真犯人からのメール(1)
2014年5月16日午前11時37分頃、第8回公判中に、前回までのメールの受信者宛てに、この事件の真犯人を自称する者からメールが送信された。
メールの内容については次の記事が詳しいと思う。
http://d.hatena.ne.jp/satoru_net/20140516/1400248579
今回のメールの送信元は前回とアカウントが変わっていて、次のonigoroshijuzo2014から送信されていた。
http://profiles.yahoo.co.jp/onigoroshijuzo2014
satoru氏の記事によると、このアカウントは5月16日午後10時43分には既に削除されていたようだが、被告の再勾留後に再度アクセス可能な状態になったらしい。
警察の捜査等の関係で運営が一時的に復帰させているのではと推測されているが、詳細は不明である。
被告は、公判の昼休みと午後3時の休憩中に、落合弁護士に送信され江川紹子氏のスマホに転載されたメールの内容を読んだらしい。
被告はこのメールの送信者は真犯人である信憑性が高いと言い、被告が所有しているPCは特別弁護人が通信を監視できる状態で、被告が公判中にメールが送信されたので、被告と弁護士はこのメールが無罪の証明になると主張した。
この日の公判後に行われた被告と弁護士の記者会見の動画と記事があった。
https://www.youtube.com/watch?v=H7rhAl8zKhM
http://www.bengo4.com/topics/1525/
http://www.bengo4.com/topics/1527/
メールの内容や記事や動画を青字で一部引用して氏名を一部改変して見てみる。
メールの送信先
■メールの送信先一覧は前回と全く同じ25名(※ただし情報は過去に流出した可能性あり)
前回の2013年1月1日~2013年1月5日に送られたあて先とまったく同じあて先。
前回までのメールの情報は既に報道機関などで出回っていると思われるので、送信先が一致していることをもって犯人性の証明にはならない。
被告と弁護士も、送信先が一致していることをもって犯人性の証明であるという主張はしていなかったと思う。
このメールが送信された時は、前回までと同じ25名に送信されたと考えられていたが、後の6月1日に自称真犯人からのメールが送られてきた際に、このメールの送信先の内1名のアドレスが前回までと違い届いていなかったことが明らかになった。
メールのMessage-ID
メールヘッダーの情報は、satoru氏の記事を引用。
今回のメールのヘッダー情報のMessage-IDに『email.android.com』という文言が含まれていた。
Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com
このMessage-idは任意で指定ができるので、偽装可能な情報だが、ストレートにこの記述を解読すると、『アンドロイド製のメーラーでMessage-IDに"@email.android.com"と付加するメールクライアントから送信された。』という事が読み取れる。
『1400142888062』の数値はunixタイム値のミリ秒だと仮定して日時に戻すと
2014/05/15 17:34:48の日時を差している。
結果は、真犯人メール到着までの時間差は18:02:25の時間差が示されている。ということになる。
※ただし、あくまで、偽装可能な情報であり、過去に真犯人はExif情報偽装などもしているので、取り扱い要注意。
メールヘッダーのMessage-IDは、IPアドレス以外は偽装可能だが、偽装していないと仮定すると、androidのメーラーから6月15日午後5時34分に送信し、タイマー機能で18時間程度受信の時間差を生じさせたような情報だった。
仮に被告の他に真犯人がいたとして、このような情報に偽装する意味があまり無いし、せっかく被告の公判中に送信したのに、わざわざタイマー機能を使って被告でも送信可能であるかのように偽装することは、公判中に送信することができないと言っている被告を助けることに繋がらず、意図が不明だった。
追記:第11回公判で、被告が、satoru氏が検証した2014/05/15 17:34:48の時間を示す文字列は、メールを下書きした時間であると証言したらしい。
次の記事によれば、被告は、予約送信機能がないアンドロイド標準内臓のメールアプリを使って送信したので、予約送信が見破られないと思ったと発言している。
http://bylines.news.yahoo.co.jp/egawashoko/20140622-00036640/
この場合、Message-IDは下書き保存した時に付与されるらしく、タイマー機能を使って送信したと思わせるような情報ではなかったことになる。
被告が前日夕方にメールを送信した事実が分かっていたので、この時間が何を示すか個人的にあまり調べていなかった。
次の記事によれば、このメールのメールヘッダーのMessage-IDの位置は、任意に指定せずに送った場合と同じであり、被告としてはタイマー送信したとは思われないと考えたらしい。
http://d.hatena.ne.jp/satoru_net/20140520/1400515155
被告は、実際には、Taskerという、端末の操作自体をタイマー機能を使って行うことができるソフトを使って送信していた。
メール送信者のIPアドレス
前回、前々回はtor IPからだった。
今回は日本のプロバイダである為、発信元の特定が可能。
"118.241.250.93"のIPを逆引きすると、"mp76f1fa5d.ap.nuro.jp"になる。
この部分は、SMTPのサーバに接続時にYahoo!側が付与するので、接続元IPは偽証はできない。
so-net系列のプロバイダ
http://www.nuro.jp/
メールの配信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)はso-netのプリペイドSIMで間違いない模様。
コメント欄の書き込みによると、本人確認なし、適当な個人情報でも利用可能との事。
プリペイドSIM自体に住所等の入力は求められますが嘘の情報も通ることを確認しています。
店頭購入のみのようですが本人確認してないので特定は厳しいでしょう。
送信者のIPアドレスは偽装できないので、送信者のものか、又は、この事件の犯人なら他人のPCを遠隔捜査をして送信した可能性があったかもしれない。
nuroはso-netの接続サービスで、関東一都六県で展開していて、他にモバイル用の接続がある。
次の2ちゃんねるのレス番386等によると、逆引きしたIPアドレスのうち、「~(***)***.ap.nuro.jp」の()内の文字が、一都六県であればそれに対応した3文字(東京:tky、神奈川:kng、埼玉:stm)が入るが、mp76f1fa**なので、プリペイドSIMにより接続していることになるらしい。
http://maguro.2ch.net/test/read.cgi/isp/1393665472/
次のツイートの写真はプリペイドSIMのIPらしいが、「mp76f1fa」という部分が一致している。
https://twitter.com/j416dy/status/467715675713048576
このプリペイドSIMは2014年4月22日に販売開始され、次の情報によると、空港の自動販売機や秋葉原の店のカウンター販売など、購入できる場所が限られていたらしい。
http://www.so-net.ne.jp/prepaid/buy/
犯人がこのプリペイドSIMを購入したとすれば、購入の際の本人確認は厳格でない場合もあるかもしれないが、それでもかなり足が付きやすそうな状況だと思う。
次の記事によると、基地局によるandroid端末の現在地情報の精度範囲はおおむね数千メートル以内で、GPS機能を無効に設定していた場合、メールが送信された端末がある程度特定できたとしても、その大まかな位置は分かるが場所の正確な特定は難しいかもしれない。
https://support.google.com/gmm/answer/81873?hl=ja
SMTPによる送信
■今回はWebMailじゃなく、SMTPから送信されている可能性
メールヘッダーをみると、今回のメールのみ「X-Mailer:YahooMailClassic」のヘッダーがない。
外部サーバでプログラムを実行しさせすれば、いつでも送信ができるので、スケジュールによるタイマー送信や、
自動化された送信なども可能。smtp通信のプログラム自体もすごく単純なものなので、
smtp関連はウイルスなどで仕込まれてる事がよくある。
ちなみに、Webメーラーを自動化して送信する場合、場合によってはタイムアウトでパスワード入力の再認証を求められたり、
外部サーバから偽装ブラウザでプログラムなどから操作した場合、スパム対策などで、画像認証をもとめられる場合がある。
この場合、人為的な目視での対応が必要になり、送信に失敗してしまう可能性がある。
前回までのWebメールの送信ではタイマー機能を使うのは難しかったが、SMTPだと比較的簡単にタイマー送信ができる。
yahooメールなどの不正対応用の画像認証は仕様がよく変更されているらしく、何らかのプログラムでタイマー機能などを使い自動送信するには不確実性があるようである。
satoru氏の記事のコメントによると、メールの件名が長いので分断されたソースの特徴が、androidの標準メーラーを使った場合と一致したらしい。
これらのメールヘッダーなどの情報だけでも、遠隔操作による送信の可能性があるとはいえ、販売期間と場所が限定されたso-netのプリペイドSIMを使って、android端末の標準メーラーから、タイマー機能を使って受信された日の前日夕方に送信された可能性が高く、端末の送信場所の範囲も数千mまで絞られ、今までのメールとは違い送信者の特定に繋がりやすい方法で送信していると思うし、メール本文の被告を助けるという目的とも一部ずれがあると思う。
送信者の行動が制限されているなど、何らかの事情があり、犯人がTorを使わずにこういう方法でメールを送信した可能性が推認された。
メールを送信した動機
何でこのタイミングで登場かというと、被告が報道ステーションやレイバーネットに出てるのを見てかわいそうになったからです。
特にレイバーネット、被告のサイト閲覧傾向を見てるとよくいるネラーのネトウヨだと思ってたんですが、
あんな赤くて香ばしい、ハングルハチマキの人たちに祭り上げられているとは…本人も相当不本意だろうなーって。
有罪判決が出たら、誤判した地裁をm9(^Д^)プギャーした上で助けてあげる予定だったんですが、
