【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調

3月5日に開かれた片山祐輔氏の第2回公判では、検察側が請求し、弁護側が同意した証拠の要旨告知の後、警視庁捜査支援分析センターでパソコンの解析を担当している生駒順一警部が最初の検察側証人として出廷した。

最初の証人は、警察内でのPC解析の専門家

捜査支援分析センターは、2009年4月に発足した、犯罪捜査に必要な情報の分析を行う部署。パソコンの解析や防犯ビデオを鮮明に画像解析したり、過去の犯罪データを使った類似犯罪の手口分析や犯人像を導き出すプロファイリングなどを行う。

生駒警部はかつては民間企業でソフトウエア開発を行い、2001年に警視庁に採用された、という。警視庁では、通常の警察官の他に、専門的な知識や技術を必要とする犯罪捜査に携わる特別捜査官を採用している。その経験に応じて、任官時の階級は財務捜査官(会計士や税理士の経験者)は警部補以上、コンピュータ犯罪捜査官(IT技術者などの経験者)は巡査部長以上。生駒氏は、民間での経験が14年というから、警部補からのスタートになったと思われる。警視庁でも10年ほどの経験がある、とのこと。

初歩からプレゼン

この裁判では、弁護側にもITの専門家が特別弁護人となっている。しかし、裁判所にはITに関する専門家はいないため、検察、弁護側共に、どうしたら素人にわかりやすく自説をプレゼンテーションできるか、に腐心することになる。

そうしたプレゼンテーションに関しては、検察側には裁判員裁判での蓄積がある。この日の生駒証人の証言でも、パワーポイントを駆使。パソコンの基礎講座のようなことから始め、専門用語には注釈を加えた。

たとえば、証言の冒頭は次のようなものだった。

最小の情報単位はビット(bit)。8ビット=1バイト(byte)という説明の後、

「512バイトを1つの単位(セクター)として扱い、ウィンドウズでは、8セクターを1クラスタと呼んで、データ処理の管理単位としています」

と解説。

その後、生駒警部は「ファイルスラック領域」について、図を遣いながら説明した。この点を、検察側は重視しているらしい。

「データAにデータBを上書きした場合、最後のクラスタで、Aのデータが8セクターあってBは5セクターしかない場合、3セクター分、Aデータが残る。その部分を、ファイルスラック領域と呼びます」

主尋問での主な証言

江川のメモによる、その後の生駒証人の検察側主尋問での証言内容はおおむね以下の通り。

解析の手順は、押収したPCからハードディスク(HD)を取り出し、そっくりそのまま解析用HDに複写。書き込み防止装置で改変しないようにして、解析用HDを解析する。解析は、EnCaseという解析用ソフトウェアを使って、HD全体にキーワード検索を行う手法で行った。

通常、ウィンドウズの検索では、現存しているファイルしか発見できないが、このソフトウェアを使えば、ファイルスラック領域についても可能。

被告人が勤務していた乙社で使っていたPCはヒューレット・パッカード社製で、OSはウィンドウズ7。CPUはインテルCorei3 530。ドライブは、ハードディスクの中に3つの領域があり、さらに光学ドライブとしてEドライブがあった。解析の結果、それとは別に実際のドライブではなく、ソフトウェアTrueCryptが作り上げた仮想ドライブFがあることが分かった。

問題の遠隔操作プログラムiesys(アイシス)には、開発場所を示すFドライブの\vproj\を含むファイルパス、著作権に関する情報として、ヒューレッド・パッカート社製のPCで作られた、Copyright(c)Hewlett-Packard Company 2012という情報があった。開発ツールに関しては、マイクロソフト社製のVisual Studio2010という情報があった。

被告人が乙社で使用していたPCでは、マイクロソフトのVisual C# 2010 Expressが2011年11月15日~2012年9月18日の間に4回にわたり、インストールと削除が繰り返し行われていた。さらに平成24年8月7日の午前11時6分49秒ころに、このVisual C# 2010 Expressを実行中であったため、シャットダウン処理が遅れた記録も検出された。

また、iesys.exe内に含まれるファイルパスの一部である\vproj\をキーワードとして検索すると、

F:\vproj\…………………………iesys.exe

F:\vproj\…………………………iesys.pdb

など、犯行用プログラムと、開発場所に関連するファイルパスを示すプログラムデータベース(pdb)の痕跡など、134件のF:\vproj\に関する痕跡が検出された。ファイルパスとは、そのファイルがあるドライブのどこにあるのかを示す位置情報のことである。

