多くのコメントを頂いていて参考になるものばかりである。

 nobonoboさんからは、昨日記事で当方が述べたかった趣旨を的確にまとめていただいた。 

＜ 技術者に「動作中の実行ファイルをリネームするのにどのような状況なら可能でどのような状況でできないのか」とか「親子関係のあるプロセスの親プロセスを停止した時の子プロセスの扱いについて」と聞いても知っている人はほとんどいない。インストーラやアップデータのようなものを作るのは細かいノウハウが必要です。＞

犯人がここまで面倒なことをしてドロッパを作成しているのは、インストールした人に気付かれないようにして犯行を隠すためである。

それなのに片山氏が犯人とすると、もっと容易に消せると思われる開発の痕跡がたっぷり残っている。

そうなると敢えて痕跡を残したのは別の真犯人か、ということになってきてしまうが、真犯人による遠隔操作も証明は相当難しそうである。

この期に及んでも分からないことが多いが、余り語られていない件で「もし片山氏が開発したなら、Fドライブ等の開発の痕跡は派遣先を去る時に消せなかったのか？」という点についてご見解のある方は是非コメントお寄せいただけると有り難い。

完全に消せると謳っているフリーソフトなどもあるのに何故消さなかったのか？

検察側はこの点をどう見ているのだろうか。

-------------------------------------

さて、本日の内容に入るが、今回のトロイ(iesys)がシステムになっているということは片山氏の見立てとともに紹介してきている。

それに対して、片山氏はシステム構築の経験はないということで、今後「片山氏が開発できたか？」という検証においてシステムの件は重要になってくると考えている。

例えば、昨日も紹介したように関証人は以下の内容の証言をしている。

＜　被告人が乙社の業務で作成したソースコード、業務経験、保有資格などから、プログラムに何をさせるか（要件）を検討する能力があり、iesys作成に必要な技術に関する基本的な知識を有していると判断できる。iesys等のプログラムに特徴的な部分の基本的知識と経験は有していると判断できる。＞

これを業務経験とプログラムの特徴でまとめると次のようになるだろう。

”iesys等のプログラムに特徴的な部分の業務経験があるから開発出来る能力があった”

しかし、システム性が大きな特徴になるは明らかだから、実際は以下のようになってくる。

”iesys等のプログラムに特徴的なシステムの構築経験は無いから開発できなかった”

関証人が説明したラック社鑑定は、「片山氏では出来ない」ということを証言していることになる。

この点に検察側及びラック社は気が付かないのだろうか？

ラック社論理で片山氏が開発できたと主張するなら、「今回のトロイにはシステム性は見られない」ということか、「片山氏にはシステム構築の業務経験がある」ということを証明する必要がある。

だが、別の専門家が以下のブログで調査結果を報告している。

"遠隔操作ウイルスの感染と痕跡調査" 2012年10月26日

この中にある図を見れば、システム性は明らかではないか。

しかもnobonoboさんの別のコメントにもあったように、下図で情報収集用サーバーに当たるレンタルサーバーも使用しているので、サーバー3箇所とPC2台が一つの遠隔操作内で連動して動くという複雑な構成になっている。(調査用のため、犯行予告を書き込む2ch掲示板等は構築されていない）

(元図は上記ブログ参照）

なお、情報収集用サーバーから攻撃者PCへのラインも構築していないようだったので当方で追加した。

情報収集用サーバーを使っているのにしたらば掲示板を使った理由も今後検討が必要と感じている。

（したらば掲示板だけでは画面キャプチャの画像情報やファイルのアップロード等は出来ないので別にサーバーが必要になるが、そのサーバーにしたらば掲示板の役割も兼ねさせれば別々にする必要はないような気もする）

以上