保釈されてしまった上に、弁護団が最強っぽいので無罪出そうな空気…
地裁は保釈却下して高裁でひっくり返されるという恥をかいたみたいですし、もういいかな、と。
袴田事件で釈放を決めた裁判官が被告の保釈も決めたらしいですが、それでも保釈金1000万って酷すぎますよねぇ。
報道ステーションの4月15日放送分に被告が出演し、このメールが送信された日の2日前であるレイバーネットの5月14日放送に被告が出演していた。
次はレイバーネットの放送の録画である。
http://www.ustream.tv/recorded/47557320
この映像中にハングル文字が書かれたハチマキをする人がいるので、このメールの文章はこの被告の出演以後に編集されたことになるかもしれない。
両方見たが、レイバーネットの方では談笑などもしており、今までの会見などと比較して特に同情を誘うような内容ではなかったと思うので、今まで被告に何の手助けもしなかったことを考えると犯人の言い分には不自然さがあると思った。
被告が勾留されて自殺願望を口走っていた時の方が悲壮感があったと思う。
無罪判決が出そうなのに敢えて現時点で被告を助けようとしたのなら、もっと被告PCを遠隔操作したウイルスの詳細など犯行行為の具体的な内容を書いて、確実に被告が利用されただけであることや江ノ島の状況の証明をしてもいいと思うが、メールの送信形式も含めて中途半端な内容に留まっていると思う。
被告PCに感染させたマルウェア
■被告に仕込んだこと
もともと、私は海外サイトで拾ったウイルスジェネレータで作ったものを使うだけのスクリプトキディでした。
iesysを作る以前にも多数の人に感染させています。
何らかの実行ファイルにくっつけてあちこちで配布する手口が中心です。
B-CAS書き換えが流行ったときなどいっぱい釣れました。
被告が引っかかったのは偽Janeだったと思いますが。
12分ぐらい、偽Janeを使って仕込んだ可能性は高く、2ちゃんねるのビューアーは怪しいと思っていたが検証はしきれていない。
現状のデータとしては残っていない可能性が高く、Janeをアップデートした結果として正しいものが残っていれば痕跡が残らない。
検証ができるかどうかはまだ分からない。
スクリプトキディは、インターネット上で公開されている操作が簡単なクラックツールを利用して、興味本位の不正アクセスを試みる「幼稚な」クラッカー。
http://e-words.jp/w/E382B9E382AFE383AAE38397E38388E382ADE38387E382A3.html
2012年5月にB-CASカードの書き換えが横行し、ネット上でもカードを書き換えるソフトが出回ったらしく、真犯人はこのプログラムに偽装して遠隔操作するマルウェアを感染させたと言っている。
http://gigazine.net/news/20120518-b-cas-card/
Janeとは2ちゃんねる閲覧用の無料のブラウザソフトJane Styleのことで、2ちゃんねるブラウザの中ではシェアが高い。
Janeの一時期のバージョンアップでYahooの検索バーが組み込まれ、Yahoo検索を使わないJaneと称したマルウェアが出回ったことがあるらしいが、詳細はよく分からない。
特別弁護人は、偽のJaneでもアップデートされれば通常のJaneと同様のデータとなり痕跡が残らない可能性を主張しているが、そもそも偽Janeがどういうものだったのかが不明であり、一見普通のJaneと変わらないプログラムに遠隔操作の機能を組み込んでいたとして、そのJaneがアップデートされると本当に痕跡が残らない仕様だったのか、又長期間操作されてもアンチウイルスソフトなどで検出できないものだったのかどうかはよく分からない。
そもそもJaneはメジャーなソフトで、正規の場所以外からダウンロードすること自体普通はあまり考えられないし、Yahooの検索が気に入らないなら設定を変更することもできたらしい。
被告の意見書などによれば、恐らく被告の職場のPCのTrueCryptで作成されたFボリュームがUSBメモリやDropBoxのフォルダと同期していて、被告はそこにJaneを保管していたのだと思うが、Fボリュームの中身が復元できておらず、このデータ共有に使っていたと考えられる黒いバッファローのUSBメモリは見つからず、DropBoxに保存されたデータも、そのデータ自体か、又はデータ内の暗号化されたTrueCryptボリュームの復号キーを被告が失念、紛失したなどの理由で明らかになっていないのだと思う。
偽Janeのデータ自体が入手できていないのなら、弁護人がJaneが怪しいと思っていても検証はできていないことも無理はないと思うが、検察側の長期間に渡り遠隔操作された場合にその痕跡だけを残さないことは考えられないという主張に対して、このメールの説明だけでは反論できていないだろう。
真犯人が感染させたPC、スマートフォンの情報
「遠隔操作」可能なウイルス、一旦感染させたら、遠隔操作して大抵の実行ファイルに感染させることは可能です。
昨年、被告の弁護団からポータブルアプリケーションという言葉が出たときやっと真理に近づいたと思いました。
もちろんUSBメモリを差して自動実行されるタイプではありません。今のOSではそれでは感染しないです。
被告は感染した実行ファイルを、確認しただけでも数台で使いまわしていたので、それぞれのPCに感染させることに成功。
・自宅(OCN)のPC
・IP【60.36.185.80】の会社PC
・toshibaのリモートホストのPC
ほか、一時的に使ったPC数台(多分ネットカフェかな?)を、管理下に置きました。
iesysは内蔵IEコンポーネントを操作する機能が主ですが、ウィルスジェネレータで作ったものは他にもいろいろできます。
もっとも、iesysにも.exeや.batの実行機能を実装してるので、他プログラムに感染させることは可能です。
携帯マルウェアについては、被告がスーファミエミュのapkファイルなど入れて動かしていたので、一瞬のタイミングで紛れ込ませることに成功しました。
13分ぐらい、東芝のリモートホストのPCは裁判では丙社にあたるが、我々も今まであまり言わなかったのでこれを知っているのは犯人ではないか。
被告が勤めていたのは本社であるT社の子会社で、子会社も全部本社のIPアドレス経由で外に出ていくので、外部から遠隔操作した場合には本社の名前しか分からない可能性があり、東芝となっているのは遠隔操作した可能性が高いと思う。
Windows7以降は、USBメモリなどのリムーバブルドライブの、autorun.infなどの自動再生機能は、原則利用されなくなった。
ネットカフェの証拠として、被告が20数分間利用した間にそこのPCからウイルスの動作テストをした痕跡があるらしいが、被告が数か月間にわたり数回利用した時間に真犯人が丁度毎回監視していてネットカフェのPCを遠隔操作できる状態にして、被告の目の前のPCで短時間ウイルスの実行命令などの動作テストをしたという仮定は、実行可能性、犯人の動機などを考えれば現実的ではないと思う。
スーファミエミュとは、スーパーファミコンの機能を別の機器で模倣して再現するエミュレータのことで、被告はスマホで使えるものを利用していたらしい。
apkファイルは、Android OSにアプリケーションをインストールするファイルである。
一瞬のタイミングで紛れ込ませたとは、どのプログラムに紛れ込ませたのか、エミュで動くROMイメージファイルの一つだったのかなどの具体的な説明が無く、また一瞬と表現しているがそうする必要があるものなのか詳細な説明がなく検証ができない記述なので、真犯人の被告を助けるという目的に沿った説明とは思えない。
このメールにより、スマホのデータの検証が必要という事態になっていれば、今後公判で検証されたかもしれないが、被告の自白によりその必要は無くなった。
被告をスケープゴートにした理由
■何で被告をスケープゴートにしたのか?
まず、複数PCにうまく感染してくれたこと。
それだけなら候補は他に何人もいました。
それぞれのPCをあさっていろんなプライバシー情報をゲットしました。
2012年夏前には、被告の平成20年時点での履歴書をゲットしていました。
最近の日付の書類(グローバルサイエンス社の週報)と比較すると名字が違う、と思ったらぐぐって納得。
阿蘇山大噴火氏の法廷傍聴ブログなどなどで情報を得て、それでこの人に決定したというわけです。
この説明は、被告が予想していた自分が真犯人に選ばれた理由とほとんど同じであり、一致しすぎていて逆に違和感がある。
被告も以前から、PCに保存していた自分の履歴書を真犯人に見られた可能性について説明していたが、後の自供では、このPCのデータは証拠隠滅のため完全に消去したと説明した。
この履歴書が実際に保存されていたかどうか不明だが、恐らく嘘だったのではないだろうか。
被告の犯人性を高める工夫の説明
■犯人性を高める工夫
報道では「ドコモショップ秋葉原中央通り店でのトラブルで動機がある」「犯行声明メールに書いてないのは特定を避けるため」のような書かれ方をしていますが…
被告に関連付けたのはドコモの件だけではないです。
履歴書を盗み見ていて、学習院が母校だと知っていたので、学習院→皇室→天皇陛下…と、イメージを広げたわけです。
伊勢神宮も被告が道路検索していたので。あとは「悪の教典」とか。
全事件、全アクティビティの中で半数ぐらい、被告と関連づけて対象にしたと言えますね。
ちなみにドコモの件、告白メールに記載漏れしているのは単に忘れただけです。
(ほかにもAKB脅迫について、踏み台PCを三重の人と書いたのは勘違いでした^^)
被告本人がPCに保存していて私が盗んだ「docomoメモ2012.txt」にトラブル経緯が書いてありました。
対応した副店長の氏名も書いてありました。「名刺もらった、アニメキャラみたいな名前だな」と本人コメント。
ゆえに、脅迫対象候補としてストックしてありました。
何で自作PC板のAMDスレに書いたかと言えば、三重の人がそこにJaneで閲覧・カキコしていたのを確認したからです。
秋葉原に関りのあるスレを見ている人がいたら「ドコモショップ脅迫」カードを使おうと思っていたわけです。
江川紹子さんのblogで紹介されている、ドコモ絡みで被告が書いたという2chの書き込みは、あとになって知りました。
雲取山、江ノ島は被告がルート検索していたのを確認しました。
他に確認したのは、鹿島神宮、鹿島ハイツ、伊勢神宮、道の駅富士川楽座、駿河健康ランド、会津若松駅、会津桧原駅、高崎駅、行田市などです。
ドコモ以外の脅迫も被告と関連付けていたと説明しているが、こじつけのようなものも多いと思う。
実際弁護士からも、これらの事柄が被告と関連があるという主張はされなかった。