F:\vproj\…………………………cofee.exe

F:\vproj\…………………………cofee.vshost.exe

cofee.exeは、iesys.exeをインストールするための偽装プログラム。実際に使う時には、ファイル名をcofee.exeからtimer.exeなどに変えていた。

これら痕跡のほとんどは、ファイルスラック領域から発見されている。

このことから乙社PCで、TrueCryptで暗号化された中で、一連の犯行供用プログラムが開発されたと推認される。

プログラムは、ソースコードファイルという設計図の作成、それをPCが理解できる形にコンパイルして作るが、通常1回で完成することはない。実行して不具合を確認し、修正する作業を重ねる。これをデバッグという。

デバッグを効率的に行うための

iesys.vshost.exe

iesys.pdb

の痕跡が、主にファイルスラック領域から発見された。これが発見されると、プログラムはそのPCで開発したと推認される。

Grep Replaceの検索履歴を保存するファイルにも、検索対象のフォルダパスが残されていた。F:\vproj\egserviceフォルダ内のファイルに検索・置換を行った形跡があり、iesys.exeの命令の1つである「wbcap」の文字列を検索し、特定の文字列をiesys.exeのソースコードに含まれている文字列「UTF-8」に置換した。

また、サクラエディターを使用して、

F:\vsproj\egservice\upld\upld.php

を編集した痕跡がある。upld.phpによってiesysがキャプチャーした画像をサーバーにアップロードするが、そのアップロード先のファイル名と一致した。

ジャンプリスト(最近使ったもの)の解析から、Fドライブ内のGoogle Chrome Portableを使用して、被告人使用のgmail受信メールや被告人が通っていた居合道場のサイトを閲覧した履歴が認められる。

Fドライブは、犯行供用プログラムの作成場所と推認できるが、そのFドライブがポータブルドライブを起動する場所として使われていた。従って、このFドライブを、被告人が使っていたと言えると思う。

乙社の被告人専用PCのC:\testフォルダに、test.datファイルがあった。test.datファイルは、iesysと基本的動作が同じである。test.datが指令のやりとりに使用するしたらば掲示板はauto/6682で、管理者メールアドレスに被告人のgmailアドレスが使われていること、2012年10月7日に被告人の自宅OCN回線で閉鎖されていること、乙社で16回、被告人自宅で4回管理者ログインが行われていることから、その管理者は被告人と思われる。同掲示板には、145回スレッド作成が行われていた。犯行に使われたiesysで使用した掲示板はmusic/27190他であった。

test.datはiesys開発のテストに使われたと思う。auto/6682はiesys.exeの動作確認に使用されていたと考えられる。

被告人の自宅からはUSBメモリなど8点が押収されている。シマンテック社製のソフトでウイルスチェックを行ったが、ウイルスは発見されていない。コピーしただけで自動的に動くプログラムや感染を広げる機能はない。USBメモリをパソコンに差したら自動的にiesysが動くこともない。

「検察の主張はよくわからない」と被告人

この生駒証言について、片山氏本人は、保釈後の記者会見で次のように述べた。

保釈後の記者会見で語る片山氏
保釈後の記者会見で語る片山氏

「そもそも『ファイルスラック』という言葉自体、今日知ったのですが、原理を聞いた限り、上書きされて残ったスペースなわけなので、遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです」

また、乙社PCにFドライブがあったことについては、「心当たりが無いわけではない」とし、次のように語った。

「自前で持ち込んでいたポータブル・アプリケーションを起動するのに、TrueCryptボリュームを使ったり、サブストコマンドを実行したりして、仮想ドライブという形で使うことはしていたんです。その際にFドライブというのに心当たりがないわけではないんです。ただ、\vprojフォルダなどは隠しフォルダになっていたので、自分では見えなかった」

また、したらば掲示板のauto/6682について、片山氏は自身で行った冒頭陳述の中で次のように説明している。

〈アカウントの作成そのものは私が行ったものだと思います。「6682」という数字はしたらばのシステムで自動連番で生成されるもので意味は持たず、いちいち覚えていないし、それだけ見て自分のアカウントかどうかは分かりません。「auto」というのは、したらばの「自動車・バイク」カテゴリに付くもので、検察の主張上、私のgmail のアドレスで開設されたと言っていることから、それが正しいなら、私がバイク仲間との連絡用に開設した掲示板です。掲示板のタイトルは「ツーリング計画」のような文言だったと思います。設置だけはしたものの実際に使うことはなく、ずっと放置していた掲示板でした。私のPC に入っていた管理者パスワードメモファイルを真犯人に見られ、乗っ取られていたのだと思います。〉

生駒証言に対する弁護側反対尋問は、後日行われる。