R v F (2025): Addressing the Defence of Hacking

この論文は、被告人が「ハッキング（第三者犯行）の抗弁」を主張した「R v F」事件における実証的調査と陪審への証拠提示を通じて、デジタル・フォレンジック調査官が同抗弁に対処し、無実の者を釈放し有罪を立証するための実践的な教訓と技術を提供する初の事例研究である。

要約

この論文は、**「私のスマホはハッキングされたんだ！だから私が悪いことをしたわけじゃない！」**という言い訳（防衛）が、実際に裁判でどう見破られたかを説明した実話です。

専門用語を排し、身近な例え話を使って解説しますね。

🕵️‍♂️ 物語のあらすじ：「悪魔のいたずら」か「本人の仕業」か？

ある男性（被告 F）が、子供に不適切な画像を保存・共有した罪で逮捕されました。しかし、彼は法廷でこう主張しました。
「俺はハッキングされたんだ！誰か他の奴（Some Other Dude）が私のスマホに侵入して、画像を仕込んだんだ！」

これは「トロイの木馬防衛」や「SODDI（Some Other Dude Did It）防衛」と呼ばれる、よくある言い逃れです。裁判所は「本当にハッキングされたのか、それとも嘘をついているのか」を確かめる必要がありました。

そこで、デジタル捜査の専門家（著者のジュナード・アリ博士）と警察がタッグを組んで、この「ハッキング説」を検証しました。

---

🔍 検証のステップ：3 つの「魔法の鏡」

博士は、ハッキングが本当に起きたかどうかを調べるために、3 つの段階で調査を行いました。

1. 最初のチェック：「電話帳と請求書の矛盾」

被告は「ハッキングされた証拠だ！」と、携帯電話の請求書や特定の日に警察に拘束されていたという事実を挙げました。

• 博士の発見: 請求書のデータは、ハッキングのせいではなく、単なる「背景通信（スマホが勝手に使うデータ）」の集計ミスでした。また、ハッキングで画像を仕込んだとしても、そのアプリを使うには「電話番号の操作権」が必要なのに、被告はそれを握っていたため、ハッカーが勝手にやったとは考えにくい、という矛盾が見つかりました。
• 例え話: 「泥棒が家に入りました」と言う人が、「泥棒が玄関の鍵を壊した」と言いますが、実は「鍵は開いていて、主人が自分で開けた跡がある」ようなものです。

2. 2 番目のチェック：「スマホの心臓部（内部）を解剖する」

次に、警察が押収した iPhone と Android スマホを詳しく調べました。

• 博士の発見:
  • iPhone: 安全な状態（ジャイルブレイクされていない）でした。ハッカーが侵入するには、まずこの「壁」を壊さなければなりませんが、その痕跡はありませんでした。
  • Android: これも「ルート権限（管理者権限）」をハッカーが取得した形跡はありませんでした。
  • 結論: 最新のスマホをハッキングするのは、何百万ドルもする「ゼロデイ攻撃（未公開の超強力なハック）」が必要ですが、そんなことが 2 台の異なるスマホで同時に起きたとは考えられません。
• 例え話: 「誰かが私の部屋に忍び込んで、勝手に本を置いた」と言いますが、窓は閉まり切り、鍵は掛かっており、防犯カメラにも誰も映っていません。

3. 3 番目のチェック：「画像がどうやって入ってきたか？」

では、なぜ大量の悪い画像がスマホに入っていたのでしょうか？

• 博士の発見: 画像は「Telegram（テレグラム）」というチャットアプリの**「自動キャッシュ機能」**が原因でした。
  • 被告は、子供に不適切な画像を共有するグループに参加しました。
  • そのグループで画像が送られると、Telegram は**「ユーザーがダウンロードボタンを押さなくても、自動的に画像をスマホに保存する」**という仕様になっています。
• 例え話: 被告は「悪いニュース（画像）」が流れる「放送局（グループ）」に自ら入り、ボタンを押さずにテレビをつけていました。すると、テレビが勝手に悪い映像を録画し始めたのです。「私が録画ボタンを押したわけではない」と言っても、**「放送局に入ったこと自体が罪」**なのです。

---

⚖️ 裁判の結果：嘘はバレた

裁判で、被告は「ハッキングされた」という言い訳を捨て、**「酔っ払って友達にスマホを触られた」**という新しい言い訳に変えました。しかし、検察官は「クリスマスに子供に不適切な画像を要求した証拠がある」と指摘し、被告の言い訳が次々と崩れていくことを示しました。