ルート検索は、本当に被告が検索していたとしたら、被告ならば検察が提出した証拠を見てその履歴を書けることになる。
検察が証拠としていなかった場合は、犯人がデタラメを書いたかどうか、被告以外には確認できない。
ドコモショップのトラブルは、被告の2ちゃんねるへの書き込みを見たのではなく、被告がトラブルの内容を書いてPCに保存したtextファイルを見て知ったとして、副店長の名前の事など具体的に書いているが、次の5月19日の記者会見の13分30秒ぐらいで、弁護士が、被告の自宅のPCからそのファイル自体は見つかっていないと説明していた。
http://www.youtube.com/watch?v=Wu1Tgk60Bmg
このtextファイルの存在を裏付けるデータが無く、実際には被告はそのようなファイルは作成していなかったと考えられる。
弁護士は、履歴書やこのtextファイルが保存されていたという裏付けの証拠が無いまま、犯人と被告の言い分を頼りに、真犯人は被告のPC中のファイルを覗いていたと主張していたことになる。
被告が作成したVisualC#のプロジェクトを利用したという主張
■iesysの正体
iesysは元はegserviceという名前のVC#プロジェクトでした。
egserviceは被告のIP【60.36.185.80】の会社のPCから盗んできたものです。
リネームの上、AssemblyInfo.csなどビルド情報をそのままにしたまま、全く違うプログラムに改造しました。
インストーラであるcofeeも盗んだものです。こちらは元の名前のままです。
つまり、事件に関連する実行ファイルのいくつかは、元は被告本人か同じ会社の人が保存していたVC#のプロジェクトファイルというわけです。
元のはもう保存してないのでどんなプロジェクトだったかは忘れましたが、どれも小さいWindowsFormApplicationだったはずです。
被告PCからそれらプロジェクトのソースが発見されたor復元されたとすれば、内容がiesysとは全く違うとは言え、GUIDが完全一致してるはず。
検察はこれを「被告が犯人」の根拠にしてると想像しています。
3.4×10の38乗通りのパターンを持つ.NetのGUID(128bit)が一致したならさすがに宇宙規模の奇跡ですよね。
iesys等のバイナリからから検出されているPCの情報、"TKY_DEV_PC07"とか"TKY_DEV_PC07_2"とか"Hewlett Packard"とかの文字列は、
盗んだプロジェクト内のAssemblyInfo.csで定義されてるので、どこでコンパイルしようとそのまま反映されるというわけです。
...というのがiesysやその他のプロジェクトと被告PC痕跡の関連についてのタネ明かしでした。
記者会見映像とか見ると、被告は自分で保存していたegserviceやcofeeなど「元プロジェクト」の名前についてはすっかり忘れているかもしれないですね。
(cofeeなんてのは被告が付けた名前だと思います。エフがひとつ足りないよーーーって思ってました)
こっちからファイルを置く・消すをしただけの、つまり故意に埋め込んだものもありますし、被告PCをiesysのテストに使ったりもしました。
したらば、autoカテゴリ6682 パスワード:yakisoba これも、放置してたようなので使わせてもらいました。
11分30秒ぐらい、(cofeeの質問に対し)(被告)自分では細かいプロジェクトファイルにどういう名前をつけたかあまり覚えていないが、確かにそう言われるとありうる話である。
14分ぐらい、(iesysの痕跡をこの方法で残せるのかという質問に対し)(特別弁護人)普通にできる。
egserviceという名前自体がiesysと全然関係無いのが疑問だったが、元々あったものを改造したものと考えれば分かりやすい。
真犯人が被告が作ったものを利用したというのはありうる。
設定情報はプロジェクトファイルを最初に作った時に作成されるので、最初に作ったPCからプロジェクトファイル全体を移し替えれば同じようにコンパイルされる。
egserviceやcofeeは元々被告が会社でVisual StudioでC#で開発したプロジェクトで、その内容を作り変えたのでiesysのバイナリに被告PCの情報が残っていると説明している。
アセンブリとは、Microsoft .NETにおけるコード管理の基本単位となるコンパイル済みの実行コードである。
http://e-words.jp/w/E382A2E382BBE383B3E38396E383AA.html
Visual Studio2010でプロジェクトを作成するとAssemblyInfo.csというファイルにアセンブリ情報が記録されるが、次の記事のように、ビルドされたPCのユーザー名やパスは作成者が記載しない限り記録されない。
http://www.atmarkit.co.jp/fdotnet/dotnettips/407versioninfo/versioninfo.html
iesysの表層解析により判明した「TKY_DEV_PC07_2」などのアカウントやF\Vprojなどのパスは、アセンブリ情報ではなく、iesysのデバッグ関連のデータのバイナリから検出されたのだと思う。
被告の勤務先PCからはTrueCryptで暗号化されたFボリューム内のウイルスそのものは復元できず、証拠はパスの痕跡だけだと弁護士も説明しているので、この真犯人が言っているGUIDは被告PCの何の痕跡と一致したと言っているのかよく分からない。
弁護士が説明していない、C直下に保存されていたというiesys.exeの類似ウイルスと一致したという証拠でもあるのだろうか。
このメールを送信した被告が、かく乱するために敢えて間違ったことを書いたのか、それとも被告自身痕跡の証拠についてあまり把握できていないのか、意図が不明だと思った。
そもそも被告は、証拠が開示される前はC#でプログラムを書いたことが無いと言っていたのに、この真犯人の説明によれば、C#でいくつかプロジェクトを作成したこと自体を忘れていたことになり、被告の供述がまた変遷して信憑性が更に低下することになったと思う。
Visual Studioはインストールして使ったことがないと言っていたのに、インストールとアンインストールを繰り返して継続使用の認証も受けたことを忘れていたというのはかなり不自然だろう。
真犯人は説明によれば、被告の職場PCのTrueCryptの隠しボリュームFのvprojというフォルダにあらかじめ保存されていたC#のプロジェクトを利用したと説明しているが、被告は、3月5日被告保釈後の記者会見で、Fボリュームの中のvprojはおそらく隠しフォルダになっていたので見えなかったと言っていて、以前は被告が知らないと言っていたフォルダ内に被告がプロジェクトを保存していたことになり、被告の発言が決定的に矛盾することになる。
被告はこのメールを受けて、以前自分でvprojというフォルダを作成したが忘れていたと主張せざるをえないことになったと思うが、2012年まで数回業務用のプロジェクトを保存し、自分で名前を付けて隠しフォルダに設定していたフォルダ名を見ても思い出さなかったというのはかなり苦しい弁明だと思う。
F内のvprojフォルダは、TrueCryptで更に暗号化して隠していた可能性が高く、被告の説明に沿えば、業務規程に違反するからという理由でTrueCryptで隠しボリュームに設定して自宅やネットカフェで共用して使っていたと考えられるフォルダの中に、隠す必要が無い業務で使ったプログラムをわざわざ保存していたというのもかなり不自然だと思う。
「TKY-DEV-PC07_2」のアカウントは、2011年11月以前より被告が使っていた期間の内、2012年7月始めから9月末まで使われていたことが証拠上明らかになっており、真犯人の説明によれば被告がこのアカウントを使っていたことになる。
このアカウントは主にこの事件のウイルス関連の作業をした痕跡があるので、このまま公判が進めば被告には作成した目的や利用状況について説明が求められるところだっただろう。
3月20日第4回公判(2)に、このアカウントで2012年7月12日から9月18日までVisual Studioが2回にインストールとアンインストールされている証拠があり、被告が作業したのであれば、それを忘れていたというのは不自然な主張であると思う。
被告職場PCのVisual StudioのTemporary Projectsの痕跡によれば、「TKY-DEV-PC07_2」でFボリューム内に、iesysの元のプロジェクトのegserviceとcofeeの他に、iesysの命令暗号化プログラムのCryptTool、感染させるフリーソフトであるChikanとDamも存在していたことになるが、これらのプログラムついては真犯人は何も言及しておらず、これも被告が作成したC#のプロジェクトを利用したというのなら、vprojフォルダの存在自体を忘れていたという供述が更に不自然なものとなる。
またそう何度もわざわざTrueCryptで復号化して仮想ドライブとして認識されている時間中しか利用できないボリュームの中のプロジェクトを利用し、被告が遠隔操作でそんな作業をされていることに気づかなかったことになる真犯人の主張もかなり非現実的なものとなるだろう。
他に、PCのUSN Change journalのFボリューム内で2012年7月26日にiesys.exeおよびフォルダ「iesys」の作成・削除した痕跡や、Grep Replaceによる検索・置換履歴、サクラエディタによるphpファイルの編集の痕跡などもあり、これらの痕跡をどうやって残したのか何も説明が無い。
真犯人のアセンブリ情報の説明が正しくなかったとしても、この方法ならiesysの開発自体は被告PC以外の場所で行いiesysのバイナリに被告PCのパスの情報を残すことができるかもしれないが、検察の、「イベントログ」「ファイルスラック領域」「レジストリ」「USN Change Journal」など多種類の痕跡が、整合性を保ったまま、たまたま同名の痕跡として残すことは非現実的であるという主張の主な部分に対しては反論できていないし、また長期間にわたりPCを遠隔操作してその痕跡を全く残さないことはほとんど無理であるという主張に対する説明もしていない。
ファイルスラックの認識
「ファイルスラック」とかは知らなかったです。
最近の公判報告サイトで原理を知りましたが、そのストレージ内に以前そういうデータがあった痕跡なら、あってもおかしくないですね。
むしろ言及されていないのが不思議なこととして、ファイルスラックではない普通の削除済み領域からはあまり復元されてないのかしら?
のちに誰かがデフラグ&ゼロフィルしたのかな?
