WindowsOSにおけるログ

技術

WindowsOSに備わっているシステムのログ機能は、ご存じの通りかなり弱いものになっています。例えば、UNIX系列のOSであれば、特別な設定をしなくてもOSブート時のログは残るに用になっているのが普通ですが、WindowsOSの場合は設定をしないと記録されません。もっとも記録する機能が無いわけではないので、単に初期設定値の問題である、とは言えますが。
しかし、最も厄介なのは現在備わっているシステムログの機能の弱さですね。確かに何らかの記録は出てくるのですが、そもそもこのログが何を意味しているのか、ここにあるこの記号や数字は何なのか、ということがわからないことがほとんどです*1。資料をいろいろ調べてみてはいるのですが、まだ調査が足りないのか、それともまとまった資料そのものが存在しないのが、よくわかりません。
しかし、今回の仕事はその弱いログに頼らなければなりません。

*1:UNIX系列のログもわかりやすいとは言えませんが、少なくともひとつひとつのログが何を表しているのか全くわからない、ということは無いと思います

大阪出張中

事件

そもそもそんなに儲かってるわけではありません。いや、それどころか、財務省様によればまだまだ稼がないとマズイとのことです。それなのに最近は出張が多い、経費がかかってしまう仕事が多くて、正直なところいつもビクビクしながら出張しています。
数日前にファイル内隠蔽工作について少し書きましたが、そのファイルが発端となって結構規模が大きなシステムを調査しなければならなくなってしまいました。しかし、稼働中のシステムであるので、システムの停止は難しいようです。となるとログなどに頼るしかありません。
しかし、厄介なことに相手はWindowsOSのシステムなのです・・・

ジョニー検事

情報

ジョニーです

とんがり頭がトレードマークの新井田検事は、古い友人です。
もともとは同じ職場だったんですが、わたしもかれも同時期にその職場を辞め、現在は立場はかなり違いますが、それでもときどき仕事で絡んだりワインを飲みに行ったりしています。ジョニーはお酒も強く、ふたりで飲みに行くとだいたい一、二本は平気で空いてしまいますね。
ジョニーはなぜ「ジョニー」というあだ名になったのか、わたしも詳しくは知りませんが、何でもその昔、人にあだ名を付けるのが得意だと言い張る妙な御仁に無理矢理押しつけられたとかいうことのようです。
とにかくジョニーは付き合いが広く、意外な人とコネクションがあるみたいです。味方にすると非常に頼もしい人ですね。

失踪事件の報告

事件

今までの報告をまとめてみました。

失踪人調査の依頼、ご両親より

とある女性が失踪して、その女性が自室に残していたPCの調査を女性のご家族から依頼されました。
その女性は東京で一人暮らしで、失踪直後にたまたま上京してきた女性のおかあさんからの依頼でした。警察には失踪届は出しているそうですが、何か手がかりが無いか、いてもたってもいられないという思いから依頼されたようです。
久しぶりのフォレンシックな仕事でしたが、調査内容そのものはそれほど難しいものではありませんでした。80Gくらいのハードディスクの解析で、削除されていたデータなどを復元するのも短時間でできました。削除されていたデータの中には画像データが多数あったので、女性本人が映っているらしいその画像データをいくつかご家族にお見せしたんですが、そこに女性と一緒に映っている男性についてはどなたもご存じでない。女性の友人数人に聞いてもわからない。
そこで、写真の背景になっている時計台を目指して、札幌に出張となったわけです。他に手がかりもありませんでしたし。引き続いての解析はPCに任せて、久しぶりに飛行機に乗ることになりました。

札幌での調査

札幌に出張と相成ったわけですが、とはいえ当てになる手がかりはほとんどありません。手元にあるのは写真に出てきていた風景、宿泊したと思われるホテルのレシートくらいです。
とにかく時計台に行ってみることにして、いざその場に来てみると、なんとも運の良いことにその時計台を通りを挟んで反対側のところに失踪していた女性が佇んでいるのを見つけました(笑)。人捜しというものはもっと地道な作業で、なかなかこんなに運が良いことは無いのですが。
声をかける前に、その女性を尾行することにしました。見つけたからといって簡単に声をかけると、その女性の状況を確認できませんし、悪くすると逃げられてしまうことにも成りかねません。どうやらその女性は現在札幌市内のとある場所(JR札幌駅から地下鉄で15分程度のところ)に一人住まいしているようでした。
そこまで突き止めた時に、ちょうど東京から「失踪した女性が会社から懲戒解雇された」との連絡が入りました。詳しく聞いてみると、どうやらその女性が顧客情報を漏洩させた、ということらしいのです。
いったんここでご家族に報告したところ、すぐに札幌までいらっしゃるということになり、*1札幌に待機することになりました。

