サーバ管理者から見る”加計問題”に関するデータ

こんばんは。

割とどーでもいい問題だとは思ってますが、加計問題に登場するデータ、メールに関して。
サーバ管理をしてる側から言うと、民進党の証明の仕方はまず、間違ってます。

とりあえず、この手で確認する場合。

■メールに関しての確認
・メールは、メールソースに”Message-id”があります
・そのidと、サーバのログにあるidが合致している場合、”そのサーバから送信されたメールである”ことだけが言える

逆に言えないことは、
・受信トレイにあるから、受診したものとは断言出来ない
・送信済みトレイにあるから、送信したものとは言えない
・メールを印刷して、ヘッダーと本文のフォントが違ったとして、改ざん・切り貼りとは断言出来ない
・全ての送受信メールをミラーリングして、アーカイブしていない限り、添付ファイルのファイル名などを再確認は出来ない
・受信トレイに出る時間は、”送信側のクライアントの時計”で、偽装は誰でも出来る

つまり、メールはサーバ間を移動しながら、クライアント間のメールボックスを”移動”するメールなので、移動中にコピー、またはアーカイブされてない限り、”それが通ったか?通ってないか?”しか言えない。
更に言うと、通過してる場合、”どのメーラーとメールサーバが通信したか?は、確認が出来る”

■共有フォルダに関して
共有フォルダに関して言えることも、また”ログ”のみ
・誰がそのファイルを新規保存したか
・誰がそのファイルを移動・削除、上書き、開いたか?に関しては、環境にもよるが…ユーザー名、アクセス端末のIP、アクセス日時は特定出来る

逆に、断言出来ないこと
・ファイルの作成日時、更新日時、最終更新日時…などなど、全てのタイムスタンプは偽装は出来る
・保存ユーザーも、当然変更出来る

ま、こんな感じなので”知ってるヒト”は、”ログしか信じない”。
更に言うならば、ログ自体も改ざんされるリスクがあった場合、”何一つ、断定出来るもの”は無い。

逆に言うと、ログ以外のモノは 私でも数分で偽装出来ます。なんとな〜く、政府側は、この辺りを知ってるような気がしますね(笑)

とりあえず、文科相側が確認しなければならない事は、
・共有フォルダがある機器への不正アクセスの有無
・メールサーバへの不正アクセスの有無
・当該期間の共有フォルダへの監査ログ、メールログの有無
・14ファイルが有ったならば、そのファイルへの全ての監査ログ
・メールサーバの受信ログとMessage-Idの確認
・メールサーバの送信ログと送信先のアドレス確認
※送信日時(Date)は当てにはならないが…ログから追うには楽かも
・リークのメールのToと、Ccのログの合致確認
・リークのメールのファイルサイズ

そこまでやれば、自然と事実は炙り出されます(笑)
逆に言うと、そのログが無いならば、どちらも以下は断定出来ない
・送信されたメールが、本当にそのアドレスのサーバを経由したか
・受信したメールが、本当にそのアドレスのメールボックス(サーバー)に来たか
・14個のファイルは、誰が作り、更新・移動・上書きをしたか

この3つが全て内部を通っていれば、内部の端末が特定出来る。
改ざんが無い証明には、そのログで特定した全ての端末に、
・遠隔操作された脅威が無い
・割り当てられた担当だけがログイン、操作している
状況が判明すれば、”内部の人間が作り、流した”。

それしか断定出来ない。

もっと言うと、以下は偽装出来るので、普通”事実や根拠”としない。
・メールの送信日時
・送信者、受信者、CCの表示名
・添付ファイルの名前
・メール表示の際の表示や、デザイン
・共有フォルダ内のファイルの作成、保存、更新日時
・Office文書などのユーザー名

と、こんなとこですかね〜
なんとな〜く、政府や文科相側は、何か掴んでますね。
もし、調査にご協力が必要ならば、ご協力しまーす(笑)

こんなどーでもいい事の議論より、大切な議論をして下さいませ。
ちなみに、PDFをイラレで開くヤツは…切り貼りの証明にはならない気はしますね。直接確認はしてませんが、なんとな〜くそんな気がしてます。

あと、複合機ってメモリにログ残してますので、偽装した方で複合機使ってる場合…調べられたら、ま。当然バレますよ〜

おそらく、MS社やAdobe社などの技術の方ならば、もっとポイントを突いた、断定が出来そうですがね。
300万ファイルあった!なんて話なので、共有フォルダの監査ログを探すとなると…TBレベルのログからの調査でしょうね…ご愁傷様です。。。
再調査の遅かった理由は、この辺りの追跡だったんでしょうね(笑)

幕引きは、早そうな気がしますね…
メールデータ自体を検証するなら、メールヘッダとメールサーバのログで。ログを見ないなら、全ては偽装可能。
共有フォルダ内のファイルの検証をするなら、監査ログの確認を。単純に、そのフォルダにWrite権限があるユーザ、または端末から保存してるでしょうから。

1000万の監査ログで、50とか60GBなので…
1000億とか1兆、どうかしたら1京レコードの監査ログとかかもしれませんよね…

お疲れ様です。
事実だけを確認して、整理すれば ログ次第では、誰がリークしたか?どの経路か?だけはすぐわかりそうですね。