Warning: Trying to access array offset on value of type bool in /home/tsuruma/tsuruma-law.jp/public_html/wp/wp-content/plugins/simple-map/simple-map.php on line 272
2014年5月 – 弁護士鶴間洋平の「新時代のプロフェッションを目指して」
Warning: Trying to access array offset on value of type bool in /home/tsuruma/tsuruma-law.jp/public_html/wp/wp-content/plugins/simple-map/simple-map.php on line 272

IT時代と弁護士:ファイルスラック領域

時代の進展とともに、司法の世界においてもデジタル証拠がかなりの重要性を占めるようになってきています。伝統的には理系的な知識・センスと無縁であったと言っても過言ではない弁護士ですが、今日においては、デジタルフォレンジック(デジタル証拠の鑑識)についてある程度の理解をしておくことが必要と言っていいでしょう。

例えば、PC遠隔操作事件の片山被告の弁護団は、片山被告自身が自白に至るまでは無罪を確信している旨一貫して発言していました。しかし、恐らく、ファイルスラック領域の問題で、(少なくとも片山被告本人は)かなり追い詰められていたはずです。

また、小保方晴子氏の弁護団も、論文の画像データ改ざん問題について、あくまで過失によるものと主張して強気の姿勢を崩していません。しかし、こちらも、理研に保存されていた画像データのメタ情報によって、これまたかなり追い詰められているように見受けられます。

ここでは、これからの弁護士に求められるIT知識を考える題材として、片山被告を追い詰めたと思われるファイルスラック領域とは何なのか、検討してみることにしましょう。但し、裁判における主張の説得力と関連する程度に限った大ざっぱな検討ですので、細かい部分が不十分・不正確な点はご容赦下さい。

クラスタとファイル

コンピュータがデータを格納すべきHDD等記録媒体の中の領域は、非常に細かく分けられています。その一つの単位を「クラスタ」と言います。クラスタのサイズはファイルシステムによって様々ですが、4キロバイトや8キロバイトといった、極めて小さいサイズです。ここでは、記録媒体はHDDであることを前提に話を進めます。

fs1

そして、クラスタのサイズよりも大きなファイルは、HDDの中のいくつものクラスタを使って記録されています。

fs2

ファイルを削除すると

ファイルを削除(ゴミ箱に入れるではなく)すると、ファイルの格納に使われていたクラスタが、「未使用領域」とされます。

fs3

しかし、当該ファイルの格納に利用されていた領域が「未使用領域」とされるだけで、それぞれのクラスタの中には、削除したはずのファイルのデータがほとんどそのまま残っています。

この状態からは、元のファイルを復元することもそう難しいことではありません。

未使用領域にデータが書き込まれると?

しかし、HDDに新たなファイルを保存すると、もともと別のファイルがあった「未使用領域」に新たなファイルのデータが書き込まれる場合があります。新たなファイルのデータが書き込まれるといっても、それが小さいデータであれば、未使用領域とされたクラスタの中に「小さいデータ」が書かれるだけで、クラスタの中の余りの領域はそのまま放置されます。複数のクラスタを利用して書き込まれる場合の最後のクラスタに格納されるデータのサイズが小さい場合も同様です。

すなわち、削除したはずのファイルを構成するデータのごく一部とはいえ、使用中のクラスタ内に残されることになります。

 fs4

ゼロフィル

さて、完全に抹消しようとする理由はさておき、削除したはずのファイルが後に復元されるのを防ぐためには、上記の未使用領域と指定されているクラスタを書き換えてしまえばいいような感じがします。その方法として、未使用領域をゼロで埋めるという方法(ゼロフィル)がよく使われます。

ゼロフィルは、何か後ろめたいことがある場合に限られず、守秘義務等の観点から行われる場合ももちろんあります。

さてゼロフィルをすると、HDDの中はどうなるでしょう。

fs5

削除したファイルの形跡がきれいさっぱりなくなった・・・でしょうか?

ファイルスラック

よく見ると、もともとのファイルの残りかすともいうべき薄い水色の領域が、使用中のクラスタ内に残っています。この薄い水色の領域は、元のファイルからするとわずかなものですが、それでも元のファイルの形跡ではあります。ここで見た、使用中のクラスタ内にある本来格納しているデータの末尾移行の領域を、ファイルスラック領域と言います。

「使用中のクラスタのファイルスラック領域に、削除したはずのファイルの形跡が残っている」のです。

fs6

見ての通り、ファイルスラック領域内の痕跡は、もともとのファイルの一部に過ぎませんから、このデータから元のファイルを復元することはほとんど不可能といっていいですが、「以前どういうファイルがあったのか」を推測するために十分な痕跡は、残っている可能性があります。

ちなみに片山被告が否認を貫いていた場合、遠隔操作によるファイルスラック領域改ざんの可能性やその痕跡の有無が一つの重要争点となったことでしょう。そして、遠隔操作により痕跡を残さず任意のファイルスラック領域に意図的にデータを書き込む方法は現在のところ発見されていないようであり(ファイルスラック領域に何らかのデータを残すこと自体は可能)、弁護団はかなりの苦戦を強いられたことでしょう。

弁護士に要求される能力

片山被告の事件では、IT専門家が特別弁護人に選任されていましたので、弁護団はファイルスラック領域に残された痕跡の意味は十分把握できていたでしょう。その他の案件でも、IT専門家の助力を得ることが必要不可欠であるケースは増えるでしょうが、弁護士自身がIT専門家と同等の知識・経験を有する必要はないでしょう。

とはいえ、IT専門家との連携が求められる場面では、弁護士には、IT専門家と十分意思疎通をはかり、自らが理解したところを書面や口頭での主張・立証に十分反映させる必要があります。そのためには、弁護士にもそれなりのITに関する知識・経験が要求されることになるでしょう。