検察も弁護もファイルスラックのことばかり言うのが少しヘンだなと思います。
40分30秒ぐらい、痕跡は削除領域からも若干出てはいるが、元のHDDが9割ぐらい埋まっていて、被告が使った以降も満杯になっては消しているのでほぼ残りえなかったというだけである。
ディスクがもっと空いていれば削除領域からもっと出てきた。
犯人がファイルスラックを知らなかったとしたら、そこに痕跡が残ることを前提として被告に擦り付ける証拠を残さないはずなので、発言と行動が矛盾しているように思う。
真犯人は本当は削除領域に痕跡を残すつもりで、実際はあまり残らなかったという主張なら一応辻褄は合うかもしれないが、ファイルスラックを知らないのに、結果的に削除領域ではなくファイルスラックに残ることを前提としたような多数の複雑な痕跡を残して擦り付けることを考え、実際にファイルスラックに大半の痕跡が残っているのは不自然だろう。
ファイルスラックは意図して残すことが難しく、遠隔操作によって整合性を保って矛盾なく事実と違う痕跡を残すことは難しいと一般的に言えるだろう。
セロハンテープから検出されたDNAの説明
・ネコセロテープから検出されたDNA
不一致で当然。被告のDNAでも私のでもないはずです。
とあるスーパーマーケットのレジの先の荷造り台に設置してあったセロテープです。
他の買い物客が触りかけてやめたものをゲットしてきたというわけです。
できれば粘着面に誰かの指紋ベッタリ付いてるのを欲しかったのですが、長居してたら不審者に思われるので、適当なものを入手。
被告が犯行について自供した後の説明では、この部分は嘘で、被告は江の島のトイレで首輪にセロハンテープを巻いたと言っていた。
このメールの説明なら、江の島ではなくもっと前の時点で巻く作業をしたと想像するのが普通と思うので、被告は、第三者のDNAが検出されたことを利用して、かく乱のために嘘を書いた可能性があるかもしれない。
以前犯人が使っていたyahooアカウントへのアクセス
・onigoroshijuzo2へのアクセス履歴について、
去年2月当時「被告を逮捕したらアクセスが止まった」発表がありましたが、警察のデマです。
正確には1/5未明にメールを送信してから1年以上、ずっとログインしていません。
なお、最近ログインしたらアカウントは生きてたものの、メールボックスは凍結されてました。
警察発表のデマを佐藤弁護士が糾弾しまくってますが、ここのところは言ってないのでフォローしておきます。
警察って本当にヒドイですねーーー
以前に、被告の逮捕直前まで頻繁にTorで犯人のアカウントにアクセスがあり、逮捕直後に途絶えたという報道があったが、犯人は1月5日のメール送信以降アクセスしていなかったようである。
警察は通信記録を把握しているはずなので、真犯人がこの点ですぐに嘘と分かるような嘘をつく意味は無いだろう。
直前という表現で1ヶ月以上前の時点を指すのはおかしいと思うが、被告の逮捕以後1年経過した最近までアクセスが無かったのなら、やはり他に犯人がいない可能性が高いのではという印象を受けるのも無理はないと思う。
最近ログインしたと書いているが、後に被告は、河川敷でこのメールをこのアカウントから送信しようとしたができず、別のアカウントを作成して送信したと自供していて、仮に事前にログインしたならこの前にメールボックスが凍結していることを知ることになり、河川敷でログインする必要は無いと思うので、被告が保釈後初めてログインしてメールボックスが凍結されていることを確認したのは、このメールを送信する正に直前ということになると思う。
首相官邸と部落解放同盟への脅迫文の秘密の暴露
5分40秒ぐらい、このメールに犯人が犯行声明メールで犯行を示唆した13件のうち首相官邸と部落解放同盟の2件の秘密の暴露の脅迫文が書かれており、起訴されていない事件なので重要である。
こういうメールが届いたことは被害者も知っているが捜査当局も知っているはずで、この脅迫文の内容は弁護側も知らないことだが、捜査当局は十分分かる。
25分ぐらい、(被告)家の中の記憶媒体は全部押収されて何も残ってない。
39分ぐらい、(被告)秘密の暴露の脅迫メールは今日初めて見た。
(弁護士)被告の所からはPC等一切が押収されているので、この脅迫メールの文言が完全に忠実に再現されているとすれば、当時のデータをどこかに隠してでもいない限り、被告でも完全に再現できない。
真犯人は、犯人が2012年10月の犯行声明メールで関与を認めた13件の犯行のうち、起訴されていない首相官邸と部落解放同盟への脅迫の内容を書いて秘密の暴露とするつもりだったらしい。
弁護士も被告もこの2件の脅迫の内容は知らなかったと言っているが、次のTBSの報道の書き起こし記事によれば、この脅迫文の文面は検察側が提出した証拠に含まれていて、被告は内容を知っていたらしい。
http://o.x0.com/m/35879
この真犯人からのメールには、被告が犯人だった場合にどこか外部に情報を保存していないと書けない、真犯人の秘密の暴露に当たる内容の記載は無かったことになる。
被告所有PCの通信の監視
2分ぐらい、普段使っているPCは、自宅に置いている時は電源オンかスリープにしていて、パケット警察というソフトがどういう通信をしたか記録している。
29分ぐらい(被告)ノートPCを一台買って、ソフトイーサという会社が作った、一昨年遠隔操作事件が話題になり始めた時にこの会社が無料で公開し始めたパケット警察というソフトで、IT、サイバー犯罪から身を守るためのソフトという位置づけのものであり、PCでパケット通信をする時に通信記録を全部取っており、自分では解除できない。
(特別弁護人)いわゆる監査系のソフトで、被告の作業を止めるわけではないが、変なことをすれば後で分かる予防的なソフトであり、例えばtorを使っていれば分かる。
ただパケットの中身までは記録していないので、正しい操作をして悪いこと、例えばGメールで誰かに送ってその内容に基づいて誰かに悪いことを指示していると分からない。
33分50秒ぐらい(被告)少なくともこの二か月間は、ネットカフェとか公共の誰でも使えるPCには一切触れてない。
スマホで事件のことをかなり調べたりしているが、スマホに関しては監視は特に無い。
35分ぐらい、PCは一日数時間使っている。
36分50秒ぐらい、(弁護士)保釈の条件として、PCの通信とか利用に関しては全く書いていない。
(それでも管理下に置いたのは被告が自発的にそうしたのかという質問に対し)おっしゃる通り。
まず検察官から(保釈)反対の理由として(自作自演が)懸念されていて、しかも私達はメールが来れば終わるサドンデス状態でいつでも終わると言っているわけで、メールが届けば被告がまず疑われるだろうということは分かっていたので、そういうことにならないようにしようとしていた。
今日こういうことがあることを予想して行動していたのは事実である。
下記はパケット警察のサイトである。
http://www2.softether.jp/jp/packetpolice/
このソフトは、PCが悪意ある第三者に遠隔操作されてユーザーが意図しない通信をした場合に、ユーザーが気付かないうちに隠れてマルウェアなどが動いていたかどうか監視して証明するためのソフトであり、そのユーザー自身が故意に監視をすり抜けて通信したりしていないことを証明するためのものではないだろう。
このソフトの開発者の方が、この弁護側の方針について意見を述べている。
https://www.facebook.com/dnobori/posts/620979891311987
弁護士が設定用パスワードを管理していたということであるが、たとえそのような構成でコンピュータのネットワークインターフェイスカード (NIC) の通信をすべて「パケット警察」で監視してログに保存していたとしていても、「ある通信を行っていない」ことを証明することはできないのではないか。
もともと、「パケット警察」は「ある通信が行われた」ことを後から証明するための助けになるツールであり (訴訟になったときに証拠能力があるかないかは、個別ケースや残っている証拠の状態によって異なるので、ここで議論しても仕方がない)、「ある通信が行われていない」ことを証明するためのツールではない。
パケット警察は初期設定時にどの NIC の通信を監視するのかを設定するので、設定後に追加されたNICは監視しないと説明している。
しかしこのNICを追加する際に残るレジストリなどの痕跡を消すのは相当難しいらしく、この事件の犯人が行うのはほとんど非現実的と言えるかもしれない。
ちなみにこの方が述べている意見は、検察の、被告の職場PCに残った多種多様な相互に矛盾しない痕跡について、遠隔操作した際に残る痕跡自体は全く残さず、意図的に残したい痕跡だけを残すことはほぼ不可能という主張と同じようなことを言っていると思う。
いずれにしても、弁護側が監視していたのは被告が所有していたPCの通信だけであり、所持していたスマホによる通信や他の被告の行動は把握していなかった。
パケット警察のパスワードやログの管理状態も、弁護人と被告人間で取り決めたルールに基づいているに過ぎず、その二者間で厳格に守られたことが証明できるものでもないと思うので、公判で通用するような主張だったかは疑問である。
5月19日の会見によれば、被告が河川敷からメールを送信した日である5月15日の被告の行動を弁護士は全く把握していなかったと説明していて、仮に被告が保釈中に何らかの方法でネットカフェ等の公共の通信を使っていても、弁護士は把握できなかっただろうし、3月6日週刊朝日用インタビュー詳細によれば、被告は保釈された当日に早くもホテルでネットに接続していた。
被告は、保釈中に実際に弁護士に隠れてスマートフォンやプリペイドSIMカード、秘密のPCを入手していた。
犯人はラストメッセージで自身の逮捕の可能性を現実的に想定していて、被告が最初からその気であれば、自身の逮捕前に秘密の暴露に当たる情報をオンラインストレージや外部メディアに残しておき、秘密の通信手段も確保して隠しておけば、実際に河川敷でスマホを埋めるような方法よりも警察が把握しづらい方法を使ってアリバイ工作ができた可能性もあるかもしれない。
警察が、保釈後の被告の行動を把握し自宅とスマホの通信も検証できる可能性がかなり高く、被告がそれを掻い潜って何か工作するのは困難とはいえ、監視がどの程度のものなのか外部から証明できるとは限らないし、仮に弁護側が、被告が不審な行動をしていれば警察も把握するはずだという他力本願な主張をしていたとしても、公判でどの程度認められるかは疑問だっただろう。
メールの内容については次の記事が詳しいと思う。
