フォレンジック(Forensics)を直訳すると、法医学となる。しかし、ここで取り上げるフォレンジックは、コンピュータフォレンジック、デジタルフォレンジックなどとも呼ばれるもので、コンピュータなどのデジタル機器の記憶媒体から、裁判証拠となるファイル・データやログを調査・解析する一連の作業を意味する。ここで重要なのは、裁判で扱えるレベルである点である。
では、裁判における証拠とな何か。刑事訴訟法第317条には、「事実の認定は、証拠による。」とある。つまり、犯罪の事実認定は客観的な証拠を使い、合理的な推論によって行われる。したがって、証拠には証拠能力が求められ、どんなものでも証拠にはならない。裁判における証拠とは、証人、証拠書類、証拠物などがある。
具体的に示すと、証人は、裁判で事件やその関係者などについて証言をする人である。証拠書類は、被告人や被害者の供述調書など。そして、証拠物は、被告人が犯行に使った凶器などの物的証拠となる。最近では、犯行においてデジタル機器が使用されることが多く、通話記録やその内容が証拠物として、採用されることがある。
そこで、使われるのがフォレンジックである。上述のように、どんなものでも証拠にはならない。証拠として成立するには、どうやってそのデータを収集したか、どこに存在し、改ざんなどが行われていないことなどを示す必要がある。さらに多くの場合で、メールや通信記録などは、関係者によって削除されていることがある。フォレンジック作業では、削除や破損したデータを復元することも重要な作業となる。また、破棄・改ざんなどを防ぐために「保全」という作業も必要になる(保全については、別の回で紹介する)。いずれも、専門的な知識や技術が求められる。
繰り返しになるが、現在の犯罪行為のほとんどが、デジタル機器と無縁であることは考えにくい。特に、メールや通話記録は、証拠物として重要な意味を持つことがある。以下では、フォレンジックが活用された事件について紹介したい。
2006年、ライブドア事件 - フォレンジックが脚光をあびることになった事件
2006年のライブドア事件。この事件では、フォレンジックが犯罪の究明に使われたことで注目を集めた。まずは、事件の概要であるが、証券取引法違反となる偽計取引・風説の流布と有価証券報告書の虚偽記載である。後者の虚偽記載であるが、経常赤字が3億円でありながら、出資先が計上した株の売却益を利益として計上し、50億円の経常黒字としていた。さらに注目を浴びたのは、粉飾決算などが発覚するのは、経営破たん後のケースが多い。しかし、ライブドア事件では、破たんしていない会社であった点である。さらには、他社への敵対的な買収活動や社長の言動なども以前より注目を集めており、事件だけでなく社会的にも話題となった。
さらに、IT関連で先駆的な企業活動を行うため、IT技術に詳しい関係者が多かったことも特徴の1つであった。捜査当局の家宅捜査が行われると察した関係者は、数万通におよぶメールの削除、さらに重要書類の削除を行った。上述のようにITスキルが高いことから、単なる削除ではなく、専用の完全削除ツールも使用された。完全削除についても別の機会に譲るが、OSの削除は管理情報の削除であってデータを完全に削除したことにはならない(つまり復元が可能である)。
では、捜査当局はどうやって完全削除されたファイルを復元したのか。コンピュータではファイルを操作すると、さまざまな場所に一時的な保存をする。スワップ領域、キャッシュ領域などがそうだ。確かにファイル本体は、HDD上から完全削除されたかもしれない。しかし、その痕跡はどこかに残存しているのである。もちろん、完全な形ではなく断片しか存在しないこともある。捜査官は、まずは削除処理の履歴収集。そして、残存データを地道に収集し、復元を行ったのである。
実際の裁判では、これらが証拠として採用され、有罪判決の決め手となったといわれている。と同時に、フォレンジックが捜査の手段として、大きな効果を発揮し、注目された事件でもあった。
2011年、大相撲八百長事件 - スマホ・携帯電話の証拠復旧調査
2011年、大相撲八百長事件。この事件の発端は、その前年の2010年に野球賭博問題での捜査で押収された力士の携帯電話中のデータ(消去されていた電子メールも復元)に、八百長が疑われる証拠が発見された。その後、相撲協会が特別調査委員会を設置して実態調査を開始した。結果として、25名の関与が認められ、引退勧告や解雇などの措置がとられた。
事件が発覚すると、証拠隠滅を図るため、携帯電話を意図的に壊す例が多発した。こうすれば、ばれないと考えたのだろう(実に、あさはかな考えだが)。この事件で証拠復旧調査を行ったのが、リーガルテック社である(当時はAOSテクノロジーズ社)。以下の動画は、リーガルテック社が公開するスマホの復旧調査例である。
おおまかな手順であるが、
- スマホ・携帯電話を分解し、基板を取り出す
- 基板からメモリチップを取り外し、メモリのデータを取り出す
となる。この方法を使うことで、破壊された機器であってもデータを復旧することができる。さらにリーガルテック社によれば、データを取り出すことができても、中のデータの構造が不明なことが多い。独自仕様であったり、内部構造が開示されていないことが多い。そこで、リーガルテック社では、独自の技術を開発し、対応している。しかし、初めての機種では、2~3カ月かかることもあるとのことだ。
このような方法で、復旧されたLINEチャット履歴が、図1である。
八百長事件以前は、通話履歴を調査することが多かった。しかし、通話が行われたことはわかっても、その内容までは知ることはできない。一方、LINEであればその内容も分析可能となる。また、チャットを利用する人は、通話と比較して、同じ人と数十倍以上の頻度でやりとりを行う。より多くの証拠を収集することが可能となる。リーガルテック社によれば、いかにチャットデータを抽出できるかが非常に重要になる事例が増えると予測している。
フォレンジックの今昔、今後について、リーガルテック社の社長・佐々木隆仁氏に話をうかがった。
「リーガルテック社は、20年にわたり、デジタルデータの証拠調査を捜査機関、民間企業、法律事務所とともに行って参りましたが、20年の間に調査対象は、パソコンから携帯電話、スマホ、カーナビ、ドライブレコーダー、IoT機器など、さまざまな媒体に拡大しており、デジタルデータの分量も膨大に増えてきました。また、パソコンやスマホのセキュリティ強化により、以前よりも、証拠データを取り出し、復旧調査をするための技術的な難易度も上がってきており、フォレンジックの世界は、つねに、高度な技術で対応することが求めてきました。一方では、森友学園や桜を見る会、神奈川県庁のデータ流出まで、デジタルフォレンジックが注目される事件も増えており、その社会的な重要性が高まってきていると感じております。」
本連載では、過去の具体的な事例などともに、最新の現場からの声も紹介していきたい。