誤認逮捕もあったPC遠隔操作事件、表面化したフォレンジックの功罪

有料会員限定記事　現在は登録会員（無料）の方も閲覧可能です

　Winny事件、PC遠隔操作事件、ベネッセ漏洩事件…日本のITを揺るがしたIT刑事事件を、日経BPの雑誌記事、Web記事などを基に振り返る。

　東京地方裁判所は2015年2月、IT関連会社元社員に懲役8年（求刑同10年）の実刑を言い渡した。検察と元社員側はいずれも控訴せず、判決は確定した。

　元社員はいわゆる「PC遠隔操作事件」の実行犯である。2012年6月から9月にかけて、自作のマルウエアを他人のPCに感染させて遠隔操作し、幼稚園の襲撃や航空機の爆破など複数の犯罪予告を掲示板に書き込んだ。

　この事件はコンピュータの中にあるデータを解析して証拠化する技術である「デジタルフォレンジック」が様々な場面で活用され、その功罪を明らかにした事件でもあった。

　刑事事件におけるデジタルフォレンジックは捜査機関が押収したHDDやフラッシュメモリーといったストレージから全データをコピー、保全し、解析する。例えばHDDの場合、HDDに保存された全データを、削除ファイルのデータや断片化されたデータを含めてコピーして、保全する。

　保全したデータは様々な手法による解析が実施され、そこから驚くほど多様な情報が得られる。たとえ犯人が証拠となるファイルを消去していたとしても、その痕跡を捉えることが可能になる。

　デジタルフォレンジックの技術は発展途上であり、その一方でフォレンジックをかいくぐる犯罪者側の技術も日進月歩である。PC遠隔操作事件は犯罪捜査や裁判におけるデジタルフォレンジックの扱いについて、多くの教訓を残すことになった。以下、PC遠隔操作事件の経過を振り返ろう。

履歴に残されたIPアドレスから誤認逮捕

　警察は2012年7月から9月にかけて、犯罪予告の書き込みの履歴に残っていたIPアドレスに基づき、計4人のPC所有者を逮捕した。

　警察はPC所有者が犯行を否認した2つのケースについて、押収したPCにデジタルフォレンジックを試みたが、当初は遠隔操作の痕跡を発見できなかった。痕跡を発見できなかったこと自体が、「確かに本人が犯行予告を書き込んだ」ことの証明として扱われ、結果的に無実の人間に罪をかぶせてしまった。

　その後、9月に逮捕されたケースで、警察は押収したPCからマルウエアによる遠隔操作の痕跡を発見。さらに10月には元社員が「真犯人」と名乗り弁護士やメディアなどに手口を示すメールを送付し、4件がいずれも誤認逮捕であることが明らかになった。

　一方で元社員は、遠隔操作の指示やメール送付などに匿名化通信ソフト「Tor」などの手段を使い、警察の追跡を逃れていた。