FDデータ改ざん、痕跡はこうして残る

(1/2ページ)
2010/9/23付
共有
保存
印刷
その他

大阪地検特捜部の元主任検事による押収資料改ざん事件で、逮捕された容疑者を乗せて大阪拘置所に入る車(21日、大阪市)=共同
画像の拡大

大阪地検特捜部の元主任検事による押収資料改ざん事件で、逮捕された容疑者を乗せて大阪拘置所に入る車(21日、大阪市)=共同

 大阪地検特捜部の元主任検事が証拠隠滅容疑で逮捕された事件で、捜査資料のフロッピーディスク(FD)の中身を改ざんするのに使ったとされる専用ソフト。ファイルの更新日時などを書き換えられる「タイムスタンプ変更ツール」とも呼ばれている。

 こうしたツールは本来、「CD-ROMに格納して販売するソフトのファイルの更新時間をそろえたり、所定の期日に納入した電子文書を修正してから納期前の日付にさかのぼって変更したりする用途で使われる」(セキュリティー会社ラックの西本逸郎取締役)という。現在は、有料から無料のものまで多数のソフトがダウンロードサイトから簡単に入手できる。

ファイルに残る2種類の日付データ

 改ざんされたワープロ文書の更新日時は、ファイルの「プロパティ」と呼ぶ欄に記載されている。ここにはファイルの「名称」「種類」「データサイズ」のほか、タイムスタンプと呼ぶ「作成日時」「更新日時」「アクセス日時」などが自動的に記録される。

 このタイムスタンプは通常、手動で書き換えることはできないが、変更ツールを使うと任意の日時に変えることができるようになる。今回の事件では、更新日時を本来の「2004年6月1日」から「2004年6月8日」に書き換えたとされる。

「ワード」で作成した文書ファイルのプロパティ画面。作成日時、更新日時、アクセス日時などが自動で記録されている
画像の拡大

「ワード」で作成した文書ファイルのプロパティ画面。作成日時、更新日時、アクセス日時などが自動で記録されている

変更ツールを使うと、タイムスタンプを書き換えられるようになる(使用した変更ツールは事件とは関係ありません)
画像の拡大

変更ツールを使うと、タイムスタンプを書き換えられるようになる(使用した変更ツールは事件とは関係ありません)


 しかし、FDに記録された文書ファイルは、大きく二つの日付データで管理されている。一つは「Windows」などの基本ソフト(OS)がファイル管理用に記録している日付データ。もう一つは、マイクロソフトの「ワード」などアプリケーションソフトが独自にファイルの中に記録する日付データだ。通常のテキストファイルは前者だけしかない。後者は、アプリケーションソフトが文書の作成者や更新日付、更新履歴といった情報をファイル内に埋め込んで記録し、アプリケーションソフトごとに個別の方式でファイルの中に格納している。ワードの場合、この二つの日付データは、プロパティ情報として別々に管理されており、解析ソフトなどを使わなくても照合できる。

 このうちOSの日付データだけを変更ツールで書き換えても、アプリケーションソフトが記録した日付と照合することで二つの日付に矛盾が生じてしまう。結果として、日付データがなんらかの形で改ざんされたことを確認できるわけだ。一般に使っているだけでは気付きにくいが、アプリケーションソフトは表から見えない多くの情報をファイルに記録している。

 もちろん一部には、OSが認識する日付データだけでなく、アプリケーションソフトが記録する日付まで変更できる機能を備えたツールもある。しかし、日付情報以外でファイルが書き換えられた痕跡を見つけ出す方法も存在している。

  • 前へ
  • 1ページ
  • 2ページ
  • 次へ
共有
保存
印刷
その他

電子版トップ

【PR】

【PR】

主要ジャンル速報

北海道 21日 2:00
21日 2:00
東北 21日 2:00
21日 2:00
関東 21日 12:22
21日 2:00
東京 20日 21:50
20日 21:40
信越 21日 2:00
20日 22:00
東海 21日 22:15
21日 20:30
北陸 20日 21:30
20日 21:30
関西 21日 18:17
21日 16:16
中国 21日 2:00
21日 2:00
四国 21日 1:31
21日 1:31
九州
沖縄
21日 19:43
21日 12:30

【PR】



日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報