http://d.hatena.ne.jp/satoru_net/20140516/1400248579
今回のメールの送信元は前回とアカウントが変わっていて、次のonigoroshijuzo2014から送信されていた。
http://profiles.yahoo.co.jp/onigoroshijuzo2014
satoru氏の記事によると、このアカウントは5月16日午後10時43分には既に削除されていたようだが、被告の再勾留後に再度アクセス可能な状態になったらしい。
警察の捜査等の関係で運営が一時的に復帰させているのではと推測されているが、詳細は不明である。
被告は、公判の昼休みと午後3時の休憩中に、落合弁護士に送信され江川紹子氏のスマホに転載されたメールの内容を読んだらしい。
被告はこのメールの送信者は真犯人である信憑性が高いと言い、被告が所有しているPCは特別弁護人が通信を監視できる状態で、被告が公判中にメールが送信されたので、被告と弁護士はこのメールが無罪の証明になると主張した。
この日の公判後に行われた被告と弁護士の記者会見の動画と記事があった。
https://www.youtube.com/watch?v=H7rhAl8zKhM
http://www.bengo4.com/topics/1525/
http://www.bengo4.com/topics/1527/
メールの内容や記事や動画を青字で一部引用して氏名を一部改変して見てみる。
メールの送信先
■メールの送信先一覧は前回と全く同じ25名(※ただし情報は過去に流出した可能性あり)
前回の2013年1月1日~2013年1月5日に送られたあて先とまったく同じあて先。
前回までのメールの情報は既に報道機関などで出回っていると思われるので、送信先が一致していることをもって犯人性の証明にはならない。
被告と弁護士も、送信先が一致していることをもって犯人性の証明であるという主張はしていなかったと思う。
このメールが送信された時は、前回までと同じ25名に送信されたと考えられていたが、後の6月1日に自称真犯人からのメールが送られてきた際に、このメールの送信先の内1名のアドレスが前回までと違い届いていなかったことが明らかになった。
メールのMessage-ID
メールヘッダーの情報は、satoru氏の記事を引用。
今回のメールのヘッダー情報のMessage-IDに『email.android.com』という文言が含まれていた。
Message-ID: 93dhqdjpt0hqgushhj9t34q1.1400142888062@email.android.com
このMessage-idは任意で指定ができるので、偽装可能な情報だが、ストレートにこの記述を解読すると、『アンドロイド製のメーラーでMessage-IDに"@email.android.com"と付加するメールクライアントから送信された。』という事が読み取れる。
『1400142888062』の数値はunixタイム値のミリ秒だと仮定して日時に戻すと
2014/05/15 17:34:48の日時を差している。
結果は、真犯人メール到着までの時間差は18:02:25の時間差が示されている。ということになる。
※ただし、あくまで、偽装可能な情報であり、過去に真犯人はExif情報偽装などもしているので、取り扱い要注意。
メールヘッダーのMessage-IDは、IPアドレス以外は偽装可能だが、偽装していないと仮定すると、androidのメーラーから6月15日午後5時34分に送信し、タイマー機能で18時間程度受信の時間差を生じさせたような情報だった。
仮に被告の他に真犯人がいたとして、このような情報に偽装する意味があまり無いし、せっかく被告の公判中に送信したのに、わざわざタイマー機能を使って被告でも送信可能であるかのように偽装することは、公判中に送信することができないと言っている被告を助けることに繋がらず、意図が不明だった。
追記:第11回公判で、被告が、satoru氏が検証した2014/05/15 17:34:48の時間を示す文字列は、メールを下書きした時間であると証言したらしい。
次の記事によれば、被告は、予約送信機能がないアンドロイド標準内臓のメールアプリを使って送信したので、予約送信が見破られないと思ったと発言している。
http://bylines.news.yahoo.co.jp/egawashoko/20140622-00036640/
この場合、Message-IDは下書き保存した時に付与されるらしく、タイマー機能を使って送信したと思わせるような情報ではなかったことになる。
被告が前日夕方にメールを送信した事実が分かっていたので、この時間が何を示すか個人的にあまり調べていなかった。
次の記事によれば、このメールのメールヘッダーのMessage-IDの位置は、任意に指定せずに送った場合と同じであり、被告としてはタイマー送信したとは思われないと考えたらしい。
http://d.hatena.ne.jp/satoru_net/20140520/1400515155
被告は、実際には、Taskerという、端末の操作自体をタイマー機能を使って行うことができるソフトを使って送信していた。
メール送信者のIPアドレス
前回、前々回はtor IPからだった。
今回は日本のプロバイダである為、発信元の特定が可能。
"118.241.250.93"のIPを逆引きすると、"mp76f1fa5d.ap.nuro.jp"になる。
この部分は、SMTPのサーバに接続時にYahoo!側が付与するので、接続元IPは偽証はできない。
so-net系列のプロバイダ
http://www.nuro.jp/
メールの配信元 mp76f1fa5d.ap.nuro.jp(118.241.250.93)はso-netのプリペイドSIMで間違いない模様。
コメント欄の書き込みによると、本人確認なし、適当な個人情報でも利用可能との事。
プリペイドSIM自体に住所等の入力は求められますが嘘の情報も通ることを確認しています。
店頭購入のみのようですが本人確認してないので特定は厳しいでしょう。
送信者のIPアドレスは偽装できないので、送信者のものか、又は、この事件の犯人なら他人のPCを遠隔捜査をして送信した可能性があったかもしれない。
nuroはso-netの接続サービスで、関東一都六県で展開していて、他にモバイル用の接続がある。
次の2ちゃんねるのレス番386等によると、逆引きしたIPアドレスのうち、「~(***)***.ap.nuro.jp」の()内の文字が、一都六県であればそれに対応した3文字(東京:tky、神奈川:kng、埼玉:stm)が入るが、mp76f1fa**なので、プリペイドSIMにより接続していることになるらしい。
http://maguro.2ch.net/test/read.cgi/isp/1393665472/
次のツイートの写真はプリペイドSIMのIPらしいが、「mp76f1fa」という部分が一致している。
https://twitter.com/j416dy/status/467715675713048576
このプリペイドSIMは2014年4月22日に販売開始され、次の情報によると、空港の自動販売機や秋葉原の店のカウンター販売など、購入できる場所が限られていたらしい。
http://www.so-net.ne.jp/prepaid/buy/
犯人がこのプリペイドSIMを購入したとすれば、購入の際の本人確認は厳格でない場合もあるかもしれないが、それでもかなり足が付きやすそうな状況だと思う。
次の記事によると、基地局によるandroid端末の現在地情報の精度範囲はおおむね数千メートル以内で、GPS機能を無効に設定していた場合、メールが送信された端末がある程度特定できたとしても、その大まかな位置は分かるが場所の正確な特定は難しいかもしれない。
https://support.google.com/gmm/answer/81873?hl=ja
SMTPによる送信
■今回はWebMailじゃなく、SMTPから送信されている可能性
メールヘッダーをみると、今回のメールのみ「X-Mailer:YahooMailClassic」のヘッダーがない。
外部サーバでプログラムを実行しさせすれば、いつでも送信ができるので、スケジュールによるタイマー送信や、
自動化された送信なども可能。smtp通信のプログラム自体もすごく単純なものなので、
smtp関連はウイルスなどで仕込まれてる事がよくある。
ちなみに、Webメーラーを自動化して送信する場合、場合によってはタイムアウトでパスワード入力の再認証を求められたり、
外部サーバから偽装ブラウザでプログラムなどから操作した場合、スパム対策などで、画像認証をもとめられる場合がある。
この場合、人為的な目視での対応が必要になり、送信に失敗してしまう可能性がある。
前回までのWebメールの送信ではタイマー機能を使うのは難しかったが、SMTPだと比較的簡単にタイマー送信ができる。
yahooメールなどの不正対応用の画像認証は仕様がよく変更されているらしく、何らかのプログラムでタイマー機能などを使い自動送信するには不確実性があるようである。
satoru氏の記事のコメントによると、メールの件名が長いので分断されたソースの特徴が、androidの標準メーラーを使った場合と一致したらしい。
これらのメールヘッダーなどの情報だけでも、遠隔操作による送信の可能性があるとはいえ、販売期間と場所が限定されたso-netのプリペイドSIMを使って、android端末の標準メーラーから、タイマー機能を使って受信された日の前日夕方に送信された可能性が高く、端末の送信場所の範囲も数千mまで絞られ、今までのメールとは違い送信者の特定に繋がりやすい方法で送信していると思うし、メール本文の被告を助けるという目的とも一部ずれがあると思う。
送信者の行動が制限されているなど、何らかの事情があり、犯人がTorを使わずにこういう方法でメールを送信した可能性が推認された。
メールを送信した動機
何でこのタイミングで登場かというと、被告が報道ステーションやレイバーネットに出てるのを見てかわいそうになったからです。
特にレイバーネット、被告のサイト閲覧傾向を見てるとよくいるネラーのネトウヨだと思ってたんですが、
あんな赤くて香ばしい、ハングルハチマキの人たちに祭り上げられているとは…本人も相当不本意だろうなーって。
有罪判決が出たら、誤判した地裁をm9(^Д^)プギャーした上で助けてあげる予定だったんですが、
保釈されてしまった上に、弁護団が最強っぽいので無罪出そうな空気…
地裁は保釈却下して高裁でひっくり返されるという恥をかいたみたいですし、もういいかな、と。
