写真●基板からチップを外してデータを解析することも(AOSリーガルテック提供)
[画像のクリックで拡大表示]
他人のPCを不正に操作し、犯罪予告を送りつけたPC遠隔操作事件(ITproまとめ)は、2014年5月20日に片山祐輔被告が弁護人に「自分が真犯人」と名乗り出る衝撃的な展開となった。被告が証言を撤回しない限り、公判の争点は事実認定から量刑判断へと移るだろう。
今回の公判で注目されたのが、コンピュータの中にあるデータを解析し、法的手続きのために証拠化する技術「デジタルフォレンジック」だった。
デジタルフォレンジックとは
刑事事件におけるデジタルフォレンジックでは、捜査機関が押収したHDDやフラッシュメモリーといったストレージから全データをコピー、保全し、解析する。例えばHDDの場合、HDDに保存された全データを、削除ファイルのデータや断片化されたデータを含めてコピーして、保全する。この際、ハッシュ値を計算して、後日データが改ざんされていないことを証明できるようにすることが一般的だ。
保全したHDDデータは、様々な手法による解析が実施され、驚くほど多様な情報が得られる。たとえ犯人が証拠となるファイルを消去していたとしても、その痕跡を捉えることが可能になる。今回の公判で問題になった「ファイルスラック」は、削除ファイルの断片が残っている状態のことである(ITpro関連記事)。
スマートフォンのように、フラッシュメモリーにデータを格納する機器では、USBストレージとして全ファイルを抜き出すほか、チップのデバック用端子(JTAG)からデータを読み出したり、特殊な機材でフラッシュメモリーのチップを基板から外して、メモリーチップから直接データを読み出すこともある(写真)。スマートフォンの解析では、「LINE」のようなメッセージアプリのデータを抜き出し、会話履歴を証拠として保全することが多いという。
