katayama1

 今までパソコンやデジタル技術の発展によりさまざまな事件が副産物として生まれました。
 今回は過去のデジタル業界に関する事件を再度読み取り、そこから得られるものや学ばなければならないことを考えていきたいと思います。なお、特集は内容が長くなりますので、数回に分けて掲載していきます。

 まずは過去の記憶も新しい片山祐輔被告のPC遠隔事件について考えてみましょう。
katayama2

1.事件の発端

 2012年の夏から秋にかけて、インターネット掲示板を使用して13件の殺害予告や襲撃予告がありました。当初、操作本部は今までの操作方法と同様に捜査をし、東京都と大阪府・福岡県・三重県のそれぞれ男性4人を逮捕しました。そのうちの大阪の男性は容疑を否認し続けたために、オタロード殺人予告で市や府警の業務を妨害した業務妨害罪で起訴に至るところまでなりました。
 しかしその後、三重県の男性のパソコンから「トロイの木馬」によるウイルスが見つかり、それが遠隔操作用のプログラムであったため、他の大阪の男性を含めたパソコンを調べたところ、三重県の男性のパソコンと同じプロクラムが見つかったため、逮捕された4人は無罪となり、操作がもう一度やり直しとなりました。


kensatu

2.なぜ、誤認逮捕となったのか

 今までのネットの書き込みの予告など、インターネットに関する事件については「IPアドレス」が操作の鍵と言われていました。「IPアドレス」とはネットワークの接続場所を特定することができ、今までの操作に関してもこの「IPアドレス」を基に捜査して犯人を捕まえていました。今回の犯行予告も警察側はこの「IPアドレス」を基に操作したところ、この4人が浮上し誤認逮捕となったわけです。
 この時に、最初の逮捕の段階で押収されたパソコンの中身をきちんと捜査すれば他の3人も誤認逮捕されることがなかっと思いますが、警察の捜査の中には「遠隔操作」されているということは全く考えておらず、「IPアドレス先の人=犯人」ということしか考えられていませんでした。

iesys

3.遠隔操作のウイルスはどこから感染したか
 
 この事件で使用されたプログラムは「IESYS.EXE」と呼ばれるプログラムです。
 ではどこで感染されたかと言いますと、国内最大の掲示板である「2ch」の掲示板から感染されたようです。2chの掲示板の中にソフトを探してもらう掲示板があり、その中に仕組まれていました。投稿者は「こんなソフトを探してください」と掲示板に依頼すると、他の投稿者がその掲示板に入手先のURLを貼ってくれるというものです。その入手先のURLの中に「IESYS.EXE」のダウンロードが仕込まれていたわけです。閲覧者はそのURLをクリックすると、通常のソフトがダウンロードされますが、それと一緒に「IESYS.EXE」もダウンロードされてしまったようです。

iesys2


 スポニチの記事によると、被害者の一人は以下のように言っています。

 捜査関係者によると、男性は県警に「ソフトをインストールしようとしたら、パソコンが異常な動作をした」と説明。県警は、ソフトのダウンロードを通じ不正プログラムが侵入し、遠隔操作されるようになった可能性が高いとみて調べる。

 ここから読み取れるのは、普段私たちがインターネットを閲覧するときに、次のページを閲覧しようとしたり、またソフトや動画などをダウンロードを行ったりするときに、無意識のうちに安易にクリックしてしましますが、そのクリックされた先に常に危険性が潜んでいるということです。今回の被害者は何気なく特定のURLをクリックしたのでしょう。
 まさかその先にウイルスが潜んでいるとは思いません。また、ウイルス対策ソフトはもちろん導入しているため、ウイルス対策ソフトが反応しない=安全であると思い込んでしまったと思います。