陪審員（一般市民の裁判官）は、「被告が画像を意図的にダウンロードしたのか、それとも自動保存されただけなのか？」という点で迷いましたが、最終的に裁判官から**「1 つの画像でも、意図的に手に入れたと確信できれば有罪」**という指導を受けました。

結果：被告はすべての罪で有罪となりました。

---

💡 この論文が伝えたい重要なメッセージ

この事件から、デジタル捜査には 2 つの重要な教訓があります。

1. ツール任せはダメ： 単に「ハッキングの痕跡（IOCs）」を探す機械的なツールだけでは不十分です。
   • 例え話: 探偵が「犯人の指紋」を探す道具しか持っていないと、「指紋がない＝無実」と思ってしまいます。しかし、実際には「犯人が手袋をしていた」か、「別の方法で入ってきた」かを考える必要があります。
2. 「物語」を構築する： 専門家は、単にデータを見るだけでなく、「どうすればハッキングが起きたか（理論）」と「実際にはどう起きたか（証拠）」を照らし合わせ、**「最も可能性が高いストーリー」**を構築する必要があります。

🌟 まとめ

この論文は、「スマホがハッキングされた」という言い訳は、最新の技術と論理的な調査で簡単に見破れることを示しました。

被告は「悪魔（ハッカー）がやった」と言いましたが、実際には**「自分が悪いグループに入り、自動機能で悪いものが溜まってきた」**という事実が明らかになりました。

これは、デジタル捜査の専門家たちが、単なる「データ読み取り」ではなく、**「事件の真実を解き明かす探偵」**として活躍することで、無実の人を救い、罪を犯した人を正しく裁くことができることを示す素晴らしい事例です。

技術概要

R v F (2025): ハッキング防衛（トロイの木馬防衛）への対応に関する技術的概要

Junade Ali 氏による論文「R v F (2025): Addressing the Defence of Hacking」は、英国の刑事裁判において、被告が「ハッキングされた（SODDI: Some Other Dude Did It Defence / トロイの木馬防衛）」と主張するケースに対し、デジタルフォレンジック調査がどのように実証的証拠を提示し、陪審員の判断を導いたかを詳述した初のケーススタディです。

以下に、問題、手法、主要な貢献、結果、および意義について詳細にまとめます。

---

1. 問題定義 (Problem)

• 背景: コンピュータ犯罪において、被告が「第三者によるハッキング」や「マルウェアによる不正アクセス」を主張し、自身の犯行を否認する「トロイの木馬防衛（SODDI 防衛）」は頻繁に提起されます。
• 課題: 過去 20 年以上にわたり、この防衛を科学的に検証し、無実の者を釈放し有罪者を処罰するための実証的なケーススタディや、フォレンジック調査員向けの具体的な技術的アプローチが学術文献に欠けていました。
• 既存研究の限界: 既存の研究は歴史的な事例の概要や、理論的な多分野アプローチの提唱に留まっており、モバイル機器の普及後の実社会での具体的な調査手法や、メモリフォレンジックなどの高度な技術を用いた実証評価が不足していました。

2. 調査手法 (Methodology)

著者は、被告 F 氏（児童性的虐待画像の作成・所持容疑）の主張するハッキングの信憑性を検証するため、**「段階的な仮説検証アプローチ」**を採用しました。

A. 予備調査 (Preliminary Investigation)

• 文書レビュー: 警察から提供された書類（通話記録など）に基づき、ハッキングの可能性を紙面上で検討。
  • 結果: 被告が警察の拘束中に「不審なネットワーク活動」があったという主張は、モバイル通信の請求データが「1KB 単位」ではなく「総量単位」で集計される仕組みの誤解であったことが判明。
  • 結果: 資格情報の侵害通知（Compromised Credential Notifications）を根拠としたアカウント乗っ取り説は、児童性的虐待材料（CSAM）が特定のアプリ（電話番号の制御が必要）に保存されていた事実と矛盾するため否定。
  • 技術的評価: 最新の iOS と Android の両方のデバイスが同時にハッキングされるには、数百万ドル規模の「ゼロデイ脆弱性」が必要であり、現実的ではないと判断。