待機し、引き合わせ

ご家族の方、ご両親が翌日すぐにいらっしゃいました。ご家族の意志を確認したうえで、お引き合わせすることになり、女性が今住んでいると思われるところの近所まで案内しました。喫茶店に待機していただいた上で、女性を訪問して趣旨を説明し、ご家族が会いたがっているということをお話ししたら黙ったまま出てきてくれたので、そのまま喫茶店で引き合わせました。
ご両親はすでに情報漏洩とか懲戒解雇の件を承知されていたので、「やったのか?」「やってないわよね」などと聞き出そうとしますが、その件については女性は一切語ろうとしません。写真に写っていた男性についても口を閉ざしたまま。ただ、家に戻ってこられるのか?とか自宅はどうするのか?という問いにのみ、「今はまだ戻れない」と答えるだけでした。
何かよほどの事情があると思えます。
そこでいったん場所を変えてご両親には席を外してもらい、写真に写っていた男性について調べておいたことを話しました。

  • 女性のPCのわずかな痕跡からメールアドレスなどを割り出し、身元を調べたこと
  • 男性は女性が勤める会社の社長の御曹司で、女性と同じプロジェクトでシステム開発を手がけていること(そのプロジェクトのリーダーが男性)

しかし、そこまでわかっていることを話しても、女性は黙したまま語りません。どうやら追加の調査を行って、さらに情報を補強してから来る必要がありそうでした*2。そこで、ご両親、もしくはお母さんを女性の部屋に泊まらせてもらうことにしました*3。女性からは承諾を得られたので、お母さんに泊まっていただくことにして、わたしは追加調査のために東京に戻ることにしました。

東京での追加調査その2

漏洩元になってしまった会社では、社内調査をして犯人を捜していたようですが、女性が自ら名乗り出たために、結局調査は中断していたようです。改めて残されているログを見させてもらったのですが、システムログにしろアクセスログにしろ、証拠としてはちょっと弱いものしか無さそうでした。
同時に女性のPCのハードディスクイメージの解析をさらに進めていたのですが、その方面から少しネタが出てきました。バイナリイメージを再現してみるとなかなか怪しい動きをするソフトウエアが仕込まれていたようで、レジストリも汚染されていたようです。バイナリイメージを詳しく調べてみると、どうやら遠隔指定したファイルを送出する機能を持っているプログラムのようです。とはいえ、どのファイルを送出したのかなどはわからないのですが。
解析した結果、とあるパケットに反応するようになっていたので、不完全な指令パケットを周辺のネットワークにプローブしてみると、顧客情報を取り扱う部署のネットワーク内のPCほとんどが反応してきました。
これはどうも怪しいようです(笑)。もう少し材料を仕入れれば、何とかなるかもしれません。

東京での追加調査その3

女性のPCの解析をさらに進めていくと、消去されたファイル群の中にプログラムのソースファイルが多数あるようでした。システム開発を担当している部署なので不自然なことではありませんが、その中でも頻繁に修正を繰り返されていたらしい一つのソースファイルが気になりました。
プログラムをざっと読んでみると、どうやらファイル送出のプログラムのようです。ソースと関連ファイルを再生して、開発環境をお借りして実行ファイルを作成してみると、発見されたプログラムのファイルそのもの(と見えるもの)が作られました。
しかも、さらに関連ファイルらしきものを調べていると、コントローラーにあたるプログラムも見つかりました。
ここで両方が開発されている、ということはもしかして失踪した女性は本当の犯人なのか?という疑惑が浮上してきたわけです。予断は禁物ですが、少なからず驚かされる展開になってきたようです。

真犯人は?

