パスワードを忘れた? アカウント作成
6480929 story
日本

遠隔操作するマルウエアを使ったクラッカーによる冤罪事件、徐々に手口が明らかに 180

ストーリー by reo
耳と目を閉じ口をつぐんだ人間になろうかと 部門より

ある Anonymous Coward 曰く、

トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析トレンドマイクロの分析などによると、手口は以下の様な物である。

まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込まれる。短縮 URL の先は、DropBox 上で公開された ZIP ファイルであるが現在は消えている。これがトロイの木馬が仕込まれたものだったようだ。

さらにこの書き込みは、シベリア郵便局405通目【レス代行】と言うスレッドの>>274で依頼を受けて行った代行者が行ったものであり、さらにこのスレッドへのアクセスは、Tor が使われている。最終的には Swiss privacy Foundation が管理する Tor の出口ルータまでは判明している様だが、そこから先はまだ報じられていない (以上、2 ちゃんねるスレッドはすべてログ落ちしているため、logsoku.com へのリンク)なお、2 ちゃんねるは通常、Tor のメジャーな出口からは書き込みができないようにブロックされている。しかし今回はそれを代行板を使う事で回避されていたようだ。

これらによってインストールされたマルウエアは、スクリーンショットの取得、キーロガーと言ったスパイ機能、ファイルのアップロードダウンロードや自身のアップデートなどを行う機能、そして、任意のファイルの実行などを可能にしており、これだけできれば、被害者のコンピュータはほぼ自由自在に制御する事が可能だろう。また特徴的なのは、遠隔操作をしたらば掲示板を通じて行う点、予告の書き込みはマルウエアが被害者の端末のブラウザを制御して行っていると思われる点が挙げられる。これらは直接的なアクセスを回避することで、より足跡を残しにくく、また FW などに関知されにくくする狙いがあると考えられる。

その後、犯人は TBS と東京都の弁護士宛に、犯行声明文を送付した。TBS の記事によると、犯人は警察を相手にした犯行である旨を公言し、また使用されたマルウエアは自作であるとしている。大阪市の Web サイトに殺人予告をするという書き込みをした容疑でアニメ演出家の北村真咲さんが、著名な演出家であったことから当初から一部で話題になる等し、誤認逮捕であると言う記事も北村さんが先行して広まったが、それ以外にもすでに有罪として確定しているいくつかの件についても犯行を表明しているそうである。

警察庁はこの件について「遠隔捜査ウイルスの被害にあわないために」 (PDF) と言う文書を公表するなどしているが、直近として「クラッカーに利用されて警察に誤認逮捕されないために」どういった対策が考えられるだろうか。また一般に、どういった自衛策が考えられるだろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Wingard (37819) on 2012年10月17日 13時20分 (#2253083)

    「お前が書き込んだんはばれとるんやで。
     ほらこれ、お前のIPアドレスやろが!
     そうか、ならパソコンみせてみぃや。
     ほーら、やっぱりや、192.168.0.1やないか。
     ええ加減白状せいや!」

    問1 : 取調官が納得するように25文字以内で返答せよ。

    #コピペだよ!
    #ちなみに通信の暗号化はAESで行われているそうです。

  • by Anonymous Coward on 2012年10月17日 15時18分 (#2253188)

    東京の弁護士というのは落合洋司弁護士のことみたいです。
    http://d.hatena.ne.jp/yjochi/20121016#1350353093 [hatena.ne.jp]

    迷惑メールボックスに分類されていて、気付いたのが昨日の夕方でした。その前から、既に、一部マスコミから問い合わせが来ていて(TBSへ送られたメールに、私へも送ったという記載があったようです)、聞かれれば知らないとも言えないので、大きく報道されることになったという次第です。

    なんで弁護士の名前が報道されないのかとおもったら、犯人からのメールに書かれていたけど、本人が気付いて無くてマスコミ各社は裏がとれてなかったと言うことのようですね。
    落合弁護士曰く

    やっていない(メールによれば)はずなのに自白して(させられて?)しまっている人や、既に処分を受けてしまっている人もいて、そういった、「やっていない人が自白する(させられる)捜査」というものも、厳しく検証されなければならないのではないか、と感じています。
    こうした、いわゆる「劇場型」の手法には、かつてのグリコ・森永事件を想起させるものもあり、かなり特異な事件になってきている、という印象を私自身も受けています。

    だそうです。
    一方同じネット関連でよく名前を聞く弁護士と言えば小倉秀夫弁護士がいますが、小倉弁護士は自身のblogにおいて、「犯人の特定とボットウィルス感染可能性 [cocolog-nifty.com]」と題したエントリーをあげ、その中で

    「ボットウィルスに感染した可能性がある」としてアカウント名義人が犯行を否認しさえすれば、そこで捜査は終了ということになれば、ネットは、警察が関与できない無法地帯と化すことになります。というのも、「未知のものも含めて、一切のボットウィルスに感染していないことの証明」を確実に行うことは不可能だから

