を選び、このファイルを閲覧するソフトウェアとしてWindowsフォトビューアを指定する。
 Windowsフォトビューアでは自動的にファイルの形式を判断し、jpeg画像としてファイルを閲覧できる。

■Snitch Plusでのスキャン
 それでは次にSnitch Plusを使って、画像を閲覧したPCをスキャンする。最初に説明したとおり、SkinScan、Internet history search、Signature Analysisの3つのスキャンを有効にしてドライブ全体をスキャンした。その結果が以下である。
fo2 まず、特定の拡張子を持つ画像ファイルに対して、SkinScanを実行した結果を確認してみよう。表示条件はユーザー名「KAIGAI」、疑わしさは「Low and above」である。図の通り一件も確認されていない。ローカルに保存された「真面目な内容.doc」が表示されていないことから、このSkinScanはあらかじめ設定された、特定の拡張子を持つファイルに対してのスキャンであることがわかる。
fo3 次にInternet history searchの結果を確認してみよう。
 表示条件は先ほどと同様に、ユーザー名「KAIGAI」、疑わしさは「Low and above」である。これも図の通り一件も確認されていない。InPrivate ブラウズモードを利用することによって、ローカルに問題となるWebサイトの履歴情報が保存されていないことが確認できる。
fo4 それでは最後にSignature Analysisの結果を確認しよう。表示する条件は同じだが、これまでと違い、1件の疑わしい画像が検出されている。
 検出されたのは問題の「真面目な内容.doc」である。レポートに記載されているFile Type情報や警告メッセージが示す通り、拡張子を偽造したjpeg画像として認識されている。そのうえで、25%という低い確率ではあるが、このファイルがポルノ画像である可能性を示している。単に拡張子を偽装するだけでは、Signature Analysis機能によって検知されてしまうことがわかる。
 ちなみにこのSignature Analysisの技術は、削除されたデータを復元する際にも活用される。ハードディスクの未使用領域に残されたデータに対して、Signatureによるスキャンを実行することにより、過去に利用され削除されたファイルやその痕跡を発見できるかもしれない。たとえファイルを削除したとしても、ハードディスクの状況によっては、過去に閲覧したポルノ画像が復元されてしまう可能性があるということだ。
 
■アンチフォレンジック
 それではSnitch Plusのような密告ツールで検出されないためには、どうすればいいだろう。シンプルに答えるならば、ローカルに問題のデータを保存しないことが最善の方法である。せっかくInPrivateブラウズモードで、ユーザーの履歴を残さず閲覧したとしても、画像を保存することによって、証拠を残してしまっては本末転倒である(※1)。証拠を残さない、つまり、ハードディスクに余計なデータを記録しないのがアンチフォレンジックの基本だ。もちろん、隠し領域にデータを保存したり、私物のUSBメモリにこっそり保存したり、暗号化されたzipにアーカイブしたりといった隠ぺい方法も考えられる。だが、これらのオペレーションはそれ自体が、ファイルシステムやレジストリに余計な疑わしい証拠を残してしまうことになるのだ。
fo5 ところで今回の場合のように、うっかりローカルに画像を保存してしまった場合に、その事実を隠ぺいした形でこっそり削除したい場合はどうすればいいだろう。比較的簡単な方法として、データの上書きがある。たとえば今回の場合、「真面目な内容.doc」という名前で保存しているのだから、ファイルを実際にタイトルに即した内容のドキュメントで上書きすればいい。削除フラグを立て、管理情報と実データが確保している領域を解放するだけの通常のファイル削除とは違い、確実にデータが書き換えられる上書きを行うことにより、削除されたファイルの復元が非常に困難になる。
 真面目な内容.docをwordで開き、どこからかコピーしたドキュメントを上書きして、doc形式で保存する。注意すべき点は、元のデータサイズ以上のデータで上書きすることだ。
fo6 この操作によって、jpegのデータは完全に上書きされるため、対象ファイルのタイムスタンプに矛盾を生じさせることはない。また特別なツールを用いないため、疑わしい履歴を残すことなく元のデータを削除することができる。このような場合、Snitch Plusでのスキャンはもちろん、プロの調査員による検証によっても、データの改ざんの痕跡を追跡することは非常に困難になるだろう(※2)。
 とはいえ、ローカルの隠ぺいではカバーできない証拠もある。たとえばネットワークに流れるパケットや、ルーターで保存される通信記録などの、適切に管理されたネットワーク上の証拠である。社内システムの管理者は、ローカルの情報はユーザーによって改ざん可能である、という前提に立って、ユーザーの手の届かない、ネットワークの情報も管理・収集しておく必要がある。
 不正調査での証拠は、不正が行われたPC上に存在するものだけではない。社内では入退室管理システムや監視カメラがあなたの日々の動向をチェックしているだろうし、通りすがりの同僚がキータイプやディスプレイをショルダーハックしているかもしれない。むしろローカルPCのデータは、アナログも含めた大量の証拠のうちのごく一部であると考えてよい。くれぐれも記事の真似をして会社でポルノ画像を閲覧しないようにしていただきたい。

