fareastの日記: 結局警察はどうすればよかった? 36
完全に時期を逃したので、こっちにひとりごと。
例の iesys.exe による冤罪事件、結局のところ警察はどうすればよかったんだろうね。
http://security.srad.jp/story/12/10/17/0248246/
では単に警察の無能さをなじる意見が多くみられたけど、自分がもしサイバー犯罪対策課だったらどうするか。
IPアドレスをISPから押収して発信元を突き止めた。でも発信元のユーザが実際に犯行予告を書き込んだのか、
マルウェアによる遠隔操作なのかはわからないので、安易に逮捕に踏み切るわけにもいかない。
疑われているユーザのパケットを全部監視する?例のマルウェアは掲示板経由で外部からの指示を受けていたらしい。
全部監視したところでただのWebブラウジングにしか見えないだろう。
もう一度殺害予告がなされるのを待つ?もう一度そのユーザからの予告が確認されたところで、
やっぱりマルウェアの動作ではなくそのユーザの書き込みだという証拠にもならない。
もし何か手があるとしたら、ユーザのパソコンを押収して実際の書き込みの痕跡を探すしかない。
まごまごしていたらその痕跡さえ消されてしまう可能性が大きい。
もちろん、侵入するとユーザのマシンにこっそり 2ch ブラウザをインストールして、それっぽい kakikomi.txt を捏造する
マルウェアだって作れるから、完全な証拠にはならない。
警察がどうするべきだったか、まともに検討しているのは、
http://security.srad.jp/comments.pl?sid=582030&cid=2253188
のツリーしかみあたらない。そこからリンクされている、
http://benli.cocolog-nifty.com/la_causette/2012/10/post-37eb.html
はしごく真っ当な判断だと思う。
どうやっても犯行予告の犯人の捜査と誤認逮捕の回避は両立できない。
もちろん警察は誤認逮捕や犯人であることを前提とした取り調べを謝罪すべきなのは変わらないが、
警察の失態というだけで済ませられることではない。
警察をここぞとばかりになじって溜飲を下げてるだけのひとは、
もうちょっと本当はどうすべきだったか考えてみてはどうだろうか。
結局 (スコア:2)
キーになるのは、被疑者が書き込みに使ったとされるパソコンなわけですよね。
調べればわかることを(実際他所の捜査ではわかったわけで)、
自白自白で思考停止してたとしか見えないところが、今回叩かれても仕方ないところかと思います。
もっとも技術的には、遠隔操作で書き込んでおいて痕跡を消すことが可能なわけで、
そこまでされたら冤罪どころか完全に真犯人にされてしまいかねない。
警察にはそういう犯罪にも対処できる高度な捜査ができる組織で有って欲しいと願うばかりです。
Re:結局 (スコア:2)
警察が可能な「高度な捜査」って、具体的になんなんだろう?
それをちゃんと考えたいんだよね。
Re:結局 (スコア:1)
同意です。
冤罪になったケースでは、「実名で書き込みを犯罪予告を行っている」にもかかわらず「犯行を否認する」という
状況だったそうです。
Re:結局 (スコア:1)
大事なのはコンピュータ・フォレンジックス [wikipedia.org]です。(キリッ
と、セキュリティ専門家のどなたかが書いていたのを読んだ記憶があるのですが、じゃ具体的にどんなのよ?というのがよくわからないのですよね。
海外では資格認定試験的なものがあるようですし、解析用の商用ツールなどもあるようなので、ある程度手法が確立されているようなのですが。
結果から言えば、大阪の件では任意の事情聴取を繰り返す前に、感染が疑われるPCを確保(押収or任意提出させる)して解析したほうが良かったように思えますね。こちらのコメント [srad.jp]のように、三重の事件でマルウェアの検体が確保できたのはPC押収のスピードが速かったから、という可能性があります。
マルウェアの解析能力に関しては、警察が担保してくれるのに越したことはないと思いますが、セキュリティソフト企業の力を借りるのが現実的でしょうねぇ。
Re:結局 (スコア:1)
高度な捜査以前に、それ相応な知識が欠落しているのをなんとかしてもらわないと。
IPアドレスさえわかれば犯人特定なんて、いったい誰から教えられたものなのか知りたいものです。
Re: (スコア:0)
IPアドレスは手掛かりであり物証なので、否定するだけの何かが出てこない限り有効なんですよ。
つまり、IPアドレスを偽装されたという証拠が出てこない限り、有効。
Re:結局 (スコア:1)
いえいえ、IPアドレスとは、「何かがそこを通過した」という「手掛かりであり物証」なのであって、
「持ち主が犯人だ」という「手掛かりであり物証」ではないんですが。
Re: (スコア:0)
IPアドレスで特定されたPCから書き込みが行われたのは事実ですよ。
PCを操作可能な人物が限定されれば、その中に犯人がいると考えるのが当然。
否定するには否定できるだけの材料が必要です。
今回は否定されたからと言って、IPアドレスという情報の持つ証拠能力が完全に失われたわけでもないですし。
Re:結局 (スコア:1)
でも、証拠の一つであって、「それだけで」犯人を特定するほどの力はありません。
刃物での殺傷事件があったとして、「犯行は隣家の包丁で行われた」、あるいは、「犯行に使われた刃物が隣家の庭で見つかった」、という証拠が見つかったとして、隣家の住人が「それだけで」逮捕されますかね…?
