第566号コラム:「トーク対トーク裁判にみるデジタル・フォレンジック」

第566号コラム:櫻庭 信之 理事(シティユーワ法律事務所 パートナー弁護士)
題:「トーク対トーク裁判にみるデジタル・フォレンジック」

「クレイマー、クレイマー」という映画の名作がある。ご覧になったことのない方は、表題のクレイマーの繰り返しを不思議に思われるかもしれないが、これは、クレイマー夫人が、夫のクレイマー氏を訴えた裁判の、原告と被告の姓に由来している。本コラムのトーク(Tauck)も、妻が夫に離婚を求めてコネチカット州上位裁判所(ミドルセックス司法区)に訴えた裁判の当事者名である。夫に離婚原因があるか、子の親権をどちらがとるかなどが争われた。刑事事件もからみ、多くの問題を投げかけるケースであるが、本コラムでは、DF専門家の法廷証言のみをとりあげる。

トーク夫妻には4人の子供がいるが、4人目の子供を懐胎した頃から、妻は夫の態度を不審に感じていた。夫の日記をのぞくと、妻は精神的に病んでいる、中毒だなどと蔑み、夫が自分に対し訴訟を起こそうとしていることを知った。ショックを受けた妻は、逆に夫を被告として離婚訴訟を提起した。訴えの理由は、夫が、ネット上の怪しいサイトからダウンロードした多数の児童虐待の写真を自身のPC内に所持しているというものである。裁判には警察も関わり、連邦下級判事が、当事者のPCとデータ記憶装置の複製命令を出している。原告と被告の双方のDF専門家らは、FBIから交付を受けたハードドライブのクローンを作成し、離婚裁判の立証のためそれぞれ解析した。

裁判では、原告側から2名のDF専門家が、被告側からは1名のDF専門家が証人となり、夫のPCと妻のPCを解析した結果を証言した。

(1)原告側DF専門家Aの証言

原告(妻)側フォレンジック専門家の証人Aは、夫のPCのインターネット一時キャッシュに問題の写真を見つけた。ただ、このPCにはバイオメトリック認証が備わっていないことから、実際にコンピュータにログオンしたのが誰であるかはわからない、とも証言した。Aは、靴メーカーのwebサイトを例にあげる。靴メーカーを検索した場合、一見1つのサイトでも異なる形式の複数の靴のページを含み、そのため、複数の画像がインターネット一時キャッシュに機械的に読み込まれているとしても、ユーザがそれら全ページを実際に見ているとは限らない。意図的にキャッシュページを見に行かない限りはスクリーンに表示されない、と説明する。

夫のPCには、違法を疑わせる158枚の画像があった。そのうち148枚は5月5日にダウンロードされたものであり、残り10枚はそれ以前のものであった。夫は、5月1日から5月10日にかけてタヒチに出張しており、5月5日は、地元のコネチカット(ウエストポート)にいないことはパスポートから明らかになっていた。Aは、夫のPCは5月5日にタヒチにはなく、夫のPCから5月5日にリモートアクセスされた証拠もなく、IPアドレスによれば、5月5日はコネチカット州をエリアとするインターネット・プロバイダに接続されていて(グローバルIPの真正性は争われていない。)、PCの日付が意図的に変更された証拠もない、と証言した。

夫のPCから相当な数のファイルが削除されていて、一部は、フォレンジックによっても回復されないように消去ソフトを使って削除されており、意図的な削除である、とAは指摘した。(裁判所がここで特に重視したのは、5月5日のサイト訪問の痕跡が残されていない点であった。)

被告夫側(DF専門家の証人C)が提出した証拠は、5月5日は午前8時から午後2時までの間、夫のPCでインターネットが閲覧されていたことを示していた。5月5日のインターネット閲覧履歴が消去されているにもかかわらず、インターネット一時キャッシュの画像は消去されていなかった。夫のPCで語句検索がなされ、問題のサイトを探した形跡もあった。

Aは、妻のPCについても証言した。5月5日に誰かが妻のPCにログオンし、問題のサイト上で夫のメールアドレスを検索していた。妻が5月5日以前に夫のPCにログオンしたことがあると示唆した。