※1 プライベーブラウジングは完全にプライバシーを秘匿するものではないというレポートもある
Ars Technica「Private browsing: it's not so private」

※2 Volume Shadows Copy機能によってボリュームを過去の状況まで復元し、改ざんを検証できる可能性はあるが、Volume Shadows Copyのスナップショットもローカルに存在するデータなので改ざんの可能性は残る
SANS Computer Forensic Investigations and Incident Response Blog「VISTA and Windows 7 Shadow Volume Forensics」

タイムラインの作成と調査

 こんにちは、フォレンジック・エバンジェリストの松本です。今回は、フォレンジックによって得られた結果から「タイムライン」を作成するに至る過程について解説致します。リムーバブルメディアに存在する画像ファイルのタイムスタンプが、PCにコピーされることによってどのように変化していくか、特にWindowsリンクファイルやサムネイル、前回の記事で名前だけ紹介した「Exif情報」などの解説を交えながら、追跡し、タイムラインを作成していきます。

-----

■はじめに
 筆者はフォレンジックの情報源のひとつとしてGCFA Mailing-listを購読している。このmlの面白いところは、どう考えても個別案件のログと思われるものを(マイナーなmlとはいえ)オープンな場に公開し議論することが黙認されている、その自由な空気感にあるように思う。とはいえ、たまにNDAはどうなっているのかと心配になるような内容が流れている場合もあるのだが…。
 今回ご紹介するのは、このmlで議論された、とあるスレッドを参考に作成したオリジナルのサンプル事例である。サンプル事案の背景は以下としよう。

 「会社の共用PC(WindowsXP SP3)で不適切な画像「himitsu.jpg」の所持が発見された。その画像は社員himitsu氏のアカウントのマイドキュメントに保存されていた。しかし、himitsu氏は関与を否定。PCは共用であり、自分を陥れるための陰謀であると説明した。PCのレジストリ情報から会社のUSBメモリ経由でデータがコピーされたと判明し、調査員であるあなたの手元には該当USBメモリと問題のPCがある。さて、これから何を調べるか…」

 この事例のアプローチ方法はいくつかあるのだが、今回は特にWindowsリンクファイルとサムネイルのタイムスタンプに注目して事例を追う。

■画像ファイルのタイムスタンプの比較
スライド1 それでは、USBメモリとPCに存在する該当ファイルhimitsu.jpgのタイムスタンプを見比よう(図1)。まずはUSBメモリ側から確認する。
 Eドライブ直下に「HIMITSU.JPG」が存在しており、ファイルのタイムスタンプは以下である。

最終更新日時2010/11/24 14:50:24
最終アクセス日時2010/11/24
作成日時2010/11/24 14:51:40

 次にPC側だが、ユーザ名himitsuつまりhimitsu氏のユーザアカウントのマイドキュメントに「himitsu.jpg」が存在している。該当ファイルのタイムスタンプは以下である。

最終更新日時2010/11/24 14:50:24
最終アクセス日時2010/11/24 15:03:49
作成日時2010/11/24 15:03:38
エントリ更新日時2010/11/24 15:03:43

 USBメモリの「HIMITSU.JPG」とPCの「himitsu.jpg」のハッシュ値は同一であったため、これら二つのファイルは論理的には全く同じものであることがわかった。
 これまでのタイムスタンプの情報から、まずEドライブはFAT形式でフォーマットされているように見える。最終アクセスが日付までしか記録されておらず、なおかつ$mftのエントリ更新が記録されていない点などを総合的に判断した結果だが、もちろん実際の調査ではVolume BootやFATテーブルを確認して正確に確定する必要がある。
 次に、事案の背景でも触れられていたように、「PCのレジストリ情報から会社のUSBメモリ経由でデータがコピーされた」という判断は、これらのタイムスタンプを見る限りでは正しそうである。PC側の作成日時がUSB側よりもより新しい点、最終更新日時が両ファイルで同じである点、ハッシュ値が同じである点などを判断した結果だ。ちなみに、両ファイルとも最終更新日時のほうが作成日よりも過去の時間が記録されているが、これは後から説明するので、今は頭の片隅にでも入れておく程度でよい。

■Exifメタ情報の確認
 それでは、次に問題のjpegファイルのExif(Exchangeable image file format)情報を確認しよう(図2)。ハッシュ値が同一であるためどちらのファイルを調べても問題はないが、ここでは、よりタイムスタンプの古いオリジナルファイルに近いと思われるUSBメモリ側の「HIMITSU.JPG」のプロパティをチェックする。細かい点ではあるが、レポートを書く際にはこのような点にも注意し、一貫した記述を心がけたほうが第三者への心象が良く、説明がスムーズになる。
スライド2 Exif情報を確認すると「写真の撮影日」という項目があり、そこには2010/11/24 14:37と記録されている。USBメモリの画像作成日よりもさらに古いことがわかる。つまり、タイムスタンプから確認する限り、このjpeg画像は携帯のデジタルカメラ(KDDI-SN W61S)で撮影された後にUSBメモリにコピーされ、さらにその後、PCにコピーされたものと推測できる。
 また、両ファイルとも最終更新日時のほうが作成日よりも過去の時間が記録されている点だが、元ファイルの撮影日時(つまりファイルの作成日)が2010/11/24 14:37であり、USBメモリとPCのファイルの作成日よりも過去である点から、コピーを繰り返すことによって、タイムスタンプが逆転してしまったと考えられる。このあたりの現象は、前回の記事でも紹介しているので参考にしていただければと思う(参考画像)。

スライド3 では、ここまでのタイムラインをまとめてみよう(図3)。
 作成日(撮影日)でシンプルにまとめると非常に分かりやすい。携帯デジカメからUSBメモリへのコピーの前にもしかすると更にワンクッションあった可能性も考えられるが、現状の証拠からは断定できない。また、ファイル名が「HIMITSU.JPG」となっているが、通常デジカメで撮影した画像は機械的に付けられる連番のファイル名であることが多い。したがって、どこかのタイミングでファイル名を変更した可能性もある。実際の調査では、このタイミングで携帯(のSDメモリカード)および、ファイル名の編集に用いた端末を探す作業も平行して行うことになるだろう。

■サムネイルの解析
スライド4 さて、次にPC側のThumbs.dbを確認する。図1でも確認したように、himitsu氏のマイドキュメントに画像とThumbs.dbが作成されている。Thumbs.dbはWindowsでサムネイル表示する場合に作成されるデータベースである。バイナリ表示で確認すると、jpegのファイルヘッダが確認できる(図4)。
スライド5 そこで、Thumbs.dbのjpegファイルヘッダからファイルフッタまでを切り出す。手順としてはjpeg画像のファイルヘッダである「\xFF\xD8\xFF\xE0」から、フッタ「\xFF\xD9」までをコピーし、jpgの拡張子を付け保存した(図5)。そのファイルを確認したところ「HIMITSU.JPG」のサムネイルであることが確認できた。
 そうすると、Thumbs.dbのタイムスタンプも重要になってくる。図1から再度確認すると、C:\Documents and Settings\himitsu\My Documents\Thumbs.dbのタイムスタンプは以下の状態であった。

最終更新日時2010/11/24 15:59:16
最終アクセス日時2010/11/24 15:59:16
作成日時2010/11/24 15:59:14
エントリ更新日時2010/11/24 15:59:16

 つまり、2010/11/24 15:59:14に作成され、2010/11/24 15:59:16にデータが更新されて以降、アクセスもエントリ情報も変更が無い、ということが分かる。

■Windowsリンクファイルの解析
スライド6 サムネイル表示されているということは、ユーザが実際にPC上で画像ファイルを開いた可能性を疑ってみる必要がある。WindowsOSではエクスプローラ上でファイルを開くと、ユーザディレクトリのRecentフォルダの中にWindowsショートカット(リンクファイル)が作成される。これは「最近使ったファイル」をすばやく表示させるためのユーザビリティ向上のために用いられているが、通常はあまりユーザに意識されることのないリンクファイルである。調査対象PCで「himitsu.jpg」のリンクファイルを検索したところ、matsumotoというユーザディレクトリの配下で発見された(図6)。
 C:\Documents and Settings\matsumoto\My Documents\Recent\himitsu.jpg.lnkファイルのタイムスタンプは以下の状態であった。

