IT弁護士カンダのメモ。

検察官がファイルのタイムスタンプ（更新日時の情報）を変更し，証拠隠滅罪で逮捕されたと。

では，なぜにタイムスタンプの変更が発覚したのか。おそらく，ウィンドウズで管理している更新日時と，アプリで管理している更新日時が違ったからではなかろうか。デジタルフォレンジクス的には興味深い。

追記：その後，まわりの弁護士から情報提供あり，ばれた原因はFATのデータなのではないか，というような結論となった。ただ，話としてはおもしろいので，最初に書いた検証記録も残しておきます。

簡単に検証してみた。（ワードで検証したら，となりのブースの弁護士から一太郎だよと指摘を受けたので，一太郎は下に）

１　ファイルのプロパティ

ファイルを右クリックして，プロパティ

２　何もしない状態の更新日時

  ９月２２日，となっているとして

３　ファイルのプロパティ変更ソフトでタイムスタンプを変更する

今回利用したフリーソフト（Attributer）の画面。

更新日時を９月２５日に変更してみる。

４　タイムスタンプが変わる

プロパティの表示は変わっている。

５　しかしワードの画面では，依然，更新日時は「今日」すなわち２２日の ままだったりする。

これは，ワードがdocxファイルの中で独自に更新日時を管理しているためだろう。

ニュースでは，専門家が見れば改ざんされたことが分かる，と言っていたので，こういう簡単な話ではないのかもしれないが。

６　巧妙にやるとしたら。

もっと巧妙にやるとしたら，ファイルをバイナリエディタで開いて，アプリが独自に管理しているタイムスタンプも変更せねばならないのでしょう。

７　一太郎の場合

　一太郎でも同じようにやってみたところ，文書情報では，Windowsの更新日時がそのまま表示された。一太郎マクロのGetDocumentInformationで情報を取ってみたが，結果は同じだった。

　そうすると，総編集時間や編集回数にでも矛盾があったのだろうか。

８　なお，上記のword2010ならファイルはOpenXMLなので，タイムスタンプ情報はメモ帳でも変更可能。

まずは，拡張子をdocxからzipに変更し，圧縮フォルダに変更する。

このフォルダを開くと，ファイルプロパティのサブフォルダにcore.xmlが表示されるので，これを解凍して開く。

たしかに，modifyの日付が２２日のままになっていると分かる。そこで，これを３０日に変更してみる。

そうすると，更新日時の表示が３０日に変わることを確認できる。