第18話「演繹法」
昨夜、干川に放った指導の余韻は、教場内に妙な静寂をもたらしていた。
俺が席に着くと、隣の列でタブレットを叩いていた朝倉友理奈が、画面から目を離さずに声をかけてきた。
「……昨日は随分と講釈垂れてたらしいね。しばらく干川にウザ絡みされなくなって御の字じゃん。」
「……ただの同期同士の語らいだよ。…それより、今日の演習の予習は済んだのか?」
「言われなくても。法律じゃ佐藤に譲るけど、サイバーの世界じゃ、私のほうが前を走ってるから。」
入学当初の自己紹介でサイバー局志望だと言っていただけあり、朝倉は今日な演習に自信があるようだった。
朝倉は俺の方を再度見ると不敵に微笑み、エンターキーを強く叩いた。
教卓に置かれたホワイトボードには、<サイバー犯罪捜査実習>と書かれている。
各机に設置されたパソコンの前に座ると、半数以上が自信無さ気に溜息をついていた。
講義が始まると、生活安全担当教官から資料が配布された。
資料に記載された課題は、<不正アクセス禁止法違反の捜索差押許可状請求に向けて>とあった。
「さて、今配布した通り今日の講義は不正アクセスの令状請求だ。各々の端末に被害法人を想定したHDDイメージや各種ログがある。各班役割分担をして、犯罪事実を特定し、それを疎明する報告書を作成すること。」
俺がさっと端末を確認すると、<想定>と書かれたフォルダ内にHDDイメージファイル等の配布がされていた。
「私の確認時間もあるから、出来た班から適宜持参し説明すること。説明は各班上限3回迄とする。では、始め。」
教官の声と共に、教場には、キーボードを叩く音と会話が一気に広がった。
「私が解析して証跡張り付けていくから、誰か整理して!書類へのまとめもお願い。」
うちの班では、そう一言言った朝倉の指先が誰よりも速く動き、犯罪事実の特定が始まった。
朝倉はWiresharkでパケットを追い、被害法人の資産管理台帳記載のMACアドレスと異なるアドレスからのアクセスを仕分けていた。
そして、すぐに攻撃対象サーバーのログとの突合を始めていく。
「よし、特定完了。犯行時刻のタイムスタンプ確認。不正アクセスに使われたアカウント、ターゲットとなったサーバ、被疑者のIPアドレスも出た!……これ以上の客観資料はないでしょ!」
朝倉が自信満々にスクショや該当部分の抽出結果を、データ連携用の共有フォルダに保存していく。
俺は朝倉が保存したファイル群を確認し、口を開く。
「……朝倉、やり直しだ。このままじゃ令状発付に至らない。疎明不足だ。」
「はっ……!?何言ってんの佐藤、私の方が早くて負け惜しみ?」
鼻で笑う朝倉の顔に、隠しきれない憤りの色が見える。
朝倉にとっては技術的なミスがないはずの解析に対し、不足を指摘されたことに起因するのだろう。
俺は自分の画面を閉じることなく、朝倉の方を向いた。
「朝倉。お前が見ているのは犯行の瞬間だけだ。不正アクセス禁止法違反の構成要件は何だ。被害側はアクセス管理が前提のシステムか?犯行前後から不正アクセスの故意が見えるか?今回の認証に使われたものは、識別符号と定義できるものか?お前の結果だけで、これら全ての構成要件を満たすか否かを判断できるのか?」
「現に管理外端末からのアクセスが来てるじゃない!」
「それが、たまたま休日に業務上必要になってアクセスしてきた社員である可能性は?配布された想定に記載のある社員の聴取結果は読んだのか?」
「……社員の聴取結果?」
朝倉の手が止まり、横に放り投げていた資料を拾い乱暴にめくり始めた。
「……該当時間に、私用の端末からVPN経由でアクセスを試みた社員はいない。また、当該サーバーへのアクセス権限を持つ職員は5名に限定されており、全員が休暇中もしくは別の業務に従事していた……」
朝倉がそこまで読み上げると、俺に対して鋭い視線を向けた。
「やっぱり、従業員の仕業じゃないじゃん!」
「状況時にはそうなるが、それを報告書化することを考えていたのか?裁判官が判断するのは、このIPを使った人間が悪意を持って、識別符号を入力したことだ。犯行の瞬間だけじゃなく、前足と後足も確認しろ。」
「サイバー犯罪なのに前足もクソも無いでしょ!」
朝倉が怪訝そうに眉をひそめる。
俺は彼女の端末で、フォレンジック解析ツールを立ち上げた。
「捜査の基本どんな犯罪でも揺るがない。犯行に至るための調査と、犯行後の隠密工作、それがサイバー犯罪の前足・後足だろ。そこも確認せずに、被疑者に相対した時、『身に覚えがない』、『ウイルスによる自動的な動作だ』と言い逃れする余地を与えるのか?」