最終更新日時2010/11/24 15:59:04
最終アクセス日時2010/11/24 15:59:04
作成日時2010/11/24 14:51:40
エントリ更新日時2010/11/24 15:59:04

スライド7 Windowsリンクファイルはファイル自身にオリジナルファイルのパス情報やタイムスタンプを持っている。そこで、バイナリエディタで発見されたhimitsu.jpg.lnkを表示した結果が左図である(図7)。

 この結果から、たしかにユーザ名himitsuのマイドキュメント直下にリンクが張られていること、リンク元ファイルの作成日時は2010/11/24 15:03:38であり、これはリンク元ファイルC:\Documents and Settings\himitsu\My Documents\himitsu.jpgの作成日時と一致する。

■まとめ 
スライド8 最後に、これまでの情報をもとにタイムラインを作成、整理しよう(図8)。ここから何が分かるだろうか。箇条書きにまとめる。
  • 携帯電話で撮影された
  • 撮影後USBメモリに画像ファイルがコピーされた
  • USBメモリからPCに画像ファイルがコピーされた
  • ユーザmatsumotoが2010/11/24 15:59:04にファイルを開いている(recent内のリンクファイル)
  • himitsu氏のユーザアカウントでファイルを開いた痕跡は今のところ確認できない
  • ユーザmatsumotoがファイルを開いたその数秒後にhimitsu氏のユーザアカウントのマイドキュメントに画像ファイルのThmbs.dbが新規に作成されている(このパス上の画像サムネイル表示が初めてされた)
 つまり、少なくともhimitsu氏のアカウントでは画像は閲覧されておらず、このPCのユーザのうち唯一matsumotoのみがファイルの存在を認識しているといえる。ただし、この情報だけではあくまでユーザ名matsumotoによる作業の痕跡があったという事実だけであり、このユーザと紐づいている社員であるmatsumoto氏本人がログオンして作業を行ったかどうかに関しては、断定できない。

 今回のサンプル事案の調査では、タイムラインが矛盾無く繋がっているように見えるが、実はいくつか気になる点がある。実際のフォレンジック調査では各種システムファイル、ユーザのレジストリ情報やバックアップされた情報などからその疑問点を追求しつつ、タイムラインを補強していくことになる。また、忘れてはいけないのは、データやタイムスタンプは改ざんされる可能性があるという点だ。各ユーザによるデータの取り扱いに不自然な点はなかったか、などに関しても、調査員は調べる必要がある。

-----

 今回は、フォレンジック調査におけるタイムライン作成について解説させていただきましたが、いかがだったでしょうか。フォレンジック調査は、簡単に言えばデータの中に残るわずかな手がかりを元に、事実を推理していく探偵のような業務と言えます。これを機にフォレンジック技術に興味を持っていただけたら幸いです。

FD改ざん事件についての技術的考察

 皆さんこんにちは、フォレンジック・エバンジェリストの松本です。今回はFD改ざん事件についての技術的な解説記事を書かせていただこうと思います。

-----

■はじめに
 今回のFD改ざんの記事について、新聞各社の特集記事を興味深く読ませていただいている。弊社でもここしばらくはこの話題で持ちきりだったのだが、その議論の中で同僚から記事の内容をデジタル・フォレンジックに不慣れな方に向けて、解説してみてはどうかという意見をいただいた。
 ブログのネタもそろそろ尽きつつあったので(笑)、そのアイデアをありがたく頂戴し、フォレンジックの技術的な観点から事件について解説してみようと思う。今回は事件の焦点であり、皆さん興味を持っているであろうフロッピーディスクのタイムスタンプの改ざんと、改ざん痕跡の追跡についてである。
 10月1日現在で公開されている情報をまとめると、今回のタイムスタンプの改ざん事件では、専用のタイムスタンプ書き換えツールを用い、証拠ファイルの「作成日時」「更新日時」のタイムスタンプのうち、「更新日時」のタイムスタンプを「2004年6月1日1時20分06秒」から「2004年6月8日21時10分56秒」に改ざんした。ただし、ファイルには「2009年7月13日」に更新日時を書き換えた痕跡が残っていた、ということのようだ。
 ここで混乱するのが、「更新日時」と「ファイルに残っている痕跡としての更新日時」という、2種類の”更新日時”だろう。そこで、Windowsのフロッピーディスクで一般的に用いられているFATファイルシステムのタイムスタンプ情報と、(今回の事件で書き換えられたとされる)一太郎ファイルのメタ情報内のタイムスタンプについて、筆者の環境で検証してみようと思う。
 なお、残念ながら一太郎の環境を用意できなかったため、本記事で解析しているファイルはネットで無料テンプレートとして一般公開されているものを利用させていただいた。問題はないと思うが、念のためにファイル名や著作者などの情報は伏せた形で必要な部分のみ掲載する。

