2010年9月24日金曜日

ファイル更新日時の「更新」を検知する方法

asahi.com(朝日新聞社):検事、押収資料改ざんか 捜査見立て通りに 郵便不正 - 地検改ざん疑惑より引用。

このため、朝日新聞が大手情報セキュリティー会社(東京)にFDの解析を依頼。本来は「6月1日」であるべき最終更新日時が「6月8日」と書き換えられていた。その書き換えは昨年7月13日午後だったことも判明。この日はFDを上村被告側に返す3日前だった。

「検事がフロッピーディスクに保存されたファイルの更新日時を修正した」というニュースを聞いたとき、私は「それをどうやって検知したのだろう」と疑問に思った。なぜなら、Windowsの場合はファイル更新日といったファイル属性を変更したときの日時は残らないからだ。(Linuxの場合はctimeに記録されるので、それを調べることは可能だが・・・。)同じような疑問を小飼氏がブログにポストしている。

  • 404 Blog Not Found:News - 前田検事が使ったツールって何だろ?
  • しかし、この記事のはてブ経由で知った「FDデータ改ざん、痕跡はこうして残る  :日本経済新聞」を読み、OSが記録するタイムスタンプとWord文書内のファイル更新日時との矛盾からファイル改ざんを検知したと知り、少しだけ納得した。残念ながら当該記事にどうやって「昨年7月13日午後」という具体的な改ざん時期を判定したかまでは解説していなかったが、矛盾なくファイルを改ざんすることは非常に困難らしい。まさに「天網恢恢疎にして漏らさず」といったところだろうか。

    ところで、逮捕された検事の言い分も不可解だった。

    主任検事は「上村被告によるFDデータの改ざんの有無を確認するために専用ソフトを使った」と説明したとされるが、同社の担当者によると、このソフトはデータを書き換える際に使われるもので、改ざんの有無をチェックする機能はないという。

    Winnyによる情報漏えいが頻発していたころ、事故を起こした人が「バックアップのため」とか「業務上のメールを整理するため」といった理由でWinnyインストールの言い訳をしていたことを思い出した。なんで、こんな0.5秒でばれるようなウソをつくのだろうか?

    0 件のコメント:

    コメントを投稿