最近、大きく世間を揺るがした(揺るがしている)検察による証拠改ざんだが、最初の一報から気になっていたことがあった。それは、フロッピィディスクの日付の改竄という手法がいかに成され、それがどういう結果を伴ったのかということにある。ご存じの方はご存じのように、3.5インチフロッピィディスク(2HDというよりは1.44MBといった方が今は通じやすいか)はクラスタ数の関係から、Windowsで利用するものはFAT12フォーマットにしかならないはずで、それほど日付・時刻の改ざんは難しくない(NTFSとの比較ではものすごく簡単)のはもちろん、逆にどうしたら改ざんがばれてしまうのかという疑義を持ったのである。
FAT12におけるファイルエントリは、以下のようになっている。
- 8.3形式の名前(11 bytes)
- 固定値(0x20, 1 bytes)
- 属性(1 bytes)
- 作成時刻(3 bytes)
- 作成日付(2 bytes)
- 最終アクセス日付(2 bytes)
- 固定値(0x0000, 2 bytes)
- 最終更新時刻(2 bytes)
- 最終更新日付(2 bytes)
- ファイルアロケーションテーブル(FAT)開始クラスタ番号(2 bytes)
- ファイルサイズ(4 bytes)
この32 bytesがいわゆるファイル情報であり、ここにファイル作成日付等がすべて格納されているのである。ちなみにロングファイルネーム(8.3形式ではない名前)は別に格納されている。これは過去との互換性(8.3形式しかサポートしていないDOSやWindowsとの互換性)に基づくもので、ファイルの日付・時刻改ざんには関係しないのでここでは採り上げない。
以上を確認すればわかるように、フロッピィディスクに格納されているファイルの日付等を改ざんするには、
- 作成時刻(3 bytes)
- 作成日付(2 bytes)
- 最終アクセス日付(2 bytes)
- 最終更新時刻(2 bytes)
- 最終更新日付(2 bytes)
の5か所を変更すればいいだけで、Windows NT系列の標準であるNTFS(複数のバージョンがあるがここでは違いにこだわらない)での改ざんと比べれば、天と地ほどの違いがある。ただし、これをOS(ファイルシステム)の助けを借りずに変更するには、特別なプログラム(ツール)を利用しなければできない。かつて、フロッピィディスクプロテクト(簡単にコピーされない機構)華やかなりし頃、いわゆるディスクエディタを使ってバイト(bytes)単位で書き換えるということが行われていたが、このようなプログラムを利用しない限り、通常の方法で作為的書き換えは困難ではある。だが、特別なそれ専用のプログラム(アプリケーション)があれば、書き換え自体はどうという問題ではなく、日付の矛盾なども、作成日時と更新日時、そしてアクセス日時(正確にはFAT12においては時刻は記録されないので作成日)しかないので「作成日時 → 更新日時 → アクセス日時」さえ成立すれば、完全な改ざんは成立するのである(フロッピィディスクの表面に添付されている磁性体の変化がいつ成されたかという化学変化でやられてしまうとアウトっぽいが…)。
だが、この記事(「FD改ざん「あまりに稚拙」 矛盾ない書き換えは困難」by asahi.com)が事実であるのなら衝撃だ。
本記事によれば、Windowsで動作するアプリケーションプログラム「FileVisor」で実行されたものだという。古くからのWindowsユーザであれば懐かしい名前となる「FileVisor」。私も20世紀には使ったことがある、いわゆるファイラと呼ばれるソフトウェアで、Windows標準のExplorer(それ以前のプログラムマネージャ)の使い勝手があまりにもひどかったので、ファイラが百花繚乱となった頃に登場したが、未だにこれが現役だったことにまず驚いた(作者の方、失礼!)。そして、FileVisorのタイムスタンプ変更機能とやらを使って書き換えたという。ホントか、おい!?と思うような改ざんである。これだけでは、「作成日時 → 更新日時 → アクセス日時」が成立しなくなるのは自明である。
だが、もっと驚くべきことが書かれている。それは、
「朝日新聞の依頼でFDの解析をした大手情報セキュリティー会社によると、タイムスタンプ変更機能を使えば、表面的な日時は書き換えることができるが、ファイル内の様々な日時情報を矛盾なく整合させるのは、コンピューターの専門知識があってもかなり困難という。 」
とある部分で、「コンピューターの専門知識があってもかなり困難」というところにある。確かに、NTFSにおいてはファイル単体のみの改ざんだけでは矛盾をつぶしきれないなど、書き換えの手間以上に矛盾を来さないようにすることが困難なのは間違いない。だが、相手はFAT12である。FAT12においては上に示したように、たったの3つの日時を調整するだけで成立する。前田容疑者にとっては難しいことだったかもしれないが、「コンピューターの専門知識があってもかなり困難」というのはおかしいだろう。本当にこのコメントを発したとするなら、大手情報セキュリティー会社の資質を疑うが、この手の記事は記者の思い込みが激しいと、いかに適切なコメントを述べていても勝手に記事を創作してしまう傾向が高いので記者のレベルが前田容疑者並に低いのだろう。
結局のところ「あまりに稚拙」なのは、前田容疑者だけではないと感じつつ、この記事の真偽を疑うこととなってしまったかと思いながら、今回はここまで。
最近のコメント