■改ざん前のタイムスタンプについて
図1 まずは改ざん前のタイムスタンプを確認してみよう。図1で示しているのは、今回の検証でタイムスタンプ改ざんする対象ファイルの、ファイルシステムのタイムスタンプだ。図1の右上に、Windowsエクスプローラーから確認できる、おなじみのファイルのプロパティ情報を表示している。
 図1の下側にある数字の羅列が、フロッピーディスクのFATファイルシステムの、FATディレクトリエントリ(以下ディレクトリエントリ)と呼ばれる情報をバイナリエディタで表示したものだ。ディレクトリエントリには、ファイルの名前やファイルサイズ、タイムスタンプ情報などが記録されている。見比べていただければ、Windowsのファイルプロパティのタイムスタンプ情報が、ディレクトリエントリのタイムスタンプと同じであることがわかる。データはリトルエンディアン(Little Endian)で記録されており、たとえば図1の作成日時は「3D 3D 69 AF」と読む。
 なお、ディレクトリエントリの作成日時がプロパティ情報と1秒異なっているが、これはディレクトリエントリにもう1バイト分、10ミリ秒を記録する領域があるためだ。今回は説明を単純化するために、ミリ秒は丸める形でファイルプロパティ情報と同じ4バイトのDOS形式でタイムスタンプを表記しているので、この点ご容赦いただきたい。

図2 図2は改ざん前のファイルのメタ情報を、同じくバイナリエディタで表示したものだ。
 ファイルのメタ情報とは、ファイルのデータ(内容)そのものではなく、データを管理するためのデータ(ファイルの属性情報など)のことである。よく知られているものに、HTMLファイルにおいてのheadタグ内に記述されるmetaタグや、撮影日時や機種名等が画像ファイルに記録されるデジカメのExif(Exchangeable image file format)がある。ちなみに今回検証する一太郎形式のメタ情報には、ファイルの作成者、更新者、コンテンツ記述方式、データの版番号、そしてファイルの作成日や更新日時といったタイムスタンプ情報などが記録されているのが確認できた(※1)。
 図2では一太郎ファイルのメタ情報のタイムスタンプとして、8バイトのWindowsタイムスタンプ形式の「作成日時」と「更新日時」を確認できる。ここで確認してほしいのは、図1のファイルシステムのタイムスタンプ情報とは異なる日時が記録されている点である。そもそもこのファイルシステムとメタ情報の更新日時は何のために保存されているのだろうか?

 まず整理したいのが、ファイルシステムの情報とメタ情報の違いである。ファイルシステムの情報はディレクトリエントリ、つまりファイルの外側のファイルシステムに記録されているのに対し、ファイルのメタ情報はファイルそのものに記録されている。
図3 つまり、ファイルのメタ情報はファイルの内容やその取り扱いについて管理するための情報であり、ファイルシステムの情報はメタ情報とファイルの内容をあわせた、ファイル全体を管理するための情報である、という違いである。
 次にそれぞれの更新日時にはどのような情報が保持されるだろうか。実はこれらは通常、同じ値のはずである。なぜならコンテンツやメタデータを変更した後で更新内容を確定するために、ユーザはツールのメニューから「ファイルを保存」するだろう。このタイミングを更新日時としてファイルシステムやファイルのメタ情報に記録することが多いからだ。
 しかし、今回の筆者の検証環境では2つの更新日時に大きな違いがある。なぜだろう。仮説に過ぎないが、タイムスタンプの違いは、たとえば図4のような作業の結果発生した可能性がある。
図4 少々複雑だが、ここではファイルシステムの情報とメタ情報という2つの情報が、管理する目的も記録が保存されている場所もそれぞれ異なっている点、そしてコピーなどの作業を行うことによって、それぞれのタイムスタンプに違いが生まれてくることを理解いただければ問題ないだろう。