    被疑者が否認していたことを重視する見解が多いようですが、捜査段階で被疑事実を否認し続けられるかどうかは、取調官の手法と被疑者のパーソナリティ、及び、被疑者段階の弁護人の力量で決まる部分も大きいので、そこを重視するのは適切ではなく

    としています。また民事においては

    「アカウント名義人のパソコンがボットウィルスに感染しており、当該特定電気通信は第三者が当該パソコンを遠隔操作して投稿したものである」蓋然性は実際にはそれほど高くないこと、アカウント名義人の方が上記事情の有無の立証が一般に容易であることなどを考慮した場合、損害賠償請求を行う原告が、被告の登録アカウントから当該特定電気通信が発信されたことを、アクセスプロバイダからの通知書等により立証すれば、当該特定電気通信発信当時被告の使用しているパソコンがボットウィルスに感染していたなどの特段の事情を被告が主張・立証しない限り、被告自身が当該特定電気通信を発信したことが推認される(事実上の事実推定)ものとすべき

    と言う見解を示していますね。立場の違いがあるにせよ、似た様な分野で活躍している弁護士でも、このように見解が異なってくるのは興味深いです。

  • by iwakuralain (33086) on 2012年10月17日 12時25分 (#2253007)

    一般的には
    怪しいところは見ない
    アンチウィルスソフトは必ず入れてパターンファイルは常に最新にする
    怪しいメールは開かない
    くらいでしょうか。

    # まぁ今回の見てるとアレコレいちゃもんつけて署まで連れて行こうとすると思うんで
    # 小型の録音機器は持っていたほうがいいかもしれない。

    • by peixe (37441) on 2012年10月17日 13時00分 (#2253056) ホームページ
      本文に書いてある、冤罪工場本社警察庁のPDFを今見たのですが目玉が300メートル飛びました。日本記録更新です。内容こんだけ。

      パソコンのOSを含むプログラムを最新の状態にアップグレードしましょう。
      あやしいサイトにアクセスしないようにしましょう。
      信頼のおけないプログラムをダウンロードしないようにしましょう。
      ウイルス対策ソフトを必ず導入し、最新の状態にアップデートしましょう。
      ファイアウォールの設定をしましょう。

      要約すると、
      「ようわからんのでこれからも我々の威信のためだけにバシバシ行くで!
      世の中にネットとか無ければいいのにな!ヒャッハー!わしらがルールじゃ!死ねや!」

      だ。

      毎日、毎クリックがルーレット。いつか当たるわマジ。別件逮捕無限に可能。
      日本に住んでて && 携帯持ってる →毎日がルーレット(ゼロが多めの)

      親コメント
      • Re:これは厳しい (スコア:5, すばらしい洞察)

        by Anonymous Coward on 2012年10月17日 15時33分 (#2253199)

        これが酷いのは、この対策では防げないということなんですよね。

        パソコンのOSを含むプログラムを最新の状態にアップグレードしましょう。
        セキュリティホールなどを利用しているわけではなく、ソーシャルな手法でインストールさせたため最新であっても無関係
        あやしいサイトにアクセスしないようにしましょう。
        信頼のおけないプログラムをダウンロードしないようにしましょう。
        犯人は2chで被害者の求めに応じて呼応する形で、さらにDropBoxと言うよく知られたサイトを利用している。何も予備知識が無ければ信じてしまうのもやむを得ないだろう。またこのPDFには肝心の「どういうサイトが怪しいのか」「信頼のおけるおけないはどう判断するのか」という事が書かれていない。
        ウイルス対策ソフトを必ず導入し、最新の状態にアップデートしましょう。
        完全新作でカスタマイズされたマルウエアが使用されていて、パターンマッチング型の従来のウイルス対策ソフトを導入していても検出はできない。
        ファイアウォールの設定をしましょう。
        ソフトウエアをインストールする作業中に権限昇格をしてしまっていれば、その時にファイヤーウォールの設定を変更することが可能である。またソフトウエアは標準のブラウザを操り、それを経由することでFWを迂回する機能を持っていたと考えられる。ソフトウエアごとにブロックを行うFW(大抵のものはこれ)では防げない。

        一般論としては正しいんです。ある程度。
        だけどこれを今回出してくるという神経がわからない。みなが欲しいのはマヌケな警察によって冤罪扱いされない方法でしょうに。

        親コメント
      • by Anonymous Coward on 2012年10月17日 14時04分 (#2253130)

        「このPDFをダウンロードして読むような行為をする人は、今回の遠隔操作ウイルスを仕込まれる可能性があります。」
        って書いてあるのかと思いましたよ。