(2)原告側DF専門家Bの証言

妻側のフォレンジック専門家の証人Bは、インターネット一時フォルダに見つけた違法の疑いがある写真ファイル(JPEG)を、原告弁護士、ウエストポートの警察、FBIにそれぞれ提出した。Bは、各ファイルのファイル・スタンプは正確であると判断し、スタンプによって日付を証明したが、PCの日時が正確かまではチェックしなかった。

夫人のoutlookカレンダーで5月5日の行動をチェックしたところ、昼に小児科医を予約していたが、彼女は欠席し、午後3時以降友人と会う予定が掲載されていた。Bは、5月5日にタヒチから夫のPCにリモートアクセスされた形跡はなく、タヒチでのコンピュータ操作と関連する証拠も、タヒチのIPアドレスが夫のPCにアクセスした証拠もない、と証言した。

(3)被告側DF専門家Cの証言

夫側のDF専門家である証人Cは、夫のPCを調べ、証人A、Bと同様に、違法の疑いがある画像を見つけた。インターネット・エクスプローラー使用時に画像とHTMLが一時フォルダにキャッシュされ、日時スタンプが付与されていた。日付は画像が最初にハードドライブをヒットしたときと一致し、画像のダウンロード完了時に最後のアクセス時間が付与されていた。ただ、これら一時キャッシュ中の嫌疑ある画像が誰かに閲覧されたかは、やはり判断できなかった。タイムラインを表示させるため、5月1日から10日までの間を、EnCaseを使って、タイムスタンプがある削除済みファイルと、すべてのアクティヴなファイルの日時でソートした。ブラウザ履歴のテキストログのindex.datにツールを使ってできた5月5日のタイムラインによると、この日、数多くのwebが閲覧されていた。児童虐待に関連する複数の用語が検索されていたが、検索でアクセスしたwebページのインターネット一時ファイルの画像は、問題の写真を提供するサイトであった。

FBIから受け取った夫人のPCには、5月5日の午前9時30分から約1時間アクセスされた形跡があり、夫人のPCを使った検索の用語には、夫のビジネスメール用の出会い系サイトのwebアドレスが含まれていた。5月の1日から10日、12日のファイルのほぼすべてが削除されていた。Cは、自分の経験からすると、これらゼロ・マーキングは、ファイルの上書き消去を意図的に行ったことを示すものだと指摘した。

問題のサイトにアクセスすると、友人探しのための出会い系のポップ・アップ表示があり、IPナンバー(コンピュータの物理アドレス)を解釈して、そのエリア内の友達を紹介する仕組みになっていた。5月5日のポップ・アップは、いずれも、ウエストポート(コネチカット州)のパートナーとのその日の出会いを誘う表示であり、問題のサイトを閲覧したPCのIPナンバーは、ウエストポートのIPアドレスを示していた。Cも、夫のPCへのリモートアクセスの証拠はなく、PCの時計は正確である、と証言している。

一方、妻のPCから削除されたwebページ(HTMLファイル)は「〇〇〇.com」のものであり、ファイルの作成は5月6日であったが、「〇〇〇.com」のwebページは、夫のPC内にも5月5日付けで見つかった。5月5日の夫のPCの使用状況を調べると、夫が経営する会社のコンピュータへのログオンの失敗があった。妻のPCでも、夫のPCから出てきた出会い系サイトの関連用語の検索が、5月6日、9日、10日に行われており、問題のサイトのログインページで、コネチカット在住者を探していた。検索によって5月10日にできたファイルには、バナーの下に「ウエストポートでパートナーと会う」とあり、ポップ・アップは、5月10日に夫人のPCがウエストポートにあったことを示していた。5月5日にできたキャッシュファイルは、問題のサイトが「申し訳ありませんが、ログインいただいたデータベースには[注:夫の会社のメールアドレス]は見あたりません。」と述べる内容で、誰かがこのサイトにアクセスし、5月5日に夫の会社のメールアドレスを探し出そうとしていた。

(4)裁判所の判断

裁判所は、5月5日は動かぬ日(a solid date)であるとし、夫がタヒチにいる5月5日に夫のPCに問題の写真を仕込み、かつ、インターネット一時キャッシュにある画像が気付かれないよう閲覧履歴を夫のPCから削除したのは、妻またはその代理である、との結論を下し、子供の親権を夫に認めた。(WestLaw。一部表現を控えた。)

この決定は2007年に出されたのもので、当時のオーソドックスなDF技術が議論されており、紹介した次第である。

【著作権は、櫻庭氏に属します】