だから以前に散々スラドでも、「IPだけで逮捕するなんて」、とか、「いやいや警察もそんなに馬鹿じゃない、発表されていないだけでちゃんと別の証拠もあるんだ」などと雑談がなされていたわけで…
日記エントリの本題に立ち返るなら、警察はどうすれば良かったかといえば、使われたルーターやPCなどの証拠を押さえて、より詳細な調査を行う(もちろんこれだけで犯人を特定できるとも限らないが)、自白メインの取調べは行わない、ということでしょう。
後者については、IPアドレス云々以前に間違っているわけです。(まだ可能性の段階ですが、この件だけではなく問題のある取調べは(全部出ないにしろ)あって、糾弾・是正されていくべきです)
Re:結局 (スコア:1)
今回の事件は、PCの所持者意外に、操作可能な人物がいて、かつ、家族などと違い、簡単にはわからない人物であったいうことですね。
操作プログラムおよびイベントログなどを消去していたら、犯人と推定せざるを得なくなるでしょう。
#消去というか、要求された動作をするものに差し替えたらデスかね。
Re: (スコア:0)
私のIPアドレスを勝手に使わないでくださいよっ
Re: (スコア:0)
たまたま今回問題のケースでは遠隔「操作」されたと言われているわけですが、
Proxyを設置されなどしていれば「通過」しかしません。
ログに残されたIPアドレスのコンピュータ上で書き込みの動作が起こった
短絡して考えるのは適切ではありません。
Re: (スコア:0)
遠隔操作なら、proxyなら、そういった仮定を持ち出すなら、立証しなければならないという簡単な話なんですが。
IPアドレスの証拠能力を否定できない限り証拠として扱われるのは当然でしょうに。
Re: (スコア:0)
遠隔操作やProxyが可能性の一つであるように、PCの操作も可能性の一つに過ぎないので
同様に立証が必要ですね、という簡単な話です。
#今回はそれを自白によって立証しようとした過程が問題だったと
Re: (スコア:0)
全然違う。操作可能な人物が他にいたと仮定する蓋然性がない。
あえてその仮定をするなら立証しないといけない。
Re: (スコア:0)
小さい可能性、遠隔操作やproxyを必ずしも立証する必要はなかった。訂正する。
要は一番ありそうな可能性を否定すれば、より小さい可能性が検討されるようになるのだから
PCを操作したのが被疑者でないと立証するだけでいい。
Re: (スコア:0)
マルウェアを検出したら削除せずに捕獲しておけということですな。お厳しいですね。
Re: (スコア:0)
検出できたらログが残るし、どんなマルウェアか分析できてる。
ログまで削除するとまずいが、マルウェア自体を削除する分には問題ないしとっとと削除すべき。
Re:結局 (スコア:1)
IPアドレスとはいかなるものか理解した上での発言か疑問です。
一番に疑う対象になるというのならば同意します。
しかし「それだけでは」とても足りるとは思えません。
傷害事件が発生したときに、その場に落ちていた血の付いた刃物を証拠として手に入れたとき、その刃物の持ち主を「それだけで」犯人とする十分な蓋然性はありますか?
今回の件で言えば、誰かがそのPCを操作した可能性(別にネット越しにする必要なんて無いのです)、あるいは誰かが同じ無線ルーターからインターネットに接続した可能性もあるのです。
それは証拠を調べてPCを本人が操作した可能性が高い事(刃物なら、所有者が実際に犯行に及んだのか)を調べる必要がありますが、現実には刃物だけで自白を強要するような取調べが行われたとかなかったとか…
それとも傷害事件があったときに、その際の凶器の持ち主を、それ以外の証拠や状況証拠を全く無しに犯人にできますか?
90%くらいは犯人かと思っても、残り10%を自白に頼るようでは無理がありすぎだと思いますが。
(凶器の所有以外に、最低状況証拠は必要じゃありませんか?)
