マルウェアが着せた汚名 - フォレンジックで無実を証明

現代社会では、事件・犯罪調査において、PC内のデータが決定的な証拠とされることも多い。  
しかし、ごく稀に 「データがある=(イコール)証拠」と考えてはいけない事例がある。

そのようなケースでは、適切なコンピュータ・フォレンジックを実施しないことで、無実の人を犯罪者と誤認してしまう危険すらある。 今後は、一見シンプルに見える事件についても、フォレンジックは必須となっていくのかもしれない。
最近アメリカで、マルウェア(悪意のあるプログラム)によって犯罪者の汚名を着せられたケースが報道され反響を呼んだ。
マサチューセッツ州職員だったMichael Fiola氏は、2年前のある日、児童ポルノ犯として逮捕された。多額のインターネット料金を不審に思った上司と技術者の調査により、Fiola氏が使用していた州配布PCから大量の児童ポルノ写真が発見されたためだ。

Fiola氏は無罪を主張。貯蓄や資産を現金化し、車も売り、自宅に二重抵当をかけて訴訟費用$250,000を捻出。その結果、起訴から約11ヶ月後に無罪放免となった。
氏が雇った専門家が、そのノートPCが1分間に最大40のポルノサイトにアクセスするようマルウェアに操られていたことを証明し(これは人間には不可能なスピードだ)、起訴側の技術者もそれを認めた。

係争で職を失い、友人を失い、ストレスで健康も害したFiola夫妻は、適切な調査をしなかった州を提訴したいと願っている。しかし回収できる金額が低い(つまり弁護士報酬も低い)ため、引き受けてくれる弁護士が見つからないという。

同様にイギリスでも、職場のPCに児童ポルノ写真を保存した容疑のかかったホテルマネージャーが、コンピュータフォレンジックによって、別なサイトから転送され、本人が知らないうちに写真をダウンロードしていたと証明されたケースがある。

これらのケースのように、児童ポルノサイト運営者などのハイテク犯罪者は、マルウェアを使って個人や組織内のPCをのっとる。違法行為はのっとったPCに実行させ、自分は遠隔からデータにアクセスするだけにして、摘発される危険を最小化しているのだ。
このような事例では、PC上に証拠データを発見しても、そこで安心してはいけない。必要に応じて、データ入手経路など背景まで調査できるよう、最初から専門的な技術のある調査官が担当することが求められる。


参考記事:
AP IMPACT: Framed for Child Porn _ by a PC Virus
(http://abcnews.go.com/Technology/wireStory?id=9028516)

How malware frames the innocent for child abuse
(http://www.theregister.co.uk/2009/11/09/malware_child_abuse_images_frame_up/)