袴田事件で釈放を決めた裁判官が被告の保釈も決めたらしいですが、それでも保釈金1000万って酷すぎますよねぇ。
報道ステーションの4月15日放送分に被告が出演し、このメールが送信された日の2日前であるレイバーネットの5月14日放送に被告が出演していた。
次はレイバーネットの放送の録画である。
http://www.ustream.tv/recorded/47557320
この映像中にハングル文字が書かれたハチマキをする人がいるので、このメールの文章はこの被告の出演以後に編集されたことになるかもしれない。
両方見たが、レイバーネットの方では談笑などもしており、今までの会見などと比較して特に同情を誘うような内容ではなかったと思うので、今まで被告に何の手助けもしなかったことを考えると犯人の言い分には不自然さがあると思った。
被告が勾留されて自殺願望を口走っていた時の方が悲壮感があったと思う。
無罪判決が出そうなのに敢えて現時点で被告を助けようとしたのなら、もっと被告PCを遠隔操作したウイルスの詳細など犯行行為の具体的な内容を書いて、確実に被告が利用されただけであることや江ノ島の状況の証明をしてもいいと思うが、メールの送信形式も含めて中途半端な内容に留まっていると思う。
被告PCに感染させたマルウェア
■被告に仕込んだこと
もともと、私は海外サイトで拾ったウイルスジェネレータで作ったものを使うだけのスクリプトキディでした。
iesysを作る以前にも多数の人に感染させています。
何らかの実行ファイルにくっつけてあちこちで配布する手口が中心です。
B-CAS書き換えが流行ったときなどいっぱい釣れました。
被告が引っかかったのは偽Janeだったと思いますが。
12分ぐらい、偽Janeを使って仕込んだ可能性は高く、2ちゃんねるのビューアーは怪しいと思っていたが検証はしきれていない。
現状のデータとしては残っていない可能性が高く、Janeをアップデートした結果として正しいものが残っていれば痕跡が残らない。
検証ができるかどうかはまだ分からない。
スクリプトキディは、インターネット上で公開されている操作が簡単なクラックツールを利用して、興味本位の不正アクセスを試みる「幼稚な」クラッカー。
http://e-words.jp/w/E382B9E382AFE383AAE38397E38388E382ADE38387E382A3.html
2012年5月にB-CASカードの書き換えが横行し、ネット上でもカードを書き換えるソフトが出回ったらしく、真犯人はこのプログラムに偽装して遠隔操作するマルウェアを感染させたと言っている。
http://gigazine.net/news/20120518-b-cas-card/
Janeとは2ちゃんねる閲覧用の無料のブラウザソフトJane Styleのことで、2ちゃんねるブラウザの中ではシェアが高い。
Janeの一時期のバージョンアップでYahooの検索バーが組み込まれ、Yahoo検索を使わないJaneと称したマルウェアが出回ったことがあるらしいが、詳細はよく分からない。
特別弁護人は、偽のJaneでもアップデートされれば通常のJaneと同様のデータとなり痕跡が残らない可能性を主張しているが、そもそも偽Janeがどういうものだったのかが不明であり、一見普通のJaneと変わらないプログラムに遠隔操作の機能を組み込んでいたとして、そのJaneがアップデートされると本当に痕跡が残らない仕様だったのか、又長期間操作されてもアンチウイルスソフトなどで検出できないものだったのかどうかはよく分からない。
そもそもJaneはメジャーなソフトで、正規の場所以外からダウンロードすること自体普通はあまり考えられないし、Yahooの検索が気に入らないなら設定を変更することもできたらしい。
被告の意見書などによれば、恐らく被告の職場のPCのTrueCryptで作成されたFボリュームがUSBメモリやDropBoxのフォルダと同期していて、被告はそこにJaneを保管していたのだと思うが、Fボリュームの中身が復元できておらず、このデータ共有に使っていたと考えられる黒いバッファローのUSBメモリは見つからず、DropBoxに保存されたデータも、そのデータ自体か、又はデータ内の暗号化されたTrueCryptボリュームの復号キーを被告が失念、紛失したなどの理由で明らかになっていないのだと思う。
偽Janeのデータ自体が入手できていないのなら、弁護人がJaneが怪しいと思っていても検証はできていないことも無理はないと思うが、検察側の長期間に渡り遠隔操作された場合にその痕跡だけを残さないことは考えられないという主張に対して、このメールの説明だけでは反論できていないだろう。
真犯人が感染させたPC、スマートフォンの情報
「遠隔操作」可能なウイルス、一旦感染させたら、遠隔操作して大抵の実行ファイルに感染させることは可能です。
昨年、被告の弁護団からポータブルアプリケーションという言葉が出たときやっと真理に近づいたと思いました。
もちろんUSBメモリを差して自動実行されるタイプではありません。今のOSではそれでは感染しないです。
被告は感染した実行ファイルを、確認しただけでも数台で使いまわしていたので、それぞれのPCに感染させることに成功。
・自宅(OCN)のPC
・IP【60.36.185.80】の会社PC
・toshibaのリモートホストのPC
ほか、一時的に使ったPC数台(多分ネットカフェかな?)を、管理下に置きました。
iesysは内蔵IEコンポーネントを操作する機能が主ですが、ウィルスジェネレータで作ったものは他にもいろいろできます。
もっとも、iesysにも.exeや.batの実行機能を実装してるので、他プログラムに感染させることは可能です。
携帯マルウェアについては、被告がスーファミエミュのapkファイルなど入れて動かしていたので、一瞬のタイミングで紛れ込ませることに成功しました。
13分ぐらい、東芝のリモートホストのPCは裁判では丙社にあたるが、我々も今まであまり言わなかったのでこれを知っているのは犯人ではないか。
被告が勤めていたのは本社であるT社の子会社で、子会社も全部本社のIPアドレス経由で外に出ていくので、外部から遠隔操作した場合には本社の名前しか分からない可能性があり、東芝となっているのは遠隔操作した可能性が高いと思う。
Windows7以降は、USBメモリなどのリムーバブルドライブの、autorun.infなどの自動再生機能は、原則利用されなくなった。
ネットカフェの証拠として、被告が20数分間利用した間にそこのPCからウイルスの動作テストをした痕跡があるらしいが、被告が数か月間にわたり数回利用した時間に真犯人が丁度毎回監視していてネットカフェのPCを遠隔操作できる状態にして、被告の目の前のPCで短時間ウイルスの実行命令などの動作テストをしたという仮定は、実行可能性、犯人の動機などを考えれば現実的ではないと思う。
スーファミエミュとは、スーパーファミコンの機能を別の機器で模倣して再現するエミュレータのことで、被告はスマホで使えるものを利用していたらしい。
apkファイルは、Android OSにアプリケーションをインストールするファイルである。
一瞬のタイミングで紛れ込ませたとは、どのプログラムに紛れ込ませたのか、エミュで動くROMイメージファイルの一つだったのかなどの具体的な説明が無く、また一瞬と表現しているがそうする必要があるものなのか詳細な説明がなく検証ができない記述なので、真犯人の被告を助けるという目的に沿った説明とは思えない。
このメールにより、スマホのデータの検証が必要という事態になっていれば、今後公判で検証されたかもしれないが、被告の自白によりその必要は無くなった。
被告をスケープゴートにした理由
■何で被告をスケープゴートにしたのか?
まず、複数PCにうまく感染してくれたこと。
それだけなら候補は他に何人もいました。
それぞれのPCをあさっていろんなプライバシー情報をゲットしました。
2012年夏前には、被告の平成20年時点での履歴書をゲットしていました。
最近の日付の書類(グローバルサイエンス社の週報)と比較すると名字が違う、と思ったらぐぐって納得。
阿蘇山大噴火氏の法廷傍聴ブログなどなどで情報を得て、それでこの人に決定したというわけです。
この説明は、被告が予想していた自分が真犯人に選ばれた理由とほとんど同じであり、一致しすぎていて逆に違和感がある。
被告も以前から、PCに保存していた自分の履歴書を真犯人に見られた可能性について説明していたが、後の自供では、このPCのデータは証拠隠滅のため完全に消去したと説明した。
この履歴書が実際に保存されていたかどうか不明だが、恐らく嘘だったのではないだろうか。
被告の犯人性を高める工夫の説明
■犯人性を高める工夫
報道では「ドコモショップ秋葉原中央通り店でのトラブルで動機がある」「犯行声明メールに書いてないのは特定を避けるため」のような書かれ方をしていますが…
被告に関連付けたのはドコモの件だけではないです。
履歴書を盗み見ていて、学習院が母校だと知っていたので、学習院→皇室→天皇陛下…と、イメージを広げたわけです。
伊勢神宮も被告が道路検索していたので。あとは「悪の教典」とか。
全事件、全アクティビティの中で半数ぐらい、被告と関連づけて対象にしたと言えますね。
ちなみにドコモの件、告白メールに記載漏れしているのは単に忘れただけです。
(ほかにもAKB脅迫について、踏み台PCを三重の人と書いたのは勘違いでした^^)
被告本人がPCに保存していて私が盗んだ「docomoメモ2012.txt」にトラブル経緯が書いてありました。
対応した副店長の氏名も書いてありました。「名刺もらった、アニメキャラみたいな名前だな」と本人コメント。
ゆえに、脅迫対象候補としてストックしてありました。
何で自作PC板のAMDスレに書いたかと言えば、三重の人がそこにJaneで閲覧・カキコしていたのを確認したからです。
秋葉原に関りのあるスレを見ている人がいたら「ドコモショップ脅迫」カードを使おうと思っていたわけです。
江川紹子さんのblogで紹介されている、ドコモ絡みで被告が書いたという2chの書き込みは、あとになって知りました。
雲取山、江ノ島は被告がルート検索していたのを確認しました。
他に確認したのは、鹿島神宮、鹿島ハイツ、伊勢神宮、道の駅富士川楽座、駿河健康ランド、会津若松駅、会津桧原駅、高崎駅、行田市などです。
ドコモ以外の脅迫も被告と関連付けていたと説明しているが、こじつけのようなものも多いと思う。
実際弁護士からも、これらの事柄が被告と関連があるという主張はされなかった。
ルート検索は、本当に被告が検索していたとしたら、被告ならば検察が提出した証拠を見てその履歴を書けることになる。
