rec*lde**des*さんからも以下のコメントを頂いた。

＜ iesysは動作中の実行ファイルをリネームしないのではないでしょうか？ ＞

ドロッパのリネームは動作中ではないように当方も思う。

ただ、iesysが自分自身のアップデート機能を持っていて、アップデートする時にファイル名のバージョン番号も変更している可能性があり、リネームに当たるかもしれないと思った。（アップデートは動作中のiesysが行うことになると思われる）

それに対して、中津留氏の図を引用したのは、アップデートの前の”インストールする際の挙動のややこしさ”の説明が主旨だったので、その関連でnobonoboさんコメントの「技術者の中でも・・・知っている人はほとんどいない」と云う記述が示す”技術者でも今や殆どの人が知っているという技術ではない”と云う点に、より共感した。

参考資料として、rec*lde**des*さんのコメントにある以下のまとめサイトは更に詳しく感染時の挙動のイメージを図示しておられる。（その他記述も含め、このサイトは非常によくまとめられていて見る度に作者の能力に感心している）

（元図はまとめサイト参照）

加えて、図の内容に関するrec*lde**des*さんの以下のまとめを読んでいただくと、皆さんにも挙動のややこしさがよく伝わってくると思う。

＜ すなわち、偽装Chikan.exeは、実行されるとiesys.exe、cfg.dat、del.batを吐き出した後、まずiesys.exeを実行し感染させ、del.batを実行して終了する。

del.batは、動作を終了している偽装Chikan.exeを削除し、dataファイルを正規のChikan.exeにリネームし、正規のChikan.exeを起動し、最後に自分（del.bat）を消去する。 ＞

そして上記ブログにrec*lde**des*さんも着目しておられる以下の記述がある。

＜ 削除バッチの中身も報告されており、処理の流れはドロッパーの削除やリネーム等至極簡単ではありますが、ユーザーからはドロッパーを実行しても、最終的に正規のソフトが起動するため、感染した事実に気づくことなく遠隔操作の支配下に置くというものです。＞

「至極簡単」というのは、一連の動作をさせる「バッチファイル」の内容のことを指していると思われる。

これはWindows PCを使っているとまれに出てくることがある「コマンドプロンプト」の画面に関係している。

MS-DOSのころから引き継いでいる技術であり、古い技術であるが今も生きていている。

それで本日の表題になるのだが、自動車では皆さんご存知のようにオートマとマニュアルが有る。

当然オートマの方が簡単だが、中にはマニュアルのほうが簡単という人もいる。

「クラッチを切ってギヤを入れクラッチをつなぐ。直感的で分かりやすいだろ。オートマなんて機械が何やってるか分からない」

余りうまい例えではないが、コマンドプロンプトやバッチファイルは古い技術だけに基本は簡単だから、知ってる人には「至極簡単」で済んでしまう。

しかし、現在のPCの便利なグラフィカルインターフェースに慣れきっていると、オートマしか運転したことがない人が「マニュアルは難しい」と言うように、コマンドプロンプトやバッチファイルなんていう面倒なことは知らないし、やりたくないという技術者が増えてもおかしくはない。

つまり、技術者によっても「至極簡単」か、「難しい、面倒だ」と言うように見解が分かれてきてしまうだろう。

そして、今回の犯人は分かっているだけでも以下の様な技術を駆使できる人物ということになる。

　　(1)バッチファイル

　　(2)PHP

　　(3)C#

　　(4)システム的考え方

それに対して片山氏の主張は次のようになる。

「サーバー側ソフトをJavaで書くのが業務で、PHPは全く知らない。C#は研修受けてちょっとしたサンプルプログラムを改変したことがある程度。システム構築はやったことはない」

全くと言って良いほど技術者としてのプロファイルが合わないのではないだろうか。

それで前述の「バッチファイル」はどうかということになるが、片山氏も技術者としてどこかの機会で知っていて作ったことがある可能性も考えられる。

ただ、そうであれば過去の派遣先なども含めて作成したソフトやその他書類や証言などを徹底的に調べれば、バッチファイルを使いこなせるかどうかなども分かるのではないか。

当方が強調したいのはこの点なのである。

検察側が調査を充分にやっていて、片山氏がiesysを開発した証拠を開発痕跡以外にも多数挙げていくなら、今度はそれを検証する段階になるはずなのに殆ど出て来ていないのが大きな問題と捉えている。

ただし、これから職場状況の証言や証拠が具体的に出てくるという段階かもしれないので、以下の様な点に注目していきたいと思う。

　　(ⅰ)すぐ横に同僚がいて後ろも通る状況で隠れて開発できたか？　　　

　　(ⅱ)本来業務を殆どやってなかったという証拠や証言はどのようなものがあるのか？

　　(ⅲ）「それなりの成果物」の内容はどのようなものか？

　　(ⅳ）北海道旅行の前には遅延がバレて応援者が入ったとのことで、その状態で以降のバージョンアップや遠隔操作が出来たのか？

なお、前述の「技術者としてのプロファイリング」にも注目していて、(1)～(4)のような技術を使いこなして短期間で作成できる技術者が、(ⅳ）のように遅延がバレて問題になるような状態を引き起こすか？と云うのが当方の大きな疑問点である。

手間がかかるトロイを開発して遠隔操作で得られる愉快さより、業務に集中して当面の窮地から脱する方に注力するのが人間としての必然の行動ではないかと思う。

また、能力ある人が大幅遅延を起こして責められる状況は、プライドの問題につながるから何としてでもそのような状況を避ける行動をまず取るのではないかと云う点も重要。

ただ「人それぞれ」であるから、「片山氏が実は高い能力を持っていてiesysは隠れて開発出来たが、その間本来業務開発を殆どやらなくて、どうしようもないところまで遅延して問題になることは放置した」ということもあるのかもしれない。

しかし、片山氏は「徹頭徹尾、事実無根」と強く否定している。

「シロにする捜査」の観点から、本当に本来業務を殆どやってなかったのか？、同僚は全く気が付かなかったのか？、「それなりの成果物」はどうなのか？などを徹底的に洗ってみることが必須。

検察側がそれをやっているなら、今後どのような証拠や証言が出てくるかを見て行きたいと思う。

ただし、C#能力の鑑定のような安易なものでは意味が無いので、真摯な調査が必要。

また、個人的には(1)～(4)と（ⅰ)～(ⅳ）はとても両立するとは思えないので、そのような人物は当方にとって未知の人物像となる。

そして、開発の痕跡を片山氏以外の人物が残す方法も未知である。

白黒どちらであっても未知の大きな問題が残るという、当方にとって全く不可解な状況になっている。

（開発痕跡と開発できたか？の問題だけでなく、江ノ島や雲取山12月1日「頃」など未知や不可解が満載）

以上