katayama1

 今回の記事はデジタル技術を使う上で絶対にやってはいけないこととして、過去にあった事件を風化させないためにも、あえて再掲させていただきます。

 今までパソコンやデジタル技術の発展によりさまざまな事件が副産物として生まれました。
 今回は過去のデジタル業界に関する事件を再度読み取り、そこから得られるものや学ばなければならないことを考えていきたいと思います。なお、今回の特集は内容が長くなりますので、2回に分けて掲載していきます。

 まずは過去の事件で大きな話題となった片山祐輔被告のPC遠隔事件について考えてみましょう。
 この事件には、デジタル技術を悪用した事件であり、それによって今までの操作方法が通用しなかった所もありました。しかしながらも、警察の努力によって最終的に片山祐輔被告を逮捕できたという事件であります。また、この事件によって今後のサイバー犯罪の問題点がいろいろ浮き彫りになった事件とも言われています。この片山祐輔被告のPC遠隔事件からサイバー犯罪の捜査の難しさと、それに対する私たちの防御方法を考えてみましょう。
katayama2

1.事件の発端
 事件の発端はある1通のメールから始まります。

 2012年の夏から秋にかけて、インターネット掲示板を使用して13件の殺害予告や襲撃予告がありました。当初、操作本部は今までの操作方法と同様に捜査をし、東京都と大阪府・福岡県・三重県のそれぞれ男性4人を逮捕しました。
 その方法は送信元であるIPアドレスからプロバイダや利用者を割り出し、犯人を割り出すといった方法です。
 インターネットの場合、接続されているユーザーにはIPアドレスが割り当てられています。メールなどを送受信した際にプロバイダ側のログに接続されたIPアドレスと送信先のIPアドレスが記憶されます。このログを元に、送信されたIPアドレスが分かっていれば、当然送信した側のIPアドレスも分かるということになります。
 このIPアドレスから関西圏を中心としたユーザーが割り出され、警察は捜査を行い、メールソフトの中にこの脅迫文のメールがったことから、4人を逮捕しました。
 逮捕された人の中の3人はこのメールを送信した記憶はないものの、送信元であるIPアドレスが一致しているということ、また、実際にこのメールがパソコンの中に存在することから、容疑を容認ぜざるを得ませんでした。
しかし、逮捕された4人の中の一人、大阪の男性は自分はこのメールを流したことがないと容疑を否認し続けたために、オタロード殺人予告で市や府警の業務を妨害した業務妨害罪で起訴に至るところまでなりました。
 しかしその後、容疑を固めるために容疑者のパソコンの内部を再捜査したところ、三重県の男性のパソコンから「トロイの木馬」によるウイルスが見つかり、それが遠隔操作用のプログラムであったため、他の大阪の男性を含めたパソコンを調べたところ、三重県の男性のパソコンと同じプロクラムが見つかったため、逮捕された4人は無罪となり、操作がもう一度やり直しとなりました。


kensatu

2.なぜ、誤認逮捕となったのか

 今までのネットの書き込みの予告など、インターネットに関する事件については「IPアドレス」が操作の鍵と言われていました。「IPアドレス」とはネットワークの接続場所を特定することができ、今までの操作に関してもこの「IPアドレス」を基に捜査して犯人を捕まえていました。今回の犯行予告も警察側はこの「IPアドレス」を基に操作したところ、この4人が浮上し誤認逮捕となったわけです。
 この時に、最初の逮捕の段階で押収されたパソコンの中身をきちんと捜査すれば他の3人も誤認逮捕されることがなかっと思いますが、警察の捜査の中には「遠隔操作」されているということは全く考えておらず、「IPアドレス先の人=犯人」ということしか考えられていませんでした。

