この広告は、90日以上更新していないブログに表示しています。

2013-09-12

「被疑者PCが覗かれていた」説に関して

日記 #練習用

本日は、「被疑者のPCが覗かれていた」という説に関しての当方見解を記す。

その前に、繰り返しになるが、9日記者会見で出た「２ちゃんねる事件」（千葉稲毛）。

皆さんご認識いただいていると思うが、この件の事実関係は基本的に以下のようになっている。

　１．犯行声明で犯人が関与したことを認めている8月9日午前の「366」＆「372」の犯行予告は遠隔操作によるもの

　２．犯行声明には書かれていない8月9日午後の犯行予告があり、それが千葉稲毛から書き込まれた「367」である

　３．午前の「366」＆「372」と午後の「367」の予告文の内容に似通った点が多くある。

　　　特に「372」と、「367」の最初の一つは書き出しがそっくりである。

もし、午前と午後の犯行予告が同一犯人なら、被疑者は同日午前9時～午後8時まで南青山にいて千葉稲毛の件はアリバイがある。

（遠隔操作はまだどこから行われたか検察側が明確に特定していないので、アリバイ立証の話に至っていない）

検察側は被疑者が遠隔操作の犯人であると主張しているから、千葉稲毛の件は別犯人で無ければ主張が成り立たない。

千葉稲毛の件は警察が捜査済みなので、弁護団からの新たな証拠開示請求の中にその捜査結果も入った。

今後捜査結果が開示された上で、「検察側は別犯人と主張するのか？その根拠は？」と弁護側が問うことになると思われる。

以上再度まとめを記させて頂いた。当方としても疑問に思っていたことが、弁護側の証拠開示請求で明らかになる可能性が出てきて、非常にありがたい事態になったと歓迎している。

--------------------------------------------------------------------------------

次に、本題の「被疑者のPCが覗かれていた」という説に関してであるが、説明の仕方をどうしようか思案して、ごくシンプルな以下の表にしてみた。

関係するPC＆スマホが少なくとも①～⑤の5種類あって、本件犯行で被疑者を犯人に仕立て上げるために必要な情報や操作がそれぞれに分かれている。

「被疑者PCが覗かれていた」、更には「遠隔操作されていた」という説を成り立たせるためには、「犯人は５種類とも乗っ取ったことにするのだろうか？」というのが当方の最大の疑問である。

どれか一つ乗っとるだけでも大変なことなのに5種類は到底有り得ないということで、「覗かれていた、遠隔操作されていた」と云う説は無理というのが当方見解になる。

表を見ていただいて、異論・反論は歓迎である。その内容に対して又考察してみようと思う。

　　*1　被疑者自宅には複数台PC保有し、どういう使い分けだったか詳細不明の為、今回は1台で考えた

　　*2　Win8発売後すぐ変更したと云われているので同じ自宅PCでもOSで期間を分けた。Win8の一般発売は10月末

　　*3   「遠隔操作の遠隔操作」の困難さは以前検証したが、9日記者会見でドロップボックスの話は出たのでそれのみ入れた

　　*4　スマホを覗ければPC覗かなくても必要情報取れるとも云える（スマホ乗っ取りは一番困難と考えられるが）

--------------------------------------------------------------------------------

続いて、派遣先の同僚のPCからもiesys.exeが発見されたという件に関しての現状での見解も記す。

当ブログで以前ウィルス（トロイ）作成経過に関する考察を書いた。

その抜粋を以下に添付するが、抜粋の前半部分を見て頂くと、「今回のトロイの動作試験は2台のPCでやる方がやりやすい」という考察を既に行なっていた。

今回「同僚のPCからiesys.exeが発見された」という件をこれに当てはめてみると、「2台目のPCとして同僚のPCを使用したのではないか」ということで一応成り立ってしまう。

ただ、以下の考察は「派遣先でトロイ開発など本当に出来たのか？」という当方疑問も入っていた。

更に度胸よくて「同僚のPCまで使って派遣先で犯罪用ソフトを開発してたのか？」という点に関しては、本人の性格や勤務状況などがもっと分かってこないと何とも言えないというのが今の率直な感想である。

”ウィルス作成経過考察2  2013/7/23(火) ”

・・・

今回のトロイ開発について、余り話題になっていない点がある。

それは、遠隔操作の動作試験やデバッグ（バグ取り）作業用の環境をどうしていたかという問題である。

遠隔操作であるから、犯人用と被害者用の２台のPCでの構成になる。

動作試験やデバッグも本来２台でやる方がやりやすいと考えられる。

例えば、今回のトロイは画面キャプチャやキーロガーの機能もある。

2台使えば片方のPCのキーログや画面キャプチャをもう１台のPCで取得確認できる。

普通に考えたら、2台のPCで動作確認した方が実際の動作に近くなり確認しやすい。

ただ、派遣先で業務とは関係ないソフトの開発に2台も使うのはバレやすくしているようなものである。

それで１台で開発する場合は、仮想環境ソフト（VMwareなど）というものを導入して、１台のPC内にもう１台のPCを仮想的に構築するような方法が考えられる。

VMwareなどは無料でも使えて、今は動作も安定しているので充分使えるソフトである。

しかし、起動時などにはVMwareの画面が出てきてしまうことになるので、周りから見られて気づかれる危険を持った要素が増える。

更に、デバッグ時はエラーメッセージがよく出るが、その形式や内容もVS（Visual Studio）とEclipsでは違う。

このように試験やデバッグ環境まで考えると、どうやってトロイ開発に気が付かれないようにできたのか不思議である。

また試験やデバッグする際に、「したらば掲示板」へのアクセスはどうしていたかも殆ど議論になっていないと思われる。

今回の遠隔操作では「したらば掲示板」が必須であるから、試験する際にも必ず「したらば掲示板」か、それに相当するものがないと出来ない。

実際の「したらば掲示板」を使用したとすると、試験時にも頻繁にアクセスが発生する。それが本当にアクセスログなどに残っていないのか。

或いは「したらば掲示板」に相当する擬似サーバーソフトのようなものまで被疑者が開発していたとすると、それはどんな方法だったのか、検察はある程度立証を行う必要があるだろう。

本当にできるのだろうか。

--------------------------------------------------------------------------------

以上