Antivirus


 重要なのはウイルス対策ソフトは万全とは言えないということを認識しなければなりません。ウイルス対策ソフトは発見なったウイルスの不正コードを読み取り、それをパターンとしてデータベースとしています。ウイルスチェック時にはそのパターンと照らし合わせてウイルスかどうか判断するのです。今回のようにウイルスとしての動作でなく、一種のプログラムとして動作させるものに関しては、不正コードが含まれていないため、発見できない可能性が十分にあります。そのため被害者のパソコンもウイルス対策ソフトが反応しなかった要因となります。


4.今回使われたウイルス(ソフト)はどのようなものなのか。

 上記でも触れた通り、今回使われたウイルスは「IESYS.EXE」というものでした。
ここでウイルスと呼んでいますが、実際にはウイルスではなく一つの実行ファイルです。
今後の防御のためにもこのウイルスが行えることを理解しておかなくてはなりません。
 このソフトは遠隔操作が出来るソフトです。遠隔操作とは、他人のパソコンを別の場所から操作できるものです。
TeamViewerMKVNCMK



 よく遠隔操作のソフトとしてTeamViewerやVNCなどが挙げられます。これらのソフトはきちんと「遠隔操作」という目的でインストールされるきちんとしたソフトです。サーバーの監視やユーザーのサポートなどに使われていますが、これと同じようなソフトと考えた方が良いと思います。
 しかし、通常のソフトと違うのはパソコンの内部にひそんでいるため、相手側はソフトが入っているということに気づかないということです。また、通常の遠隔操作のソフトは操作されている動きが相手側の画面で確認できるため見えますが、今回使われたソフトは遠隔操作をされているような動作が画面で見えないため、相手側は遠隔操作をされているという実感がないことが上げられます。

 今回の「IESYS.EXE」の特徴としては

・ユーザが入力する情報およびマウスの操作が記録できます。そのため、入力したパスワードなどがリモート側のログで分かります。
・スクリーンショット(相手側のデスクトップ画面などを取得できるため、相手の情報が丸わかりです。
・ファイルのダウンロードとアップロード。ファイルのダウンロードにより個人の情報が収集可能で、ファイルのアップロードにより、犯人としてねつ造できる情報の入ったファイルを相手に送ることができます。
・ファイルの検索・列挙・実行。相手側の重要なファイルもみつけることができ、また、ファイルの実行・コピー・削除も可能です。
・「IESYS.EXE」自身のアップデートと削除。このファイルが使用されていないようにみせかけるためのものであり、自身のアップデートはウイルス対策ソフトが更新される前に、アップデートを行うことによって検知されないようにします。また、捜査が及んだ時に証拠を一切なくするために、自分自身を削除することもできます。
・パソコンの環境設定の変更。これは遠隔操作するために必要となります。
・利用した掲示板のスレッドの更新。これも前記と同様に遠隔操作するために必要となります。
・隠しブラウザで特定のURLを操作および開く。今回の事件の書き込みに欠かせない機能で、相手側に気づかれることなく特定の掲示板に書き込みできます。今回の事件のキーポイントの機能です。

enkaku

 このように、犯人側から相手側の情報が筒抜けの機能があるため、特定の個人情報も入手できてしまいます。先ほども触れたとおり、ウイルス対策ソフトが反応しないため相手側にバレないというのが大きな特徴になります。唯一、遠隔操作されているかどうか判断できるキーポイントはタスクマネージャーでみたことのないソフトが動いているのを確認するか、変なネットワークの送受信を行っているかしかありません。

 この事件はWindowsのパソコンがターゲットなりました。しかし怖いのは、コードを改変すればAndroidの端末やiphoneなども十分にターゲットになるということです。過去の犯罪は自分の端末がわからいように俗に言う「鯖」(プロキシ)を使用してIPを偽造しての犯罪でした。しかし、今回の事件で「遠隔操作」を使った今までは考えられない手法で犯罪を行っているという非常に怖い方法になっているということです。

 今回は前半部分を振り返ってみました。次回はその後の片山祐輔が起こした数々の事件から逮捕までを再検証しながら考えていきます。