検察が証拠としていなかった場合は、犯人がデタラメを書いたかどうか、被告以外には確認できない。
ドコモショップのトラブルは、被告の2ちゃんねるへの書き込みを見たのではなく、被告がトラブルの内容を書いてPCに保存したtextファイルを見て知ったとして、副店長の名前の事など具体的に書いているが、次の5月19日の記者会見の13分30秒ぐらいで、弁護士が、被告の自宅のPCからそのファイル自体は見つかっていないと説明していた。
http://www.youtube.com/watch?v=Wu1Tgk60Bmg
このtextファイルの存在を裏付けるデータが無く、実際には被告はそのようなファイルは作成していなかったと考えられる。
弁護士は、履歴書やこのtextファイルが保存されていたという裏付けの証拠が無いまま、犯人と被告の言い分を頼りに、真犯人は被告のPC中のファイルを覗いていたと主張していたことになる。
被告が作成したVisualC#のプロジェクトを利用したという主張
■iesysの正体
iesysは元はegserviceという名前のVC#プロジェクトでした。
egserviceは被告のIP【60.36.185.80】の会社のPCから盗んできたものです。
リネームの上、AssemblyInfo.csなどビルド情報をそのままにしたまま、全く違うプログラムに改造しました。
インストーラであるcofeeも盗んだものです。こちらは元の名前のままです。
つまり、事件に関連する実行ファイルのいくつかは、元は被告本人か同じ会社の人が保存していたVC#のプロジェクトファイルというわけです。
元のはもう保存してないのでどんなプロジェクトだったかは忘れましたが、どれも小さいWindowsFormApplicationだったはずです。
被告PCからそれらプロジェクトのソースが発見されたor復元されたとすれば、内容がiesysとは全く違うとは言え、GUIDが完全一致してるはず。
検察はこれを「被告が犯人」の根拠にしてると想像しています。
3.4×10の38乗通りのパターンを持つ.NetのGUID(128bit)が一致したならさすがに宇宙規模の奇跡ですよね。
iesys等のバイナリからから検出されているPCの情報、"TKY_DEV_PC07"とか"TKY_DEV_PC07_2"とか"Hewlett Packard"とかの文字列は、
盗んだプロジェクト内のAssemblyInfo.csで定義されてるので、どこでコンパイルしようとそのまま反映されるというわけです。
...というのがiesysやその他のプロジェクトと被告PC痕跡の関連についてのタネ明かしでした。
記者会見映像とか見ると、被告は自分で保存していたegserviceやcofeeなど「元プロジェクト」の名前についてはすっかり忘れているかもしれないですね。
(cofeeなんてのは被告が付けた名前だと思います。エフがひとつ足りないよーーーって思ってました)
こっちからファイルを置く・消すをしただけの、つまり故意に埋め込んだものもありますし、被告PCをiesysのテストに使ったりもしました。
したらば、autoカテゴリ6682 パスワード:yakisoba これも、放置してたようなので使わせてもらいました。
11分30秒ぐらい、(cofeeの質問に対し)(被告)自分では細かいプロジェクトファイルにどういう名前をつけたかあまり覚えていないが、確かにそう言われるとありうる話である。
14分ぐらい、(iesysの痕跡をこの方法で残せるのかという質問に対し)(特別弁護人)普通にできる。
egserviceという名前自体がiesysと全然関係無いのが疑問だったが、元々あったものを改造したものと考えれば分かりやすい。
真犯人が被告が作ったものを利用したというのはありうる。
設定情報はプロジェクトファイルを最初に作った時に作成されるので、最初に作ったPCからプロジェクトファイル全体を移し替えれば同じようにコンパイルされる。
egserviceやcofeeは元々被告が会社でVisual StudioでC#で開発したプロジェクトで、その内容を作り変えたのでiesysのバイナリに被告PCの情報が残っていると説明している。
アセンブリとは、Microsoft .NETにおけるコード管理の基本単位となるコンパイル済みの実行コードである。
http://e-words.jp/w/E382A2E382BBE383B3E38396E383AA.html
Visual Studio2010でプロジェクトを作成するとAssemblyInfo.csというファイルにアセンブリ情報が記録されるが、次の記事のように、ビルドされたPCのユーザー名やパスは作成者が記載しない限り記録されない。
http://www.atmarkit.co.jp/fdotnet/dotnettips/407versioninfo/versioninfo.html
iesysの表層解析により判明した「TKY_DEV_PC07_2」などのアカウントやF\Vprojなどのパスは、アセンブリ情報ではなく、iesysのデバッグ関連のデータのバイナリから検出されたのだと思う。
被告の勤務先PCからはTrueCryptで暗号化されたFボリューム内のウイルスそのものは復元できず、証拠はパスの痕跡だけだと弁護士も説明しているので、この真犯人が言っているGUIDは被告PCの何の痕跡と一致したと言っているのかよく分からない。
弁護士が説明していない、C直下に保存されていたというiesys.exeの類似ウイルスと一致したという証拠でもあるのだろうか。
このメールを送信した被告が、かく乱するために敢えて間違ったことを書いたのか、それとも被告自身痕跡の証拠についてあまり把握できていないのか、意図が不明だと思った。
そもそも被告は、証拠が開示される前はC#でプログラムを書いたことが無いと言っていたのに、この真犯人の説明によれば、C#でいくつかプロジェクトを作成したこと自体を忘れていたことになり、被告の供述がまた変遷して信憑性が更に低下することになったと思う。
Visual Studioはインストールして使ったことがないと言っていたのに、インストールとアンインストールを繰り返して継続使用の認証も受けたことを忘れていたというのはかなり不自然だろう。
真犯人は説明によれば、被告の職場PCのTrueCryptの隠しボリュームFのvprojというフォルダにあらかじめ保存されていたC#のプロジェクトを利用したと説明しているが、被告は、3月5日被告保釈後の記者会見で、Fボリュームの中のvprojはおそらく隠しフォルダになっていたので見えなかったと言っていて、以前は被告が知らないと言っていたフォルダ内に被告がプロジェクトを保存していたことになり、被告の発言が決定的に矛盾することになる。
被告はこのメールを受けて、以前自分でvprojというフォルダを作成したが忘れていたと主張せざるをえないことになったと思うが、2012年まで数回業務用のプロジェクトを保存し、自分で名前を付けて隠しフォルダに設定していたフォルダ名を見ても思い出さなかったというのはかなり苦しい弁明だと思う。
F内のvprojフォルダは、TrueCryptで更に暗号化して隠していた可能性が高く、被告の説明に沿えば、業務規程に違反するからという理由でTrueCryptで隠しボリュームに設定して自宅やネットカフェで共用して使っていたと考えられるフォルダの中に、隠す必要が無い業務で使ったプログラムをわざわざ保存していたというのもかなり不自然だと思う。
「TKY-DEV-PC07_2」のアカウントは、2011年11月以前より被告が使っていた期間の内、2012年7月始めから9月末まで使われていたことが証拠上明らかになっており、真犯人の説明によれば被告がこのアカウントを使っていたことになる。
このアカウントは主にこの事件のウイルス関連の作業をした痕跡があるので、このまま公判が進めば被告には作成した目的や利用状況について説明が求められるところだっただろう。
3月20日第4回公判(2)に、このアカウントで2012年7月12日から9月18日までVisual Studioが2回にインストールとアンインストールされている証拠があり、被告が作業したのであれば、それを忘れていたというのは不自然な主張であると思う。
被告職場PCのVisual StudioのTemporary Projectsの痕跡によれば、「TKY-DEV-PC07_2」でFボリューム内に、iesysの元のプロジェクトのegserviceとcofeeの他に、iesysの命令暗号化プログラムのCryptTool、感染させるフリーソフトであるChikanとDamも存在していたことになるが、これらのプログラムついては真犯人は何も言及しておらず、これも被告が作成したC#のプロジェクトを利用したというのなら、vprojフォルダの存在自体を忘れていたという供述が更に不自然なものとなる。
またそう何度もわざわざTrueCryptで復号化して仮想ドライブとして認識されている時間中しか利用できないボリュームの中のプロジェクトを利用し、被告が遠隔操作でそんな作業をされていることに気づかなかったことになる真犯人の主張もかなり非現実的なものとなるだろう。
他に、PCのUSN Change journalのFボリューム内で2012年7月26日にiesys.exeおよびフォルダ「iesys」の作成・削除した痕跡や、Grep Replaceによる検索・置換履歴、サクラエディタによるphpファイルの編集の痕跡などもあり、これらの痕跡をどうやって残したのか何も説明が無い。
真犯人のアセンブリ情報の説明が正しくなかったとしても、この方法ならiesysの開発自体は被告PC以外の場所で行いiesysのバイナリに被告PCのパスの情報を残すことができるかもしれないが、検察の、「イベントログ」「ファイルスラック領域」「レジストリ」「USN Change Journal」など多種類の痕跡が、整合性を保ったまま、たまたま同名の痕跡として残すことは非現実的であるという主張の主な部分に対しては反論できていないし、また長期間にわたりPCを遠隔操作してその痕跡を全く残さないことはほとんど無理であるという主張に対する説明もしていない。
ファイルスラックの認識
「ファイルスラック」とかは知らなかったです。
最近の公判報告サイトで原理を知りましたが、そのストレージ内に以前そういうデータがあった痕跡なら、あってもおかしくないですね。
むしろ言及されていないのが不思議なこととして、ファイルスラックではない普通の削除済み領域からはあまり復元されてないのかしら?
のちに誰かがデフラグ&ゼロフィルしたのかな?