Re: (スコア:0)
>一番に疑う対象になるというのならば同意します。
一番ありそうな可能性が否定されないのに、より小さい可能性を検証する理由がないからです。
>しかし「それだけでは」とても足りるとは思えません。
誰かが踏み台にした形跡が発見できない段階で、あえてまだ踏み台にされた可能性に固執するに足る理由はもっとありません。
Re:結局 (スコア:1)
Re: (スコア:0)
侵入&改竄検知的な意味で怪しいIPアドレスまで突き止めなきゃならないかと
ドキドキしましたがその必要はないようでホッとしました。
「だけ」とは言え、犯行声明で「小さい可能性」が立証される幸運でもなければ
否認以外に手はなかろうな。
ところで、捜査に入る段階と起訴ないし有罪を判断する段階が区別されると思うのですが
今更ながらどちらのお話でしたでしょうか。私は後者のつもりでした。
Re: (スコア:0)
罪の判断は司法、起訴は検察、捜査は警察の管轄になります。
わたしは捜査についてのつもりでした。
Re: (スコア:0)
よその捜査では消去されていなかったから検出できましたが、件のPCからは消去されていたので検出されませんでした。
正にその通りになったわけで。
報道と国民の認識 (スコア:1)
国民としては逮捕即犯罪者の扱いを改める。
報道機関としては逮捕報道の仕方をもうちょっと考える。
警察は日々精進してくれと言うぐらいですかね。
Re:報道と国民の認識 (スコア:2)
今度こういう犯行予告があったときに警察が無力だと困るから、 具体的にこういう捜査をすれば特定できるよ、という方法があればいいんだけど。
スラドは比較的技術に強い人が多めだから、何かいいアイデアでないかなー
Re:報道と国民の認識 (スコア:2)
容疑者勾留し取り調べするだけで犯人扱いして実名報道しているマスコミ様の名誉毀損はもうほんとに辞めて欲しい。
作文押し付けて自白強要させて冤罪を製造している警察見ていると、押収したPCに勝手に「痕跡」書き込んだりしないかと心配してしまう。
以前、ファイルのタイムスタンプを書き換えたのって検察でしたっけあれも相当ひどいから検察も油断できない。
#じゃ結局どうすりゃいいんだ・・・
Re: (スコア:0)
逮捕即犯罪者の扱いをしてたのは警察だろ
Re: (スコア:0)
泳がせて捜査継続という手法が発達したら、さらに怖い。
「捜査しない」と言う選択肢は? (スコア:0)
例えば悪戯電話、「お前を××してやる!(ガチャン、ツーツー)」で直ちに殺人の犯行予告として捜査が始まるわけではありません。
陸橋のコンクリートにスプレーで落書きした場合も同じです。例え通報しても、警察は動いてくれないでしょう。
現実に犯行が行われる可能性が高い差し迫った状況であると判断するには、足りないのです。
どうとでも騙れるルートからの犯行予告は、具体的な犯行予告とは見做さない…と言う方針を立てるのも一つの解ではないでしょうか。
一方で、「不審者情報」のように、犯罪性が不明、あるいは皆無であっても、
市民からの情報を受けて(一応)(形式的に)警戒を呼びかける、と言うチャネルも存在していますので、
その様な形が現実的な落とし所なのかも知れません。
Re:「捜査しない」と言う選択肢は? (スコア:2)
かといって捜査せずにいて本当に事件が起こってしまったら困るし、
予告通りの犯行が行われなくても、脅迫がなされた時点で脅迫罪は成立している。
やっぱり捜査しないってわけにもいかないんじゃないかな……。
マジ警察八方塞がり。
Re: (スコア:0)
その場合、警察は何もしないのであまり困りませんが犯行予告を受けとったところは一体どうすればいいのでしょう?
XXを破壊する・XXXするという犯行予告メールを受け取る→警察に連絡→警察「これだけでは警察は動けません」受け取った人「…」
Re: (スコア:0)
最近の事件で言えば、秋葉原の通り魔殺傷事件など、犯行予告から実際に事件が起こったこともありますしね。
それに、9.11以降はアメリカの同盟国である日本もテロの標的になりえますから、操作しないことによって事件が発生してしまった場合はこの事件以上に叩かれるでしょうね。
今回のようなことを防ぐには、冤罪を防ぐために取り調べの可視化を行い、警察にはもう少しネットに詳しくなってもらうのが良い策だと思います。
Re: (スコア:0)
> その場合、警察は何もしないのであまり困りませんが犯行予告を受けとったところは一体どうすればいいのでしょう?
気をつける。
警察が動こうが動くまいが、自分達に何らかの悪意が向けられている可能性があると感じたら、状況に応じて気をつけましょう。
貴方は(オンライン・オフライン問わず)見知らぬ人から謂れなき悪意を向けられた事は無いのですか?
もしあるなら、その時貴方はどうしました?
痕跡は残る。 (スコア:0)
どんなツールだろうとも、痕跡は残ります。
IP アドレスから PC が特定できたら、それを「完全な」形で押収。でしっかりと分析。
情報鑑識をしっかり作ることが急務ですね。
FBI が持ってる(といわれている)ツールを分けてもらえないかしらね?
自白/冤罪問題は、今回の事件の根っこにある物ですが、性質としては別の問題なので切り離して考えましょうね。
Re:痕跡は残る。 (スコア:2)
権限のあるマルウェアはどんな電子データでも捏造できる。
「完全な形」ってなんだろう?「しっかり分析」って具体的に何をするの?
FBI はどんなツールを持ってるの?盗聴の類のツールはいろいろ持っていると聞いているけど、
「痕跡」とやらが検出できるツールあるの?
具体的な捜査内容が見えてこないよ