PR

 ネットの掲示板などに犯行声明が書き込まれた「遠隔操作ウイルス」事件で、警察が4人の誤認逮捕を認めた。標的型攻撃と同じ手口が一般市民に用いられた点で、新手のサイバー犯罪と言える。犯人は通信元を巧妙に秘匿しており、捜査は長期化の様相を呈している。

 「知見を持つ皆さんの知恵を頂き、官民合同で検討を進めたい」。

 警視庁は2012年10月23日、ウイルス対策でノウハウを持つセキュリティーベンダーの技術者らと合同協議会を開催した。遠隔操作ウイルス事件を受けて、捜査への協力を要請するためだ。初回の会合では、通信経路を秘とくする各種の技術に対する捜査手法などが話し合われたという。

 殺人などの犯行予告がインターネット掲示板などに書き込まれた今回の事件では、警視庁と大阪府警、三重県警、神奈川県警の3府県警がこれまでに4人を誤認逮捕したことを認め、全員に謝罪した。警視庁などには犯人を名乗る犯行声明のメールも送られて来た。犯人しか知り得ない情報として、手口や書き込んだ内容などを詳細に記述しており、大半で事実の裏付けが取れた。

 メール送信者は犯行の動機を「警察や検察をはめて醜態をさらすこと」と明言する。こうした犯行目的や一般市民を標的にするという点から、企業もターゲットになり得る(関連記事)。

IPアドレスで容疑者特定するが

 ウイルス作成者のメールによると、活動を始めたのは今年6月。誤認逮捕された4人のうち、大阪府吹田市在住の男性は、同年7月に事件に巻き込まれた。きっかけは、インターネットの掲示板「2ちゃんねる」での議論だ。

 「こんな目的に合うツールはないかな」。男性の書き込みに、あるソフトを薦める返事が返ってきた。掲示板にソフトを置いたサイトのURLが書かれ、男性はダウンロードしてしまった。

 男性のPCの遠隔操作に使われたウイルス「iesys.exe」はこのソフトに仕組まれていたとみられる。7月末、大阪市役所のWebサイトの掲示板に「(大阪・日本橋の)ヲタロードで大量殺人をする」との犯行声明が書き込まれた。大阪府警は捜査に着手し8月26日、男性を容疑者として逮捕。Webサイトのログに残った書き込み元端末のIPアドレスをインターネットプロバイダーなどに照会して、男性を特定したとみられる。男性は「身覚えがない」と容疑を否認し続けた。

 9月14日に大阪地方検察庁が男性を起訴。その後、警察や検察が想定しなかった新たな事実が見つかる。PCが特殊なウイルスに感染していた可能性が浮上したのだ。犯行予告の書き込みはこのウイルスを経由した遠隔操作の疑いが強まった。大阪府警は同21日に男性を釈放。10月19日には起訴を取り消し、同21日には大阪府警幹部が公式に謝罪した。

 三重県伊勢市の男性や福岡市の男性らも誤認逮捕された。ほぼ同様の手口でPCが遠隔操作され、伊勢神宮の爆破や東京の私立学校での殺人予告などが男性のPC経由で書き込まれた。

自作の「新種」で機能を限定

 誤認逮捕された4人のうち3人が、同様の手口でPCにウイルスをダウンロードしている。ただし、犯行声明のメールでは、神奈川県警が逮捕した横浜市在住の男性のケースだけは、掲示板のWebページに仕組んだスクリプトで罠にかけたという。URLを装った偽リンクをクリックすると、ページ中に埋め込まれたJavaScriptが起動。本人が気付かないまま、目的のサイトへの書き込みやクリックが自動で行われる。

 なぜ、これらの動きがウイルス対策ソフトで検出できないのか。

 セキュリティベンダーの解析によると、犯人自らコードを書き起こしているため、全くの新種で対策ソフトのパターンファイルで検出できないのが一因だ。

 コードにウイルス作成用ツールや著名なウイルスのコードを流用していない点は珍しいという。セキュリティコンサルティングを手掛けるネットエージェントの杉浦隆幸社長は「目的を達成するための機能を的確に実装した点では、犯人の開発スキルは十分に高い」と指摘する。

 一例が、外部からPCを遠隔操作できる通信機能の実装である。PCの遠隔操作は、サーバーとPCに感染したウイルスを直接通信させる「IP制御型」と、特定のWebページに命令文を埋め込み、ウイルスがこの「指令」を取得する「Web参照型」が一般的だ。

 今回ウイルスに感染した3件は、後者のWeb参照型である。2ちゃんねるとは別の掲示板が命令文の埋め込み先に悪用されていた。ラックの西本逸郎専務理事は「Web参照型はIP制御型に比べると操作の自由度に制約がある反面、命令文を消去するだけで犯人の特定につながる証拠を隠滅できる」と指摘する。

 さらにウイルスはPCに痕跡が残らないよう、自己消去の機能を備えていた。こうした仕組みを持ち攻撃対象を絞った結果、セキュリティベンダーがウイルスの存在を確認したのは、犯行開始から約3カ月後の10月初旬だった。

企業にも入り込む「Tor」

 遠隔操作などの通信に「Tor」と呼ぶ手法を採用した点が、捜査の長期化に拍車をかけている。

 Torは、米海軍調査研究所(NRL)の技術を基に開発されており、コードがオープンソースで無償公開されている。匿名告発サイト「WikiLeaks」への情報提供に用いられたり、2010年に警視庁公安部の内部資料がインターネットに流出した事件でも犯行に使われたりしている。警視庁の事件では、現在も犯人が検挙されていない。

 通信を複数のノード(中継用サーバー)に仲介させて通信経路を秘匿するのがTorの特徴だ。発信元からノード間の通信を暗号化し、ノードである中継サーバーに通信相手のログを残さない。

 例えば、発信元から接続先となる目的のサーバーまで2台のノードが中継する場合、「発信元→ノード1→ノード2」までの通信が暗号化され、ノード2で平文に変換して接続先サーバーと通信する。接続先のサーバーからはノード2だけしか見えない。

 こうした特徴が発信元の特定を難しくしており、今回は犯行声明のメール送信にも悪用されているという。

 ノードとなる中継サーバーは全世界のTor利用者が提供しており、その経路は一定時間でランダムに切り替わる。ノードは世界で2000台以上が確認されている。企業内のネットワークから、禁止されているコンテンツの閲覧などでTorを利用するユーザーもいるとみられる。

 米ネットワークセキュリティ機器ベンダーのパロアルトネットワークスの日本法人によると、国内220の法人を対象にした調査で、10%に当たる22法人でTorによる通信を確認した。

 Torの通信にはいくつかの特徴がある。パロアルトによると、TCP通信のポート「9001番」宛てに、特定の送信元から短時間で大量のパケットが送信されているとTorの疑いが濃厚という。もっともポート番号は設定で変えられる。暗号化で使うハッシュ値に類似する極めて長いドメイン名宛の通信にも注意が必要だ。

 警視庁と3府県警は合同捜査本部を発足させて、ウイルス作成者の行方を追っている。ウイルスのコードに「kakiko(=カキコ)」という日本語のネットスラングが使われたことや日本語の犯行声明メールから「日本語をよく理解する人物」(トレンドマイクロ)と見られている。

 警察機関の捜査手法が、Torのような通信経路の秘とくに対抗できるか。高度化するサイバー事件への対応能力が試されている。

 企業にとっても、対岸の火事ではない。Torを利用し、社内から社外への機密情報が持ち出されてしまう可能性がある。企業や官公庁のシステム部門は、Torの内部ネットへの潜伏状況など現状をいち早く把握すべきだ。