検察も弁護もファイルスラックのことばかり言うのが少しヘンだなと思います。
40分30秒ぐらい、痕跡は削除領域からも若干出てはいるが、元のHDDが9割ぐらい埋まっていて、被告が使った以降も満杯になっては消しているのでほぼ残りえなかったというだけである。
ディスクがもっと空いていれば削除領域からもっと出てきた。
犯人がファイルスラックを知らなかったとしたら、そこに痕跡が残ることを前提として被告に擦り付ける証拠を残さないはずなので、発言と行動が矛盾しているように思う。
真犯人は本当は削除領域に痕跡を残すつもりで、実際はあまり残らなかったという主張なら一応辻褄は合うかもしれないが、ファイルスラックを知らないのに、結果的に削除領域ではなくファイルスラックに残ることを前提としたような多数の複雑な痕跡を残して擦り付けることを考え、実際にファイルスラックに大半の痕跡が残っているのは不自然だろう。
ファイルスラックは意図して残すことが難しく、遠隔操作によって整合性を保って矛盾なく事実と違う痕跡を残すことは難しいと一般的に言えるだろう。
セロハンテープから検出されたDNAの説明
・ネコセロテープから検出されたDNA
不一致で当然。被告のDNAでも私のでもないはずです。
とあるスーパーマーケットのレジの先の荷造り台に設置してあったセロテープです。
他の買い物客が触りかけてやめたものをゲットしてきたというわけです。
できれば粘着面に誰かの指紋ベッタリ付いてるのを欲しかったのですが、長居してたら不審者に思われるので、適当なものを入手。
被告が犯行について自供した後の説明では、この部分は嘘で、被告は江の島のトイレで首輪にセロハンテープを巻いたと言っていた。
このメールの説明なら、江の島ではなくもっと前の時点で巻く作業をしたと想像するのが普通と思うので、被告は、第三者のDNAが検出されたことを利用して、かく乱のために嘘を書いた可能性があるかもしれない。
以前犯人が使っていたyahooアカウントへのアクセス
・onigoroshijuzo2へのアクセス履歴について、
去年2月当時「被告を逮捕したらアクセスが止まった」発表がありましたが、警察のデマです。
正確には1/5未明にメールを送信してから1年以上、ずっとログインしていません。
なお、最近ログインしたらアカウントは生きてたものの、メールボックスは凍結されてました。
警察発表のデマを佐藤弁護士が糾弾しまくってますが、ここのところは言ってないのでフォローしておきます。
警察って本当にヒドイですねーーー
以前に、被告の逮捕直前まで頻繁にTorで犯人のアカウントにアクセスがあり、逮捕直後に途絶えたという報道があったが、犯人は1月5日のメール送信以降アクセスしていなかったようである。
警察は通信記録を把握しているはずなので、真犯人がこの点ですぐに嘘と分かるような嘘をつく意味は無いだろう。
直前という表現で1ヶ月以上前の時点を指すのはおかしいと思うが、被告の逮捕以後1年経過した最近までアクセスが無かったのなら、やはり他に犯人がいない可能性が高いのではという印象を受けるのも無理はないと思う。
最近ログインしたと書いているが、後に被告は、河川敷でこのメールをこのアカウントから送信しようとしたができず、別のアカウントを作成して送信したと自供していて、仮に事前にログインしたならこの前にメールボックスが凍結していることを知ることになり、河川敷でログインする必要は無いと思うので、被告が保釈後初めてログインしてメールボックスが凍結されていることを確認したのは、このメールを送信する正に直前ということになると思う。
首相官邸と部落解放同盟への脅迫文の秘密の暴露
5分40秒ぐらい、このメールに犯人が犯行声明メールで犯行を示唆した13件のうち首相官邸と部落解放同盟の2件の秘密の暴露の脅迫文が書かれており、起訴されていない事件なので重要である。
こういうメールが届いたことは被害者も知っているが捜査当局も知っているはずで、この脅迫文の内容は弁護側も知らないことだが、捜査当局は十分分かる。
25分ぐらい、(被告)家の中の記憶媒体は全部押収されて何も残ってない。
39分ぐらい、(被告)秘密の暴露の脅迫メールは今日初めて見た。
(弁護士)被告の所からはPC等一切が押収されているので、この脅迫メールの文言が完全に忠実に再現されているとすれば、当時のデータをどこかに隠してでもいない限り、被告でも完全に再現できない。
真犯人は、犯人が2012年10月の犯行声明メールで関与を認めた13件の犯行のうち、起訴されていない首相官邸と部落解放同盟への脅迫の内容を書いて秘密の暴露とするつもりだったらしい。
弁護士も被告もこの2件の脅迫の内容は知らなかったと言っているが、次のTBSの報道の書き起こし記事によれば、この脅迫文の文面は検察側が提出した証拠に含まれていて、被告は内容を知っていたらしい。
http://o.x0.com/m/35879
この真犯人からのメールには、被告が犯人だった場合にどこか外部に情報を保存していないと書けない、真犯人の秘密の暴露に当たる内容の記載は無かったことになる。
被告所有PCの通信の監視
2分ぐらい、普段使っているPCは、自宅に置いている時は電源オンかスリープにしていて、パケット警察というソフトがどういう通信をしたか記録している。
29分ぐらい(被告)ノートPCを一台買って、ソフトイーサという会社が作った、一昨年遠隔操作事件が話題になり始めた時にこの会社が無料で公開し始めたパケット警察というソフトで、IT、サイバー犯罪から身を守るためのソフトという位置づけのものであり、PCでパケット通信をする時に通信記録を全部取っており、自分では解除できない。
(特別弁護人)いわゆる監査系のソフトで、被告の作業を止めるわけではないが、変なことをすれば後で分かる予防的なソフトであり、例えばtorを使っていれば分かる。
ただパケットの中身までは記録していないので、正しい操作をして悪いこと、例えばGメールで誰かに送ってその内容に基づいて誰かに悪いことを指示していると分からない。
33分50秒ぐらい(被告)少なくともこの二か月間は、ネットカフェとか公共の誰でも使えるPCには一切触れてない。
スマホで事件のことをかなり調べたりしているが、スマホに関しては監視は特に無い。
35分ぐらい、PCは一日数時間使っている。
36分50秒ぐらい、(弁護士)保釈の条件として、PCの通信とか利用に関しては全く書いていない。
(それでも管理下に置いたのは被告が自発的にそうしたのかという質問に対し)おっしゃる通り。
まず検察官から(保釈)反対の理由として(自作自演が)懸念されていて、しかも私達はメールが来れば終わるサドンデス状態でいつでも終わると言っているわけで、メールが届けば被告がまず疑われるだろうということは分かっていたので、そういうことにならないようにしようとしていた。
今日こういうことがあることを予想して行動していたのは事実である。
下記はパケット警察のサイトである。
http://www2.softether.jp/jp/packetpolice/
このソフトは、PCが悪意ある第三者に遠隔操作されてユーザーが意図しない通信をした場合に、ユーザーが気付かないうちに隠れてマルウェアなどが動いていたかどうか監視して証明するためのソフトであり、そのユーザー自身が故意に監視をすり抜けて通信したりしていないことを証明するためのものではないだろう。
このソフトの開発者の方が、この弁護側の方針について意見を述べている。
https://www.facebook.com/dnobori/posts/620979891311987
弁護士が設定用パスワードを管理していたということであるが、たとえそのような構成でコンピュータのネットワークインターフェイスカード (NIC) の通信をすべて「パケット警察」で監視してログに保存していたとしていても、「ある通信を行っていない」ことを証明することはできないのではないか。
もともと、「パケット警察」は「ある通信が行われた」ことを後から証明するための助けになるツールであり (訴訟になったときに証拠能力があるかないかは、個別ケースや残っている証拠の状態によって異なるので、ここで議論しても仕方がない)、「ある通信が行われていない」ことを証明するためのツールではない。
パケット警察は初期設定時にどの NIC の通信を監視するのかを設定するので、設定後に追加されたNICは監視しないと説明している。
しかしこのNICを追加する際に残るレジストリなどの痕跡を消すのは相当難しいらしく、この事件の犯人が行うのはほとんど非現実的と言えるかもしれない。
ちなみにこの方が述べている意見は、検察の、被告の職場PCに残った多種多様な相互に矛盾しない痕跡について、遠隔操作した際に残る痕跡自体は全く残さず、意図的に残したい痕跡だけを残すことはほぼ不可能という主張と同じようなことを言っていると思う。
いずれにしても、弁護側が監視していたのは被告が所有していたPCの通信だけであり、所持していたスマホによる通信や他の被告の行動は把握していなかった。
パケット警察のパスワードやログの管理状態も、弁護人と被告人間で取り決めたルールに基づいているに過ぎず、その二者間で厳格に守られたことが証明できるものでもないと思うので、公判で通用するような主張だったかは疑問である。
5月19日の会見によれば、被告が河川敷からメールを送信した日である5月15日の被告の行動を弁護士は全く把握していなかったと説明していて、仮に被告が保釈中に何らかの方法でネットカフェ等の公共の通信を使っていても、弁護士は把握できなかっただろうし、3月6日週刊朝日用インタビュー詳細によれば、被告は保釈された当日に早くもホテルでネットに接続していた。
被告は、保釈中に実際に弁護士に隠れてスマートフォンやプリペイドSIMカード、秘密のPCを入手していた。
犯人はラストメッセージで自身の逮捕の可能性を現実的に想定していて、被告が最初からその気であれば、自身の逮捕前に秘密の暴露に当たる情報をオンラインストレージや外部メディアに残しておき、秘密の通信手段も確保して隠しておけば、実際に河川敷でスマホを埋めるような方法よりも警察が把握しづらい方法を使ってアリバイ工作ができた可能性もあるかもしれない。
警察が、保釈後の被告の行動を把握し自宅とスマホの通信も検証できる可能性がかなり高く、被告がそれを掻い潜って何か工作するのは困難とはいえ、監視がどの程度のものなのか外部から証明できるとは限らないし、仮に弁護側が、被告が不審な行動をしていれば警察も把握するはずだという他力本願な主張をしていたとしても、公判でどの程度認められるかは疑問だっただろう。
"真犯人からのメール(1)" へのコメントを書く