新城@筑波大学です。こんにちは。

kono@ie.u-ryukyu.ac.jp (Shinji KONO) writes:
>     http://bylines.news.yahoo.co.jp/egawashoko/20140311-00033448/
> なんだけど、TrueCrypot 領域に Visual C# 2010 Express に入れてたみたいな
> のがファイル削除のゴミから見つかったみたいですね。TrueCrypot って、
> こんなゴミが残るようなタコなものなんですか? Mac にも Secure Empty Trash はあるのに。

この辺り、技術的によく分からないことがあります。TrueCrypt という、
Windows 用の暗号化された仮想ドライブを使って F: ドライブを作って使って
いたという話があります。その暗号化されたデータ自体は普通のハードディス
ク(C: ドライブ)に残っていたということなのでしょう。でも、TrueCrypt なら
ば、暗号化されているはずなので、文字列がそのまま見える形で C: に残るは
ずはありません。となると、C: に残っていたのは、F: へのパス名のようなも
のが残っていたということなのでしょうか。

あと、痕跡が残っていたこと自体が非常に怪しいとも言えます。普通、悪いこ
とをする人は、そういう痕跡を残すようなことはしません。ssh で攻撃するな
ら、踏み台を何台も経由するし、ソフトウェア開発なら、私なら VM を使って
痕跡を消します。痕跡が残っていたとすると、犯人がわざと痕跡を残したと考
えるのが自然です。ネットワークで攻撃を受けたら、それは踏み台だと考える
のが自然なように。(どこかの国が、サイバー攻撃に反撃するような話をしてま
したが、それは踏み台を攻撃するだけで意味がありません。)

あと、Visual Studio Express の問題も残っています。犯罪に使われていた
iesys.exe は、Express がつかない製品版でコンパイルされていたという話を
昔聞いた気がします。その製品版がインストールされた痕跡は、片山さんが使っ
ていたコンピュータには存在しないと。その話は、どうなったのかなあ。(片
山さんはウイルス作成罪では起訴されていません。検察としては、ウイルス作
成罪も起訴したかったのでしょうが、その証拠が集められなかったのでしよう。)

それから、論理学の話もあります。今は、次の命題が問題です。

  「片山さんが犯人」ならば「痕跡が残っている」
        
今は、その逆の話が出ています。

  「痕跡が残っている」ならば「片山さんが犯人」

論理学では逆は真ではありません。というのも、次のどちらも成り立つからです。

  「片山さんが犯人」ならば「痕跡が残っている」
  「片山さんが以外の人が犯人」ならば「痕跡が残っている」

検察がすべきことは、下の可能性を0にすることです。これが0にできないな
ら、片山さんは無罪です。これが推定無罪の原則です。過去の遠隔操作事件で
誤認逮捕起訴された人と同じ話になります。

この辺りの論理の話は、次のビデオ記事の後半に出ていました。前半は面白く
ありません。後半の 1:00 くらい、宮台真司さんが出た辺りが論理の話。

    http://www.videonews.com/news-commentary/0001_3/003205.php
    ニュース・コメンタリー (2014年03月08日)
    遠隔操作ウイルス事件裁判で問われているもの
    ゲスト:落合洋司氏(弁護士・元検事) 

> 遠隔操作されたとすれば、この辺りも操作可能だとは思うけど、2011 年からの
> 履歴だと、結構、 厳しいかな〜

痕跡が多く残っているのは、片山さんにとっては有利な話のはずです。どれか
一つでもアリバイが成立したら、片山さん無罪で終わりです。

もちろん、時計をずらしてアリバイをごまかすのは可能です。でも、そんな時
計をずらすくらいのことをやるくらないなら、そもそも痕跡を残すようなバカ
なことはやらないでしょう。誰か同僚に見つかる危険性を犯しながら、派遣先
のコンピュータを使って変なプログラムを開発するようなバカなこともやらな
いでしょう。犯人がそんなバカとは思えません。(コンピュータの時計が信用で
きないということになると、2011年からどうのという話もまったく意味がなく
なります。)

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 システム情報系     \\