        親コメント
    • by akairaiden (11916) on 2012年10月18日 10時01分 (#2253676) 日記

      ファイアウォールなんかでのネットワークの監視を忘れてる。
      あとアンチウィルスはヒューステリックスキャン対応のものを。誤爆するものもあるけどね。

      昔ならwindowsをやめるとかって手もあったけど、今じゃねぇ・・・
      Andoridですらウィルス等がある時代だし。
      ルーターをきちんと設定するとか、ネットワーク周りの設定は
      きちんとしておかないと後々痛い目を見ることになります。

      ##
      数年前某社の個人向け市販PCにリモートサポート用っていって、Apache1.3系
      とかUPnPを使ったポート開放ツールが仕込んであるのを見たときは目を疑いましたしねぇ。
      起動する度メーカのサーバと勝手に通信始めちゃうし。なに考えてたんだろう。ほんとに。

      親コメント
    • by Anonymous Coward on 2012年10月17日 12時53分 (#2253048)

      >怪しいところは見ない
      怪しくなくても管理が適当なところだと、
      「不正アクセスでトロイの木馬を仕込まれる」とか事件もあったから難しい。

      もう、かかるの前提で対策検討した方がいいかもしれない

      親コメント
  • 「クラッカーに利用されて警察に誤認逮捕されないために」

    ネット回線の契約切る。
    ゴミポリ対策はこれしかないんじゃないの?

    「生理来ない」
    「実は去年パイプカット手術しててね(医者の書類)」

    #いや「ネカフェ行っただろ、署で聞こう」とか言われるのか。

  • VNCとかRDPを外向けにパスワードなしで開けておいて
    いつでも遠隔操作されまくりな端末を一台用意しておくとか。

    • Re:ノーガード? (スコア:3, 参考になる)

      by Anonymous Coward on 2012年10月17日 14時53分 (#2253165)

      北村さんの場合は、本当にオープンなACを建てちゃっていたそうですが、
      それでも逮捕されて自白強要されました。(拒否したそうですが)
      なので、サイバーノーガード戦法では回避不能です。

      親コメント
  • 全て自作する (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2012年10月17日 13時09分 (#2253071)

    これに限るんじゃないか
    便利さを追求してバイナリ配布なんだから

    CPUから自作して
    OSを自作して
    アプリケーションを自作して
    プロトコルを自作して
    外部プロトコルとの互換プロトコルを作って

    非公開で使えば安心だよね

  • by Artane. (1042) on 2012年10月17日 17時40分 (#2253279) ホームページ 日記

    onionネット空間にサーバ立てられるじゃないですか…
    類似のウィルス自体は04年くらいからあるようなんですよね。
    http://www.symantec.com/connect/blogs/backdoorbifrose-tor [symantec.com]
    こんな感じで、Tor空間内のサーバにマルウェアが接続して、実際の乗っ取りをやってるとなると、普通のSSL接続なのかどうか判別が出来ないので、Firewallでは遮断が出来ない
    …精々ログとって異常な接続があったら感染したと見做すとか、特定のサイトや時間帯以外、外の機械でFirewall構築して、そちらで遮断するとかしか対策の立てようがないのでは。
     「犯行声明」には書かれてないけど、何らかの方法で¥ウィルスソフトとセットになってるFirewallの類をキャンセルする程度のロジックは、感染した瞬間に始めてるでしょうから。

    --
    --暮らしの中に修行あり。
    blogはじめました。 [hatena.ne.jp]
  • by NOBAX (21937) on 2012年10月17日 19時50分 (#2253364)
    警察、検察、裁判所が無知なんだから、どうしようもない。
    IPアドレス特定すれば、一丁上がりなんてレベルの奴らに権限を持たせるのが間違い。
  • Microsoftは自社製のフリーツールや体験版などを配布するために
    オープンなリポジトリーシステムと、そのためのツールを用意しないのはなぜだろう?
    WindowsPEさえも、これだけ大衆に認知されていないし
    PEで解決できる問題を、Linuxで解決しようとする情弱は後を絶たない。

    そして、どうして、そういうシステムに、第三者のリポジトリーを登録する仕組みを用意しないのだろう?
    リポジトリー登録の報告を自動的に受け付けるシステムや
    そういった第三者のリポジトリー情報をセキュリティ会社と共有するシステムを考えないのだろうか?

    Vectorや窓の社のような、ウィルスチェック済みのフリーソフトを置いたサイトがあるのに
    それを、効果的にWindowsのシステムと連携させる枠組みは、なぜ与えられないのだろう?

    キーボードで操作できるタイマーソフトくらい、普通にVectorにあるのに…なんて馬鹿らしい。

    Microsoftは、市販ソフトを買わない貧乏人は
    おかしなソフトダウンロードして、ひどい目に合えばちょうどいいと考えているのだろうか?

  • by sindobook (35700) on 2012年10月18日 10時39分 (#2253701)
    全部クラウド上で利用して、画面イメージだけローカルPCに転送すれば、IPアドレスはクラウドのモノ......データセンターの中の人タイーホ!
  • 警察の捜査もウィルスに操られてたって事か

  • 警察による冤罪事件だ。クラッカー関係ない。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...