iesys

3.遠隔操作のウイルスはどこから感染したか
 
 この事件で使用されたプログラムは「IESYS.EXE」と呼ばれるプログラムでした。
 この遠隔プログラムが不正にインストールされたのは、国内最大の掲示板である「2ch」の掲示板から不正なウイルスを感染されてしまったとのことです。
 2chの掲示板の中にソフトを探してもらう掲示板があり、そのリンクされたプログラムの中にこの遠隔操作のウイルスが仕組まれていました。
 この掲示板は投稿者は「こんなソフトを探してください」と掲示板に依頼すると、他の投稿者がその掲示板に入手先のURLを貼ってくれるというものです。その入手先のURLの中に「IESYS.EXE」のダウンロードが仕込まれていたわけです。
 2chの掲示板は一般公開されており、だれでも閲覧できます。今回の誤認逮捕となった人はこの掲示板を見てソフト入手のURLをクリックしてしまったということです。
 閲覧者はそのURLをクリックすると、通常のソフトがダウンロードされますが、それと一緒に「IESYS.EXE」もダウンロードされてるような仕組みとなっていました。

iesys2


 スポニチの記事によると、被害者の一人は以下のように言っています。

 捜査関係者によると、男性は県警に「ソフトをインストールしようとしたら、パソコンが異常な動作をした」と説明。県警は、ソフトのダウンロードを通じ不正プログラムが侵入し、遠隔操作されるようになった可能性が高いとみて調べる。

 ここから読み取れるのは、普段私たちがインターネットを閲覧するときに、次のページを閲覧しようとしたり、またソフトや動画などをダウンロードを行ったりするときに、無意識のうちに安易にクリックしてしましますが、そのクリックされた先に常に危険性が潜んでいるということです。今回の被害者は何気なく特定のURLをクリックしたのでしょう。
 現在のブラウザの最新版は怪しいURLや危険なURLをクリックすると警告画面が出てきます。しかし、その当時のブラウザにはそんな機能がついておらず、URLは安易にクリックできてしまいました。

 通常はよっぽどの怪しいサイトでない限り、まさかその先にウイルスが潜んでいるとは思いません。特に2chなどの掲示板などはURLが怪しい場合は書き込みに「怪しいサイト」などと誰かが記載するため、その記載がないものは安全だと思ってしまったのだろうと思います。

 また、ダウンロードする場合やダウンロードしたファイルなどは必ずウイルス対策ソフトが検査を行います。通常であればウイルスソフトの場合はブロックを行います。
 誤認された人のパソコンにも、当然ウイルス対策ソフトは導入していました。ウイルス対策ソフトが反応しない=安全であると思い込んでしまったと思います。

Antivirus


 重要なのはウイルス対策ソフトはすべてのウイルスプログラムに対して万全とは言えないということを認識しなければなりません。ウイルス対策ソフトは発見なったウイルスの不正コードを読み取り、それをパターンとしてデータベースとしています。
 スキャンなどのウイルスチェック時にはファイルの内部をそのパターンと照らし合わせてウイルスかどうか判断しています。今回のようにウイルスとしての動作でなく、一種のプログラムとして動作させるものに関しては、不正コードが含まれていないため発見できない可能性が十分にあるということになります。それが今回の被害者のパソコンもウイルス対策ソフトが反応しなかった要因となります。
 またウイルスソフトも新種のものが出回った場合、認識しません。それで世界的に被害が拡大したのがあの「ランサムウェア」です。「ランサムウェア」の場合、その時は通常のウイルスソフトとは違った手法で感染しました。そのため、ウイルス対策ソフトは認識せず、世界中で被害が拡大したとも言われています・


4.今回使われたウイルス(ソフト)はどのようなものなのか。

 上記でも触れた通り、今回使われたウイルスは「IESYS.EXE」というものでした。
ここでウイルスと呼んでいますが、実際にはウイルスではなく一つの実行ファイルです。
今後の防御のために、この今回の事件で使われたウイルスが実際に行えることを理解しておきましょう。
 このソフトは遠隔操作が出来るソフトです。遠隔操作とは、他人のパソコンを別の場所から操作できるものです。
TeamViewerMKVNCMK



