今天要談「＃木馬抗辯」（Trojan Defense）。

《 前言 》

去年我參加一場研討會，報告者及與會人士在討論「木馬抗辯」，讓我想起先前陪同當事人以被告身份接受警察製作訊問筆錄時（案由：妨害電腦使用罪），當事人也是主張「木馬抗辯」，並提供自己的電腦硬碟給警方進行數位鑑識，以證明當時自己並不是駭客，而是自己的主機與IP位置遭他人當作跳板（中繼站）。所以，什麼是「木馬抗辯」呢？

《 木馬抗辯的介紹 》

所謂「木馬抗辯」，就是SODDI-「其他傢伙幹的好事」（Some Other Dude Did It），指被告辯稱網路攻擊行為並非自己所為，而是有駭客透過木馬程式（藉由正常的軟體而植入惡意軟體）控制其電腦，並透過其電腦進行其他攻擊行為。

雖然被告無法證明其清白，但抗辯有人或有木馬程式入侵其電腦，並且進行犯罪行為。

舉例：被告爭執不是他幹的，而是有人駭進他的帳號，並在網路論壇留下關於援助交際的訊息。

此時，要確認被告在電腦上的數位活動及其時間線，並根據經驗法則去判斷事實。

另一種常見的木馬抗辯情況是：被告會宣稱有人遠端遙控他的電腦，且登入他的email帳號並發送勒索或誹謗信件給被害人。

此時，要查清通過「命令列介面」（command-line interface）的IP地址（IP address），或是能偵測出木馬程式及其時間戳記（Time Stamp）。

《 無罪推定：只有入侵IP的證據是不夠的！》

依據刑事訴訟法第154條第1、2項規定：「被告未經審判證明有罪確定前，推定其為無罪。犯罪事實應依證據認定之，無證據不得認定犯罪事實。」，此即「無罪推定原則」與「證據裁判主義」的規定。

現在多數的偵查機關都能了解中繼站（跳板）的網路犯罪攻擊模式，所以較能夠接受被告的木馬抗辯解釋，但仍會往一些方向及證據去偵辦，例如：電腦中是否被植入木馬、是否有不明的登入紀錄（Log）。若光憑IP紀錄、遭破壞的資料庫等事證，根據無罪推定原則，還是無法認定被告有罪。

因此，實務上通常會需要其他補強證據，才能進一步地超越合理的懷疑，足認被告有電腦犯罪的事實，例如：透過專業電腦鑑識人員進行分析有無「木馬入侵」的可能性，或是遭破壞的資料庫與被告過去身份或活動的關聯性。

《 我國實務的看法 》

〖臺灣高等法院臺南分院99年度上更(一)字第159號刑事判決〗

原審徒以中華電信股份有限公司函以：被告在使用該公司之固定ＩＰ方式上網且電腦無適當防護情形下，有可能會出現安全漏洞，亦不排除可能遭人植入木馬程式或其他後門程式方式侵入，此木馬程式或其他後門程式大部份可被防毒軟體偵測出並阻擋，唯對未公開或未知之病毒及威脅則無法偵測等語，認被告辯稱其電腦遭他人入木馬或其他後門程式後，利用其妻火秀英帳號名稱所為等，應堪採信云云，而疏未斟酌「被告供稱於九十五年間已至少有二次以上遭人以木馬程式入侵」，則其遭入侵之機率不可謂不頻繁，其於九十六年一月二十七日重新安裝系爭主機作業系統時，竟仍未同時安裝防毒軟體，實與經驗法則有違及「被告於警詢後四日即將電腦重灌致其案發當日之九十五年十二月十四日操作歷史軌跡全遭刪除，是否為畏罪情虛而湮滅證據之舉」等情，因而諭知無罪，自有未洽。

〖最高法院101年度台上字第5058號刑事判決〗

刑事警察局電腦鑑識報告「鑑識分析」說明編號十記載：「本局使用防毒軟體ESETNOD32Antivirus4掃瞄，發現有二十五支可疑程式，但無法判定是否有將本機資料傳輸出去，結果如下……」。原判決斟酌鑑識意見及其所列之二十五支程式，認告訴人之電腦主機內有多數可疑病毒及木馬程式，但是否因此遭人不法入侵並傳送檔案，實未可知等情。所為論敘，與卷內資料並無不符。

〖最高法院107年度台上字第1010號刑事判決〗

就100年7月18日電腦鑑識報告所為說明，可知扣案桌上型電腦經鑑定，未發現有木馬程式或遠端監控程式執行情形。

上訴人老家在宜蘭，其與家人有長期搭乘火車往返臺北與宜蘭之需求，具有犯罪動機；其為實際使用上述桌上型電腦及筆記型電腦訂票之人，所辯：電腦遭駭客入侵或植入木馬程式，而遭人利用作為跳板云云，不足採信。

從上面的實務見解，可以得知一些訊息：

法官除透過鑑識專家進行「數位鑑識」的數位證據外，也藉由「情況證據」（Circumstantial Evidence）或「補強證據」（Reinforcing Evidence）去認定或補充直接證據不足的事實。

這也是被告與檢察官在訴訟進行中的攻防重點！需要細膩且強而有力的論點去支撐，才能真正的說服法官！