女性のPCからソフトウエアのコードを発見したんですが、奇妙なことに気づきました。コードのファイルがあった形跡があって、しかもご丁寧にそれは削除(隠蔽)されているんですが、バイナリデータが見つかっていなかったんですね。
コードの規模や開発環境にもよりますが、見たところ高級言語による開発のようでしたし、ライブラリなどの中間的なバイナリデータが全く存在しないのは奇妙でした。ソースの構成上、あるいは試行錯誤して作成している限り、どこかにその痕跡は残るはずなのです。エージェントとして送り込まれるソフトウエアの方はサイズの小ささが求められるのですが、コントローラーのソフトウエアの方は特に小規模である必要はありません。実際コードはそれなりに大きいものでしたし、どこかに中間的なバイナリデータがあっても良さそうな感じでした。
ただ、おそらくデータをいったんわざわざ削除しているところから見て、ある程度フォレンシックスを意識した隠蔽工作である可能性が高いと思われます。となると、真犯人が他に居るとして、こうして大々的に調査が入っているときに、それでもまだどこかに証拠が残っているということは考えにくいですね。もちろん調べてみないと分からないのですが・・・
そこで、許可を得てある仕掛けをしておくことにしました。

仕掛けと真犯人

調査を行っていることはすでに社内では知られています。わたしのような怪しい奴が出入りして、大々的にコンピュータをごそごそやってるわけですからね。となると、犯人がもしこの場にまだ居るのであれば、しばらく鳴りを潜めているはず、と考えるべきでしょう。
そこで少しソーシャルエンジニアリングのやり方を導入し、漏洩がもとで女性が懲戒解雇されたが、女性に訴えられた場合のために証拠収集をしている、という「裏事情話」を流してもらいました。「まだ証拠は足りなくて、何かもっと確固たる裁判で示せる証拠をそろえたい。もしかしたら女性は犯人ではないのかも知れないと探偵が言い出している」という「裏事情話」は、目論見通りあっという間に社内に広まったようです。
同時に、送出プログラムのコントローラーからの通信を待ち受けるように、女性のPCとその他数台に待ち受け用のダミープログラムを仕込みました。圧力をかけて犯人が動き出すのを待ったわけです。犯人はまんまと引っかかってきました。
一応他のPCを踏み台にする形で指令送出、不正なアクセスをしてきたようですが、女性のPCの周囲では通信はすべてモニターしていましたので、あとでその記録を見ると犯人が誰かはすぐにわかりました。
犯人は女性が仕事をばりばりこなすのを妬んだ同僚の男性でした。わざと1台だけエージェントソフトウエアを仕込まないでおき、そいつを踏み台にして通信してきましたが、すべての通信をモニターしていましたのでだれが大本の操作を行ったかはすぐにわかりました。

その後

犯人の男性が巧妙だったのは、女性が自ら犯人である、と名乗り出やすいように外堀を埋めていた、という部分です。女性が上司の御曹司と付き合っていることはほぼ周知に近い状態でしたので、誰が犯人かわからないと上司がまずい立場になる、ということを囁けば良かったわけです。で、言い出させた。しかし、証拠を細工しすぎましたね。フォレンシックを意識はしていたようですが、ファイルがあまりにもすっきり綺麗に残りすぎ、というのが目立ってしまっていました。開発しているとして、オブジェクトの1回削除分の痕跡しか無い、というのは少し不自然すぎました。
結局女性は懲戒解雇を取り消しとなり、犯人の男性が解雇、さらには告発や損害賠償まで求められることになるようです。女性は復職し、聞いたところでは正式に男性上司と婚約した、ということです。

*1:本当は寒くて風邪引きそうだったので、早く東京に戻りたかったのですが(笑)

*2:本来もう少し周辺の調査をしてから引き合わせすべきだったんですが、ご両親の強い希望でフライング気味の対面となったのです。

*3:あらかじめご両親にはその用意をしてきていただいていました

発売日

書籍

書籍の流通というのは「発売日」が来てもすぐには出回らない、ということのようです。知人からも「まだ出ていなかった」という報告を受けています・・・
できるだけ多くのみなさんのお手元に早く行き渡ると良いのですが。