 よく遠隔操作のソフトとしてTeamViewerやVNCなどが挙げられます。これらのソフトはきちんと「遠隔操作」という目的でインストールされる一般的なきちんとしたソフトです。サーバーの監視やユーザーのサポートなどに使われていますが、これと同じようなソフトと考えた方が良いと思います。
 しかし、通常の遠隔ソフトと違うのは、パソコンの内部にひそんでいるため、相手側はソフトが入っているということに気づかないということです。また、通常の遠隔操作のソフトはデスクトップのマウス等が動き、操作している状態が画面で確認できます。しかし、今回使われたソフトは遠隔操作をされているような動作が画面で見えないため、相手側は遠隔操作をされているという実感がないことが上げられます。

 今回の「IESYS.EXE」の特徴としては

・ユーザが入力する情報およびマウスの操作が記録できます。そのため、入力したパスワードなどがリモート側のログで分かります。
・スクリーンショット(相手側のデスクトップ画面などを取得できるため、相手の情報が丸わかりです。
・ファイルのダウンロードとアップロード。ファイルのダウンロードにより個人の情報が収集可能で、ファイルのアップロードにより、犯人としてねつ造できる情報の入ったファイルを相手に送ることができます。
・ファイルの検索・列挙・実行。相手側の重要なファイルもみつけることができ、また、ファイルの実行・コピー・削除も可能です。
・「IESYS.EXE」自身のアップデートと削除。このファイルが使用されていないようにみせかけるためのものであり、自身のアップデートはウイルス対策ソフトが更新される前に、アップデートを行うことによって検知されないようにします。また、捜査が及んだ時に証拠を一切なくするために、自分自身を削除することもできます。
・パソコンの環境設定の変更。これは遠隔操作するために必要となります。
・利用した掲示板のスレッドの更新。これも前記と同様に遠隔操作するために必要となります。
・隠しブラウザで特定のURLを操作および開く。今回の事件の書き込みに欠かせない機能で、相手側に気づかれることなく特定の掲示板に書き込みできます。今回の事件のキーポイントの機能です。

enkaku

 このように、犯人側から相手側の情報が筒抜けの機能があるため、特定の個人情報も入手できてしまいます。先ほども触れたとおり、ウイルス対策ソフトが反応しないため相手側にバレないというのが大きな特徴になります。唯一、遠隔操作されているかどうか判断できるキーポイントはタスクマネージャーでみたことのないソフトが動いているのを確認するか、変なネットワークの送受信を行っているかしかありません。

 この事件はWindowsのパソコンがターゲットなりました。しかし怖いのは、コードを改変すればAndroidの端末やiphoneなども十分にターゲットになるということです。過去の犯罪は自分の端末がわからいように俗に言う「鯖」(プロキシ)を使用してIPを偽造しての犯罪でした。しかし、今回の事件で「遠隔操作」を使った今までは考えられない手法で犯罪を行っているという非常に怖い方法になっているということです。

 実はこの遠隔操作のプログラムを使った事件はこの片山祐輔 PC遠隔事件だけではありません。世界中でこの遠隔操作を使った事件が多発しております。その遠隔操作を使った事件の背景には最近過熱している「仮想通貨」の高騰が要因となっています。

 今回片山祐輔 PC遠隔事件を中心に説明していますが、最近よく話題となっている「仮想通貨のハッキング」もこの手法を使用されています。仮想通貨をハッキングを行う場合、自分の端末から直接ハッキングを行うと当然ばれてしまいます。そのため、関係ないユーザーの端末をハッキングし、それを介してハッキングを行っているわけです。

 このように遠隔操作のプログラムを使った事件はすぐそこまで近づいており、だれでも被害者になってしまうという可能性が十分にあるということになります。また、この手法を行うことにように捜査が難しくなり難航してしまっているという要因にもなっています。

 今回は前半部分を振り返ってみました。次回はその後の片山祐輔が起こした数々の事件から逮捕までを再検証しながら考えていきます。