 余談だが、図4の手順2において、タイムスタンプ書き換えツールを用いてファイルのタイムスタンプ情報を設定しているのに違和感を覚える方がいるかもしれないが、これは実はそれほど珍しいことではない。そもそもファイルのプロパティ情報を書き換えるツールは本来、改ざん目的で利用するものではなく、電子データの納品や一般公開時に、体裁を整えるためにタイムスタンプを統一したり、不必要な内部情報を削除するためのものである。
 本来、企業における情報セキュリティの観点では、ファイルのメタ情報などの「隠し情報」は、見苦しくないように整形し不必要なものは削除することが正しいとされてきた。しかしデジタル・フォレンジックの観点からは、ファイルのメタ情報は有力な証拠であり、今後はこれらの情報セキュリティの常識についても検証し、見直していく必要があるかもしれない。

■ファイルシステムのタイムスタンプを改ざんしてみよう
図5 それではタイムスタンプを書き換えるツールを用いて、このファイルの作成日時と更新日時を変更してみよう。ツールは「ファイルバイザー Ver6.4.7.1」を利用した。ツールを用いてファイルシステムの作成日時を「2010年9月29日 13時13分31秒」から「2009年9月9日 9時9分9秒」に、更新日時を「2009年3月14日 23時00分32秒」から「2010年10月10日 10時10分10秒」に変更した。
図6 ファイルシステムのタイムスタンプが変更されているかを確認するために、ファイルのプロパティ情報とディレクトリエントリのタイムスタンプを確認しよう。
 図1と図5(or図6)を見比べるとよく分かるが、作成日時と更新日時がそれぞれツールで設定された日時に変更されていることが確認できる。

 それでは次にファイルのメタ情報を確認してみよう。
図7 ごらんのように、ファイルシステムのタイムスタンプを改ざんしても、ファイルのメタ情報のタイムスタンプは書き換わっていないことが確認できる。実は論理ファイルサイズも、ハッシュ値を比べても改ざん前と後で変化はない。ツールで改ざんしたのはあくまでファイルシステムの、つまりファイルの外側の情報だけなのだ。

■FD改ざん事件を検証してみよう
 それでは、これまでの検証結果をもとに、今回のFD改ざん事件を検証してみよう。もう一度事件の報道から改ざんの流れについて整理する。

 ①専用のタイムスタンプ書き換えツールを用い、証拠ファイルの「更新日時」のタイムスタンプが「2004年6月1日1時20分06秒」から 「2004年6月8日21時10分56秒」に改ざんされていた
 ②ファイルには「2009年7月13日」に更新日時を書き換えた痕跡が残っていた

 ここで筆者がまず疑問に感じたのは、「報道にあるようにファイルシステムのタイムスタンプのみを専用ツールによって改ざんしたとすれば、ファイルのメタ情報に記録されている更新日時は変更されないのでは?」ということだった。
 しかし、後日の報道で書き換え前と書き換え後のファイルの詳細なプロパティ情報が公開された。これによるとファイルの論理サイズが16,896バイトから19,456に増加していることがわかる。つまり、ファイルのメタ情報の更新日時とされる2009年7月13日にはタイムスタンプの書き換えだけでなく、ファイルそのものにも何らかの変更があった可能性が考えられる。そのため、ファイルのメタ情報に記録が残り、書き換えの日時がより明確に特定されたのではないだろうか。
 フロッピーディスクなど記憶媒体単体の情報から、ファイルシステムのタイムスタンプ改ざんを見抜くことは、実は非常に困難である。該当ファイルのプロパティ情報を確認すると、Aドライブ直下に対象のファイルがあったと思われるが、これでは親フォルダの更新情報なども確認できないため、特定はさらに難しいだろう。故意か偶然かはさておき、2560バイトのファイル更新(※2)が、今回のファイルの改ざん日時特定の決め手となったのである。

(※1) 実際は手元の環境では更新者が「Last Saved By」、更新日時が「Last Revised Date」となっている。意味的には最終保存者や最終改訂日時のほうが適切かもしれないが、今回はファイルシステム情報との比較のために表現を統一している

(※2) 一太郎形式ファイルのメタデータの更新内容や、データ圧縮機能の有無、圧縮効率など不明確な点もあるので、必ずしも「2560バイト分のデータが書き加えられた」ということではない
記事検索
月別アーカイブ
QRコード
QRコード