kensyou_jikenboのブログ

yahoo!ブログの同名ブログを移行しました

「派遣先PCに仮想ドライブの痕跡」の記事

日記 #練習用
7月14日に以下の記事が読売新聞に出た。
---------------------------------------------------------------------------------
 パソコン遠隔操作事件で、威力業務妨害罪などで起訴された被告(元IT関連会社社員)の派遣先のパソコンに、 「仮想ドライブ」の痕跡が残っていたことがわかった。 
 遠隔操作されたパソコンなどに残されたウイルスから、暗号化された仮想ドライブで保管されたことを示す情報が検出されており、 検察側は被告が外部から見えないようにしてウイルスを保管、使用したとみている。 
 捜査関係者の話や弁護側の説明によると、遠隔操作されたパソコンと、このパソコンが接続した米国のサーバー内に残っていた15種類の遠隔操作型ウイルス「iesys(アイシス).exe」のうち13種類から、被告の派遣先のパソコン内にあった仮想ドライブで保管されていたことを示す情報が検出された。
 押収されたこのパソコンに仮想ドライブはなかったが、仮想ドライブが設定され、後に消去されたことを示す跡は残っていた。 
また、別のドライブのフォルダー内からは、試作途中とみられるウイルスも見つかったという。
 検察側は、被告が仕事場の同僚ら外部から見つからないよう問題のウイルスを保管、 使用していたことを示す重要な証拠になると位置づけている。 
読売新聞 7月14日(日)11時10分配信 
---------------------------------------------------------------------------------

7月14日というと、7月10日に検察側から「証明予定事実記載書第三部」が提出されて、それを受けて当日弁護団が記者会見してから2日後である。
本来この内容を踏まえて記事にしたものと思われるが、弁護団の記者会見では「仮想ドライブ」の話は一切出ていない。
しかも、仮想ドライブに関する記事はこの読売の記事以外には無いようで、不思議な記事となっている。

この記事は大きく分けて2つの内容がある。
①ウイルスから、暗号化された仮想ドライブで保管されたことを示す情報が検出された
 →7月10日記者会見佐藤「全15種類のうち13種類は派遣先のフォルダにソースコードファイルが保存された状態でコンパイルにより生成されたことと書いてある」という説明と符合するものと思われる。
その場合、「派遣先のフォルダ」が「仮想ドライブ」であったということになる。

②別のドライブから試作途中のウィルスが見つかった
 →7月10日記者会見佐藤「iesys.exeフリーソフトに見せかけるために名前を変えたりしてるのも15種類の中に入っている。その中にはtest.datというファイル名に改名されたiesys.exeバージョン2というのがあるらしい。それが被疑者のPCのC:\testフォルダの中に保存されていたことと書いて有る」という説明と符合すると思われる。
  この場合、「別のドライブ」は「Cドライブ」となり、「試作途中のウィルス」が「test.datというファイル名に改名されたiesys.exeバージョン2」になるだろう。
 「test」と云う名前のフォルダ名やファイル名だから、「テスト = 試作途中」という解釈を検察はしているものと考えられる。

①、②とも記者会見での弁護団説明に一応合致すると言えそうだが、記者会見では「仮想ドライブ」の話が一切出ていないことが引っかかる。

読売記事中に「捜査関係者の話や弁護側の説明」となっていて、弁護団から仮想ドライブの話は出なかったから、捜査関係者から聴きだしたのか。
読売だけの記事なので、読売のスクープなのか。しかし、関係者がそんなに読売だけ優遇するのだろうか。実際に何らかの手法で聴きだしたのかも知れないが、どうも胡散臭い記事である。

なお、昨年以下の記事もあった。
 2012年10月20日時事通信
 また、同じくウイルスの解析を行った「シマンテック」(港区)の浜田譲治主任研究員によると、 作成者はウイルス関連のファイルを外付けの記憶媒体に保存していた痕跡があることが判明。
 パソコン本体に証拠が残らないようにするためと考えられ、 浜田主任研究員は「突然警察の家宅捜索を受けたとしても、USBメモリーなど保存した記憶媒体を破壊すれば証拠を隠滅できる」と分析している。

USBメモリに保存されていた形跡があったいうことだが、それが仮想ドライブで使用されていたのだろうか。
しかし、仮想ドライブにはいろいろな方式があって、暗号化されているということで絞れるのかも知れないが、読売記事中の「仮想ドライブが設定され、後に消去されたことを示す跡」がどのようなものか、今は不明である。

なお、PCにUSBメモリを挿すとレジストリに情報が残るという話があるが、実際に残るようである。以下のサイトの説明が詳しい。
 Windowsはインストールされたデバイスドライバの情報を日付や時刻とともにログファイルに記録します。
 USBデバイスを使用した際に利用されるレジストリを把握・調査することにより、(1)USBメモリの初回使用日時、(2)USBメモリの最終使用日時、(3)USBメモリの最終使用者 のような使用履歴がある程度追跡できる。

当方でもやってみたら、レシストリにUSBメモリのシリアル番号と思しきものが入っていることは確認できた。(ログファイル生成は未確認)
USBメモリのシリアル番号は基本的にメーカーによらず全部違うので、派遣先PCのUSBメモリの使用ログが残っていれば、雲取山のUSBのシリアル番号を調べて合致するか判定できるはずである。
合致が証拠開示で出せてたら検察は決め手とするだろうし、弁護団も言及するだろうが、記者会見では話が無かったので合致したという証拠は得られなかったと推察される。
(派遣先のPCで開発しても一度別のPCに移してからUSBメモリにコピーすれば元のPCにはログは残らない。別のPCが10月からの派遣先のPCや自宅PCなら残ることになるが、警察は当然そこまで調べて合致を見つけられなかったものと思われる)
また、上記の浜田氏はexeファイルから得た情報だけで、USBメモリをコピーするのに使ったPCの情報は持っていないのに、何故外付けの記憶媒体に保存していたと言えるのだろうか。内部のHDDでもパーティションを切ってドライブを増やすことは可能だが、そのことは考慮に入れずに例えばEドライブに保存されていた痕跡があったから、外部記憶媒体と判断したのだろうか。この点は不明であるが、古い記事であってもUSBメモリ使用の痕跡が残るという点は正しいようである。

また、別の痕跡の出来方として、exeファイルにソースコードが入っているProjectファイルの保存先フォルダのパスが埋め込まれているという情報がネット上であった。これも検証してみて明日記したいと思う。

以上