「そんなの、パケットの整合性だけで十分……」
「甘いな。朝倉、このサーバーのイベントログから、セキュリティログのID 4625をソートしてみろ。犯行時刻の三十分前からだ。」
朝倉が怪訝な顔をしながらもコマンドを叩くと、画面に赤いエラーマークが、滝のように流れ落ちた。
「……何これ。同一IPから特定のアカウントに対して、数秒おきにログイン失敗が記録されてる。パスワードスプレー攻撃?」
「それが前足だ。単なる誤接続なら、数十分もかけて攻撃を繰り返したりはしない。この執拗な試行ログこそが、このIPの主が識別符号を不正に取得しようとしていたという、明確な犯意の疎明になる。」
朝倉のタイピング速度が少し落ちたが瞳は力強く光った。
それは、被疑者側の心理をログから立証するという発想を、朝倉が理解しようとしたからかもしれない。
「次、サーバー側のNTFSファイルシステム内にある$LogFileと$UsnJrnlの解析。犯人がログアウトした直後からだ。」
朝倉が指示通りにジャーナルのバイナリデータを解析にかけ、目を見開いた。
「……ファイルの削除フラグが立ってる。あ、これ……Webサーバーのアクセスログの一部が消されてる?それに、イベントログのID 1102。セキュリティログの消去記録……」
「そうだ。わざわざログを消去する手間をかけたという事実こそが、違法性の認識の証拠になるだろう。これを報告書に盛り込まずに、どうやって裁判官に犯罪事実の特定結果を説明するつもりだ?」
朝倉は黙り込んで、画面に映っている犯行の瞬間を示す鮮やかなパケットデータと、その前後を固める泥臭い悪意の証拠を眺めていた。
「……佐藤、あんた。これ、どこで覚えたの?」
朝倉の声からトゲが消え、代わりに底知れないものを見るような畏怖が混じる。
「被害者側のデータしかない状況で、故意を含めた構成要件に結びつけるなんて……。そんなの、現場で辛酸舐めた経験がある人間じゃないと出てこないでしょ。」
「……各条文を実務レベルで読み解けば、自然と行き着く……だろ。」
「嘘だよ。私は指摘されたことで、画面の向こうに人間が居るって意識したけど、佐藤はまるで現場を見てきたみたいに手に取るように分かってる……。法律の知識だけじゃない、これは……」
朝倉は、俺の横顔を、異分子を見るような目で見つめていた。
「……気にするな、朝倉。それより、今の証跡をキャプチャして報告書に組み込むぞ。それと、このサーバーが識別符号によるアクセス制御を適切に行っていたことを示す設定ファイル……$ACL$関連のダンプも忘れるな。管理の不備を突かれたのか、防御を破られたのかでは、説明が変わるからな。」
朝倉は呆然としたまま、しかし抗うことなく、俺の指示通りに指を動かし始めた。
周囲では、他の班が依然としてパケットの仕分けに四苦八苦している。
朝倉の指先が、これまでとは違う重みを持ってキーボードを叩く。
彼女が作り上げた報告書は、もはや単なる学生の演習課題ではなく、実務の捜査現場でもそのまま通用する「犯人の実体」を射抜いた書類へと変貌していた。
「……できた。これで文句ないでしょ。」
朝倉が共有フォルダに最終稿をアップロードし、ふぅ、と深く息を吐く。
その横顔には、課題を終えた達成感よりも、俺に対する戸惑いの方が色濃く浮かんでいた。
「佐藤。あんた『犯人ならこう動くはずだ』っていう生々しい前提から、ログを逆算して繋ぎ合わせてる。……それ、何回も被疑者の心理を読み解いてきた人間じゃないと出来ないような、ベテランの思考回路じゃない?」
そう言って朝倉はじっと俺の瞳を覗き込んできた。
「……買いかぶりすぎだ、朝倉。俺はただ、効率的に令状を取りたいだけだ。さて、報告に行くぞ。」
俺は椅子を引き、立ち上がった。
教卓へ向かう背中に、いつの間にか作業を止めてこちらを伺っていた他の班の学生たちの視線が突き刺さる。
一発で合格を貰った俺たちは、他の班が終わるまで居室での自習を言い渡され、教場を出た。
簡単に荷物をまとめて廊下に出ると、陰に控えていた2人のSPが、無機質な機械のように俺の歩調に合わせて動き出した。
前世の『刑事』としての魂が、教場の『警察官ごっこ』を許せず、つい表に漏れ出してしまい、俺は自嘲が零れた。
「ま、それも悪くないか……」
独り言は、随行するSPの足音にかき消された。
俺は自習で何をしようかと考えながら、ゆっくり居室に足を向けた。