B. 本格的なフォレンジック調査 (Forensic Investigation)

• イメージ取得: 警察の刑事が Cellebrite UFED および Magnet Forensics Graykey を使用してデバイスイメージを取得。
• 第三者検証: 著者（専門証人）が、暗号化された USB メモリを通じてイメージを受け取り、独立して検証。
• IOC（侵害指標）の検索:
  • 手動調査と、Amnesty International の「Mobile Verification Toolkit (MVT)」を使用。
  • iPhone での Safari アイコン関連の IOC は、セキュリティツールの研究による閲覧履歴であり、コマンド＆コントロール（C&C）インフラへの接続や脱獄（Jailbreak）の痕跡は確認されませんでした。
  • Android 端末においても、ルート権限の取得、高度なデバッグ機能、不審な権限を持つアプリの痕跡は見つかりませんでした。
• 行動の再構築: 大量の CSAM が存在した理由を解明するため、タイムライン分析と周辺アーティファクトの調査を行いました。
  • 発見: 大部分のデータは「Telegram」アプリのキャッシュに存在しました。Telegram はメディアファイルを受信すると自動的にキャッシュ（プレビュー用およびアプリ固有フォルダ）にダウンロードする仕様です。
  • 結論: 被告が特定のファイルごとに「ダウンロード」ボタンを押さなくても、グループに参加し共有されたデータが自動的に保存されたことが判明しました。

C. 共同報告と法廷での対応

• 調査結果を警察の刑事と統合し、合意された事実（Agreed Facts）として提出。
• 法廷では、検察側がハッキングの否定と意図的なダウンロード（一部）を主張。被告は「薬物使用時の友人による使用」と主張しましたが、クロスエクサミネーションで矛盾が指摘されました。
• 陪審員からの質問（Telegram キャッシュの動作など）に対し、著者が技術的解説を提供し、それが「合意された事実」として陪審員に伝えられました。

3. 主要な貢献 (Key Contributions)

1. 初の実証的ケーススタディ: 刑事裁判において、ハッキング防衛をデジタルフォレンジック技術で実証的に否定し、陪審員に納得させた最初の詳細なケーススタディの提供。
2. 段階的調査アプローチの確立:
   • 理論的な攻撃ベクトルの検討（ゼロデイ等）。
   • 実機イメージからの IOC 検索（MVT 等のツールの活用）。
   • アプリケーションの動作仕様（Telegram の自動ダウンロード機能など）に基づいた行動の再構築。
   • という 3 段階のアプローチが有効であることを示しました。
3. ツールの限界と人間の分析の重要性: 後続の事例（R v M）において、自動解析ツール（フォレンジックツール）の解析ミス（グループ作成者の誤認）を、手動でのデータベース確認とタイムライン分析によって訂正した事例も紹介し、自動化ツールのみに依存しない「仮説検証」の重要性を強調しました。
4. 実務への示唆: 単なるアーティファクトの抽出・報告ではなく、被告の主張を技術的に検証し、実際の事件の発生順序（Sequence of Events）を再構築する必要性を提言。

4. 結果 (Results)

• 裁判結果: 陪審員は、被告がハッキングされたのではなく、Telegram グループへの参加と、意図的な一部ファイルのコピー、およびアプリの自動ダウンロード機能によって大量の CSAM が保存されたと判断。
• 有罪判決: 陪審員は、各項目について「意図（Mens Rea）」と「行為（Actus Reus）」の両方が成立したと認め、被告は全ての起訴項目で有罪となりました。
• 技術的結論: 被告の主張したハッキングは、技術的証拠（IOC の欠如、アプリの動作仕様、ネットワークログの解釈）によって完全に否定されました。

5. 意義 (Significance)

• 司法への寄与: 無実の者を救い、有罪者を処罰するために、デジタルフォレンジック調査がどのように「科学的証拠」として機能すべきかのモデルケースを提供しました。
• 学術的・実務的ギャップの埋め合わせ: 理論的な議論や過去の事例集に留まっていた分野に対し、現代のモバイル環境（iOS/Android）における具体的な調査手法と、ツール（MVT など）の実践的活用事例を提示しました。
• 今後の方向性:
  • 自動化された解析ツールの限界を補うための、より高度な「仮説検証支援ツール」の開発の必要性。
  • 「生活パターン（Pattern-of-life）」の特定をデジタルフォレンジックに組み込むことの可能性。
  • 裁判結果が公開されないケースが多い現状に対し、専門家による知見の共有とドキュメント化の重要性を説いています。

この論文は、デジタルフォレンジック調査員が、単なるデータ抽出者ではなく、技術的仮説を検証し、裁判所に対して明確な実証的結論を提示する「科学的探偵」としての役割を果たす重要性を浮き彫りにしています。