最近、大きく世間を揺るがした(揺るがしている)検察による証拠改ざんだが、最初の一報から気になっていたことがあった。それは、フロッピィディスクの日付の改竄という手法がいかに成され、それがどういう結果を伴ったのかということにある。ご存じの方はご存じのように、3.5インチフロッピィディスク(2HDというよりは1.44MBといった方が今は通じやすいか)はクラスタ数の関係から、Windowsで利用するものはFAT12フォーマットにしかならないはずで、それほど日付・時刻の改ざんは難しくない(NTFSとの比較ではものすごく簡単)のはもちろん、逆にどうしたら改ざんがばれてしまうのかという疑義を持ったのである。
FAT12におけるファイルエントリは、以下のようになっている。
- 8.3形式の名前(11 bytes)
- 固定値(0x20, 1 bytes)
- 属性(1 bytes)
- 作成時刻(3 bytes)
- 作成日付(2 bytes)
- 最終アクセス日付(2 bytes)
- 固定値(0x0000, 2 bytes)
- 最終更新時刻(2 bytes)
- 最終更新日付(2 bytes)
- ファイルアロケーションテーブル(FAT)開始クラスタ番号(2 bytes)
- ファイルサイズ(4 bytes)
この32 bytesがいわゆるファイル情報であり、ここにファイル作成日付等がすべて格納されているのである。ちなみにロングファイルネーム(8.3形式ではない名前)は別に格納されている。これは過去との互換性(8.3形式しかサポートしていないDOSやWindowsとの互換性)に基づくもので、ファイルの日付・時刻改ざんには関係しないのでここでは採り上げない。
以上を確認すればわかるように、フロッピィディスクに格納されているファイルの日付等を改ざんするには、
- 作成時刻(3 bytes)
- 作成日付(2 bytes)
- 最終アクセス日付(2 bytes)
- 最終更新時刻(2 bytes)
- 最終更新日付(2 bytes)
の5か所を変更すればいいだけで、Windows NT系列の標準であるNTFS(複数のバージョンがあるがここでは違いにこだわらない)での改ざんと比べれば、天と地ほどの違いがある。ただし、これをOS(ファイルシステム)の助けを借りずに変更するには、特別なプログラム(ツール)を利用しなければできない。かつて、フロッピィディスクプロテクト(簡単にコピーされない機構)華やかなりし頃、いわゆるディスクエディタを使ってバイト(bytes)単位で書き換えるということが行われていたが、このようなプログラムを利用しない限り、通常の方法で作為的書き換えは困難ではある。だが、特別なそれ専用のプログラム(アプリケーション)があれば、書き換え自体はどうという問題ではなく、日付の矛盾なども、作成日時と更新日時、そしてアクセス日時(正確にはFAT12においては時刻は記録されないので作成日)しかないので「作成日時 → 更新日時 → アクセス日時」さえ成立すれば、完全な改ざんは成立するのである(フロッピィディスクの表面に添付されている磁性体の変化がいつ成されたかという化学変化でやられてしまうとアウトっぽいが…)。
だが、この記事(「FD改ざん「あまりに稚拙」 矛盾ない書き換えは困難」by asahi.com)が事実であるのなら衝撃だ。
本記事によれば、Windowsで動作するアプリケーションプログラム「FileVisor」で実行されたものだという。古くからのWindowsユーザであれば懐かしい名前となる「FileVisor」。私も20世紀には使ったことがある、いわゆるファイラと呼ばれるソフトウェアで、Windows標準のExplorer(それ以前のプログラムマネージャ)の使い勝手があまりにもひどかったので、ファイラが百花繚乱となった頃に登場したが、未だにこれが現役だったことにまず驚いた(作者の方、失礼!)。そして、FileVisorのタイムスタンプ変更機能とやらを使って書き換えたという。ホントか、おい!?と思うような改ざんである。これだけでは、「作成日時 → 更新日時 → アクセス日時」が成立しなくなるのは自明である。
だが、もっと驚くべきことが書かれている。それは、
「朝日新聞の依頼でFDの解析をした大手情報セキュリティー会社によると、タイムスタンプ変更機能を使えば、表面的な日時は書き換えることができるが、ファイル内の様々な日時情報を矛盾なく整合させるのは、コンピューターの専門知識があってもかなり困難という。 」
とある部分で、「コンピューターの専門知識があってもかなり困難」というところにある。確かに、NTFSにおいてはファイル単体のみの改ざんだけでは矛盾をつぶしきれないなど、書き換えの手間以上に矛盾を来さないようにすることが困難なのは間違いない。だが、相手はFAT12である。FAT12においては上に示したように、たったの3つの日時を調整するだけで成立する。前田容疑者にとっては難しいことだったかもしれないが、「コンピューターの専門知識があってもかなり困難」というのはおかしいだろう。本当にこのコメントを発したとするなら、大手情報セキュリティー会社の資質を疑うが、この手の記事は記者の思い込みが激しいと、いかに適切なコメントを述べていても勝手に記事を創作してしまう傾向が高いので記者のレベルが前田容疑者並に低いのだろう。
結局のところ「あまりに稚拙」なのは、前田容疑者だけではないと感じつつ、この記事の真偽を疑うこととなってしまったかと思いながら、今回はここまで。
事件発覚の真相はそんなに複雑で無かったはずです。
単純に、改竄前のフロッピー内のファイル名とその作成日が印刷されていたのです。
で、それを改竄してその状態で返却してしまった、という見れば馬鹿でも判る、というレベルのものだったはず。
むしろ、厖大な押収資料の中から、素人の村木元局長がその齟齬を拾い出せたことの方が驚愕の事実でしょう。
投稿情報: 夢望騎士 | 2010/09/28 09:58
なるほど、そうだったんですね。内部構造そうなっているとは知らなかったので、
attribコマンドで書き換えたのかと思っていました。(^^;
なんでツール使うの?まで思っていたんですね。恥ずかしい。
いずれにせよ、故意で無ければあり得ないことなのは確かです。
投稿情報: 志葉 京兵 | 2010/09/28 10:50
ディスクは被疑者の自宅で押収されたとのことですが、役所のディスクを勝手に自宅に持ち帰っていると言うことは文書の管理が杜撰であると言わざるをえない。内部情報が筒抜けであると言われていましたが、私も仕事の関係で官公庁と接触がありましたが、これは公然の秘密でした。何れにしても身体障害者の生き血を吸って利益を上げた会社は倒産しましたので、元凶は居なくなったと言うことです。
投稿情報: 木造院電車両マニア | 2010/09/29 00:18
コメントありがとうございます。
>むしろ、厖大な押収資料の中から、素人の村木元局長がその齟齬を拾い出せたことの方が驚愕の事実でしょう。
↑
疑いすぎ(勘ぐりすぎ)と言われれば反論の余地はないのですが、これって検察側(あるいは関係者)からリークされた情報に基づいて…ってことはないのかなという印象も。確かにいくら男女同権意識の高い厚労省と言っても、男社会の中で女性で局長だったのだからタダモノではなかったのでしょうが…。
>attribコマンドで書き換えたのかと思っていました。(^^;
↑
Windows 7でもATTRIBコマンドは健在です。もっともこれは「属性」を変更するものなので日付などは変えられませんが。複数のファイルを一度に変えるようなものは、まだまだコマンドライン系は有用です。
投稿情報: XWIN II | 2010/09/29 07:27