第6話「物証分析:犯行現場」
「まずは、このディスクがどこで作られたか、だな⋯⋯⋯」
ぶつぶつと独り言を言いながら、僕はサーバー室に籠もっていた。
事件発覚から明けた木曜日。
涼介、正雄との朝の連絡会を終えて、僕は早速フロッピーディスクの分析に取りかかっていた。
少ない手がかりの中で犯人を見つけるには、このフロッピーディスクから突破口を拓く必要があった。
ディスクの中にあるメールファイルが何処から抜き取られたものなのか突き止められれば、捜査はグンと前進する。それは堅牢なセキュリティに守られた会社のメールが、簡単に抜きとることが出来ないことを僕がよく知っているからだった。
初めこのディスクの中身を見たときは、メールサーバーを管轄する本館の情報システム部の誰かが、社員の私用メールを注意をするよう僕に依頼が来たのかと思ったくらいだ。それくらい会社のセキュリティは堅い。
逆に言えば、メールを抜き取る方法と場所は限られていて、それを特定できれば犯人に近づくことが期待できる。ただそれはセキュリティをかいくぐり、メールを抜き取った犯人も知っているはずだ。痕跡を消されている可能性も高いが、証拠に乏しい今、やれることは何でもやってみるしかない。犯人との腕比べだ。
この会社のメールシステムの図面を描き、自分なら何処にセキュリティホールを開けるか思案してみる。
メールシステムに物理接触してデータを抜き取るなら、メールサーバーのある本館のサーバー室か、なっちゃんのPCがある設計棟二階の設計事務所だろう。前者の場合、セキュリティカードで施錠され、会社の様々なコンピュータシステムが稼働しているサーバー室に侵入して抜き取る事になるが、それが出来る人間は極めて限定される。ましてやその部屋の中に無数に並ぶブレードサーバーからメールシステムを見つけるのは至難の業だ。
もしそれが出来る知識があるならそんな手間のかかる上に入室の証拠まで残る方法は選ばず、社内の何処わからない場所のネットワーク配線から接続し、メールシステムのセキュリティに侵入するだろう。僕ならきっとそうする。
後者の、設計事務所に侵入してなっちゃんのPCに保存されているメールを狙う方が難易度としては低い。しかし、どうやって設計棟に侵入し、周りに怪しまれずなっちゃんのPCを操作したのだろう。個人に配布されている業務用PCはログインパスワードで保護されている。犯人はそのパスワードを知っていたか、その場でPCのセキュリティを突破したことになる。僕ならそんな目立つやり方はしない。
容疑者は、前者ならコンピュータネットワークに高度な専門知識をもつ専門家で、おそらくこの部署以外の者の可能性が高い。逆に後者なら怪しまれずに犯行を行う事ができるこの部署に出入りしている者の可能性が高い。
一方で、社内か社外の何れかのネットワークから遠隔でハッキングしメールを抜きとった場合だが、何重にも張られたセキュリティ防壁を突破して侵入したとなると、敵は相当な手練れということになる。この会社のセキュリティシステムを熟知している僕がトライしたとしても、成功するか否かは五分五分というところだ。
まして、なんの痕跡も残さずに外部から侵入するのはほぼ不可能だろう。ネットやシステムへの不正アクセスの痕跡はセキュリティシステムに常に巡回監視されている。見つかれば僕の元にもアラートが上がってくる。やるならシステム管理者を騙してパスワードを聞き出す「ヴィッシング」というアナログなハッキング手法になるが、これは主にシステム管理を外部委託している企業に効果的だ。社内に専門家を揃えたこの会社でそれに引っかかる者はいないだろう。
まさか、直接なっちゃんのPCから抜き取った?いつ?どうやって?
そもそも、このフロッピーディスクのデータは、オリジナルだろうか?
まさかオリジナルを送ってくるだろうか?
コピーなら何枚作られているのだろう?
ネットにばら撒かれているとしたら、すべて回収するのは不可能だ。
それもディスクを解析すれば、何かしらの痕跡が残っている可能性はある。
まずはそこから追跡していくしかない。
犯人は、なぜこんなフロッピーディスクなんかで天間さんに送ってきたのだろう。圧縮ファイルにしてメールやネットワークで送らなかったのか。
そもそも、天間先輩に送りつけた目的は?
天間先輩が犯人ではないのか?
このディスクを持ってきた松野の自作自演の可能性は?
この謎は、このディスクから探り出すのは難しいだろう。朝の連絡会で示し合わせたように、正雄が担当した封筒のルート追跡と、涼介の犯行動機のある人物の調査に任せよう。
可能性を考えるとキリがない。今は謎をひとつづつあげながら、アクションとその結果が指し示す可能性を書き出して行くしかない。
僕は祈るように、数少ない証拠から犯人の手がかりを手繰り寄せる知恵を絞った。
僕の担当、物証調査で最初に調べたのは、4枚のフロッピーディスクのタイムスタンプだ。タイムスタンプとは、ディスクの中に入っているデータファイルを開いたり、書き換えたりした時に時間以外にも様々な情報がディスクのファイルシステムに記録される。その仕組みを利用して犯行の日時や方法を類推することが出来るはずだ。
封筒に入っているディスクを一番上から慎重に調べてゆく。
1枚めのディスクに書かれたファイルは、タイトル順で並んでいて、なっちゃんと相手が誰なのか、どんな会話の応答があったのか良くわかる。初見でおどろおどろしく見えた理由は、同じタイトルが、「re:」「re:re:」と入った長いファイル名がズラリと並んでいたからだ。ファイルに残っている生成情報に手がかりは見つからない。
そこでファイルの整列ルールをファイル名からサイズやファイル種類、属性などのプロパティ毎に変えていくと、作成日時で整列させると画面の数値が綺麗に整列した。ディスクの中にあるファイルはほぼ等間隔で作成されている事がわかった。
その法則は4枚のディスクの全てに共通していて、そのタイムスタンプは綺麗にほぼ等間隔で書き込まれている事がわかった。
そして、4枚のディスクに書かれた一番最初と最後に書き込まれたファイルの日時を調べると、最初に作成されたディスクは、封筒に重ねられた2枚目だった。
全てのファイルは5月2日土曜日に作成されていた。最初のファイルは13時53分44秒。そこから連続して作成されていたが間隔にはムラがある。
それでもディスクの最後のファイルと次に時間の近い最初のファイルのディスクをつなげると、2番目に書き込まれたのは4枚目。その後1枚目、3枚目の順番でだいたい30秒の時間が空いて作られている。
次に、ファイルに残る時間情報を全て書き出し、書き込まれたディスクの順に表にしてみる。
書き込みが開始され、ファイルが生成されるまでの時間に、作られたファイルサイズを重ねてみる。同じディスクの中の時間ムラの正体は、ファイルサイズの差でほぼ間違いなかった。
同時にファイルサイズと書き込み時間から、1バイトあたりの書き込み速度がわかった。
同じサイズのダミーデータを作って、いろんなディスクと方法で実際にやってみる。この速度ならネットワークから、メールサーバーにハッキングして抜き取った可能性は低かった。
なっちゃんのPCから、ハードディスクに侵入したなら遅すぎる。
最後になっちゃんのPCのフロッピードライブから、直接抜き取ったダミーデータと比較してみる。
「ビンゴ」
このディスクは、直接なっちゃんのPCのフロッピードライブで作成したデータの可能性が高いことがわかった。それと同時に、このフロッピーディスクがオリジナルデータの可能性も出てきた。
