警察は証拠隠滅していた

先日、押収されていたケータイをようやく取り扱うことができた。これまで取り扱わなかった(取り扱えなかった)のは機器の不調と、取り扱うための機器が見つからなかったためだ。

対象となるケータイは、2001年のDDI PHSと、2004年のauケータイ、2005年のauケータイだ。それぞれ必要となるハードウェアもソフトウェアも異なるし、現在のソフトウェアでは取り扱えない代物だ。

まず機器自体がダメになっているのも痛い。調査時に分かったことだが、PHSに至っては満充電から1分も経たず電池が切れる。ケーブルをつないでおける形式でなく、必ずドックに挿して充電するタイプのため、なかなか難しい。通信ケーブルを挿した状態でドックに挿すのもなかなか大変だ。

とりあえず一通りチェック。

  • PHS (逗子)は機器が傷んでいるものの正常
  • ケータイ W21S(静岡南)はデータが完全消去されている(メール、アドレス帳、データフォルダ)
  • ケータイ W31T(静岡南)はコードを挿しても全く反応しない

つまり、証拠捏造を行った静岡南だが、静岡南は真実を証拠提出されることを恐れ、データ消去によって証拠隠滅したことになる。W31Tが通電しない理由は分からない。

これだと逗子がまっとうであるかのように見えるが、逗子はPC(VAIO MX2)のデータをデタラメに消去(wipeではなく、システムフォルダを含むデタラメ消去)して破壊していた。静岡南はWindowsのほうだけユーザーデータを証拠になる部分を中心に削除していた。結局、何を対象にしたかの違いであり、やっていることは同じだ。

警察がいかに証拠捏造・証拠隠滅を日常的に行っているかがよくわかる。都合のいい偽りの真実をでっちあげ、都合の悪い真の真実は消去することで犯罪をでっちあげるところであるらしい。

というわけで、今回はPHSのフォレンジックが中心。ただ、データを吸いだそうとすると、どうしてもタイムアウトしてしまい、しかもタイムアウトすると途中まで取得するわけでなくゼロになる。この仕様のため、非常に苦労した。通信速度を最低にしてトライして成功したが、実際の通信速度を見る限りそれは関係がなさそう。結局、2日もかかった。

2009年にこれまで取得してあったものについては変換してあったが、あらためて再変換。

古いメールについては比較的簡単。以前よりもスマートに

ruby -e "STDIN.read.split(/^.+BODY.+$/).each_with_index {|x,i| File.open(%(#{ARGV[0]}/#{i + 1}), 'w') {|f| f.write(x); puts x } }" ~/mnt/Mail/PHS-Archive/last/inbox < phsmbox

一方、新しいほうの形式はいきなりFromまたはToのヘッダではじまるので厄介。UTF-8化を含めて中間処理を加えた上で出力。

lv 受信簿.hms | ruby -e "STDIN.each {|line| puts '--*受信簿.hms--*受信簿.hms--' if line =~ /^From: /; puts line}" >| ~/tmp/lastpdx.in
ruby -e "STDIN.read.split('--*受信簿.hms--*受信簿.hms--').each_with_index {|x, i| File.open('%s/%d' % [ ARGV[0], i+1 ], 'w') {|f| f.write(x) } }" ~/Mail-PHS-Archive/last/inbox < lastpdx.in

しかしこれでは先頭に空行が入ってしまい、しかも単純に空行を削除するとUTF-8なのでClaws Mailで文字化けする。JISの標準のメールに変換するため、次のようなcomplex commandを実行。これは古いメールのほうのもの。

for i in */*/<->
do
nkf -j < $i | sed -e '1d' >| ../2002-conved/$i
done

これで通常のようにClaws Mailでメールを読むことが可能になった。メール自体がe-mailの形式に準拠していないが、MHの形式にはなっている。

さて、肝心のメールだが、取得されていなかったメールはinboxに77、sentに56。これは私が読んでいないものを含み、例えば当時の彼女の

From: *@docomo.ne.jp
To: *@pdx.ne.jp
Subject:
Date: Fri, 03 Oct 2003 19:00:32 +0900 (JST)

悠介?ねぇってば!!

などというのはかなり胸が痛む。まぁ、この子とはその後連絡がとれて、そして急に連絡がなくなったのだが。

で、私が強引に呼び出したとか言われているのだが、今回取得した受信メールでいうと

From: *@docomo.ne.jp
To: *@pdx.ne.jp
Subject:
Date: Mon, 29 Sep 2003 04:31:02 +0900 (JST)

結局寝れてないの。でも今から一時間でも寝るようにがんばる。
今日話を聞いてもらいたいんだけど…
多分記録とレポートと睡眠不足で難しいかもしれない。どんなに辛くても今優先すべきは自分の将来だからさ。やることはやらないといけないし…
終わるのは5時だし。今は横須賀の外れに行ってるの。
*が番号ですが…
ありがとう。
今はその気持ちだけでがんばれるよ!
それでも聞いてくれるのなら31か1の方が落ち着いて話せるじかんがあるの。
我儘言ってごめんね。今度こそおやすみ。

From: *@docomo.ne.jp
To: *@pdx.ne.jp
Subject: ありがとう。
Date: Mon, 29 Sep 2003 16:50:51 +0900 (JST)

1日の方がいいかも。って31日は今月は無いはずだから…一日ずれてたりするかな?
どうだろう?
私も住まいは横浜だけどね…実習先が横須賀なんだよ。
ありがとう(^^)v
そこまで心配しなくても大丈夫だよ!時は確実に過ぎて行くし。
時間は掛かっても人間には自然治癒力ってものが備わってるし。ね!

From: *@docomo.ne.jp
To: *@pdx.ne.jp
Subject:
Date: Tue, 30 Sep 2003 12:28:05 +0900 (JST)

荷物重たいからあんまり遠くに行きたくないなぁ~
なんて私は我儘なんだな☆
足はバイク?逗子には来たことある?

さて、これで私が一方的に強引に呼び出したように見える人はどんな目を持っているのだろう?

About haruka

主宰。
音楽家であり計算機使いであり、ライダーであり声優でもある。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください