遠隔操作するマルウエアを使ったクラッカーによる冤罪事件、徐々に手口が明らかに 180
耳と目を閉じ口をつぐんだ人間になろうかと 部門より
ある Anonymous Coward 曰く、
トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析、トレンドマイクロの分析などによると、手口は以下の様な物である。
まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込まれる。短縮 URL の先は、DropBox 上で公開された ZIP ファイルであるが現在は消えている。これがトロイの木馬が仕込まれたものだったようだ。
さらにこの書き込みは、シベリア郵便局405通目【レス代行】と言うスレッドの>>274で依頼を受けて行った代行者が行ったものであり、さらにこのスレッドへのアクセスは、Tor が使われている。最終的には Swiss privacy Foundation が管理する Tor の出口ルータまでは判明している様だが、そこから先はまだ報じられていない (以上、2 ちゃんねるスレッドはすべてログ落ちしているため、logsoku.com へのリンク)なお、2 ちゃんねるは通常、Tor のメジャーな出口からは書き込みができないようにブロックされている。しかし今回はそれを代行板を使う事で回避されていたようだ。
これらによってインストールされたマルウエアは、スクリーンショットの取得、キーロガーと言ったスパイ機能、ファイルのアップロードダウンロードや自身のアップデートなどを行う機能、そして、任意のファイルの実行などを可能にしており、これだけできれば、被害者のコンピュータはほぼ自由自在に制御する事が可能だろう。また特徴的なのは、遠隔操作をしたらば掲示板を通じて行う点、予告の書き込みはマルウエアが被害者の端末のブラウザを制御して行っていると思われる点が挙げられる。これらは直接的なアクセスを回避することで、より足跡を残しにくく、また FW などに関知されにくくする狙いがあると考えられる。
その後、犯人は TBS と東京都の弁護士宛に、犯行声明文を送付した。TBS の記事によると、犯人は警察を相手にした犯行である旨を公言し、また使用されたマルウエアは自作であるとしている。大阪市の Web サイトに殺人予告をするという書き込みをした容疑でアニメ演出家の北村真咲さんが、著名な演出家であったことから当初から一部で話題になる等し、誤認逮捕であると言う記事も北村さんが先行して広まったが、それ以外にもすでに有罪として確定しているいくつかの件についても犯行を表明しているそうである。
警察庁はこの件について「遠隔捜査ウイルスの被害にあわないために」 (PDF) と言う文書を公表するなどしているが、直近として「クラッカーに利用されて警察に誤認逮捕されないために」どういった対策が考えられるだろうか。また一般に、どういった自衛策が考えられるだろうか?
24年秋季・情報セキュリティスペシャリスト予想問題 (スコア:5, おもしろおかしい)
「お前が書き込んだんはばれとるんやで。
ほらこれ、お前のIPアドレスやろが!
そうか、ならパソコンみせてみぃや。
ほーら、やっぱりや、192.168.0.1やないか。
ええ加減白状せいや!」
問1 : 取調官が納得するように25文字以内で返答せよ。
#コピペだよ!
#ちなみに通信の暗号化はAESで行われているそうです。
Re:24年秋季・情報セキュリティスペシャリスト予想問題 (スコア:2)
IPアドレスは、十分な証拠と言えない。
#今回の事件が起きたせいで、これで十分じゃないですか?
Re:24年秋季・情報セキュリティスペシャリスト予想問題 (スコア:2)
私のアドレスは127.0.0.1です
Re:24年秋季・情報セキュリティスペシャリスト予想問題 (スコア:2)
プライベートに口出しするのは止めてもらえませんか?
Re:24年秋季・情報セキュリティスペシャリスト予想問題 (スコア:1)
回答「私がやりました」
#どう納得させるかは指定されてないよね?
東京の弁護士=落合洋司弁護士 (スコア:4, 興味深い)
東京の弁護士というのは落合洋司弁護士のことみたいです。
http://d.hatena.ne.jp/yjochi/20121016#1350353093 [hatena.ne.jp]
迷惑メールボックスに分類されていて、気付いたのが昨日の夕方でした。その前から、既に、一部マスコミから問い合わせが来ていて(TBSへ送られたメールに、私へも送ったという記載があったようです)、聞かれれば知らないとも言えないので、大きく報道されることになったという次第です。
なんで弁護士の名前が報道されないのかとおもったら、犯人からのメールに書かれていたけど、本人が気付いて無くてマスコミ各社は裏がとれてなかったと言うことのようですね。
落合弁護士曰く
やっていない(メールによれば)はずなのに自白して(させられて?)しまっている人や、既に処分を受けてしまっている人もいて、そういった、「やっていない人が自白する(させられる)捜査」というものも、厳しく検証されなければならないのではないか、と感じています。
こうした、いわゆる「劇場型」の手法には、かつてのグリコ・森永事件を想起させるものもあり、かなり特異な事件になってきている、という印象を私自身も受けています。
だそうです。
一方同じネット関連でよく名前を聞く弁護士と言えば小倉秀夫弁護士がいますが、小倉弁護士は自身のblogにおいて、「犯人の特定とボットウィルス感染可能性 [cocolog-nifty.com]」と題したエントリーをあげ、その中で
「ボットウィルスに感染した可能性がある」としてアカウント名義人が犯行を否認しさえすれば、そこで捜査は終了ということになれば、ネットは、警察が関与できない無法地帯と化すことになります。というのも、「未知のものも含めて、一切のボットウィルスに感染していないことの証明」を確実に行うことは不可能だから
被疑者が否認していたことを重視する見解が多いようですが、捜査段階で被疑事実を否認し続けられるかどうかは、取調官の手法と被疑者のパーソナリティ、及び、被疑者段階の弁護人の力量で決まる部分も大きいので、そこを重視するのは適切ではなく
としています。また民事においては
「アカウント名義人のパソコンがボットウィルスに感染しており、当該特定電気通信は第三者が当該パソコンを遠隔操作して投稿したものである」蓋然性は実際にはそれほど高くないこと、アカウント名義人の方が上記事情の有無の立証が一般に容易であることなどを考慮した場合、損害賠償請求を行う原告が、被告の登録アカウントから当該特定電気通信が発信されたことを、アクセスプロバイダからの通知書等により立証すれば、当該特定電気通信発信当時被告の使用しているパソコンがボットウィルスに感染していたなどの特段の事情を被告が主張・立証しない限り、被告自身が当該特定電気通信を発信したことが推認される(事実上の事実推定)ものとすべき
と言う見解を示していますね。立場の違いがあるにせよ、似た様な分野で活躍している弁護士でも、このように見解が異なってくるのは興味深いです。
これは厳しい (スコア:3)
一般的には
怪しいところは見ない
アンチウィルスソフトは必ず入れてパターンファイルは常に最新にする
怪しいメールは開かない
くらいでしょうか。
# まぁ今回の見てるとアレコレいちゃもんつけて署まで連れて行こうとすると思うんで
# 小型の録音機器は持っていたほうがいいかもしれない。
Re:これは厳しい (スコア:3, 興味深い)
冤罪工場本社警察庁のPDFを今見たのですが目玉が300メートル飛びました。日本記録更新です。内容こんだけ。パソコンのOSを含むプログラムを最新の状態にアップグレードしましょう。
あやしいサイトにアクセスしないようにしましょう。
信頼のおけないプログラムをダウンロードしないようにしましょう。
ウイルス対策ソフトを必ず導入し、最新の状態にアップデートしましょう。
ファイアウォールの設定をしましょう。
要約すると、
「ようわからんのでこれからも我々の威信のためだけにバシバシ行くで!
世の中にネットとか無ければいいのにな!ヒャッハー!わしらがルールじゃ!死ねや!」
だ。
毎日、毎クリックがルーレット。いつか当たるわマジ。別件逮捕無限に可能。
日本に住んでて && 携帯持ってる →毎日がルーレット(ゼロが多めの)
Re:これは厳しい (スコア:5, すばらしい洞察)
これが酷いのは、この対策では防げないということなんですよね。
一般論としては正しいんです。ある程度。
だけどこれを今回出してくるという神経がわからない。みなが欲しいのはマヌケな警察によって冤罪扱いされない方法でしょうに。
Re:これは厳しい (スコア:1)
「このPDFをダウンロードして読むような行為をする人は、今回の遠隔操作ウイルスを仕込まれる可能性があります。」
って書いてあるのかと思いましたよ。
Re:これは厳しい (スコア:2)
別ACだけど、元の人の真意は、煽りじゃなくてその「建設的な意見」を立てられないくらい酷い、
を皮肉ってこういう書き方してるんでしょ?
IPが一緒だからって逮捕しちゃうどころか起訴までしちゃうんだぞ?
あげくに無実の人をいいくるめて偽の自白までさせるんだぞ。
この状況下で、なんの建設的な意見なんてものは私も言えません。
---------------------------- うちの猫は、ながぬこ
Re:これは厳しい (スコア:2)
もともと0と00がなかったっけ?緑の
#全然詳しくないです
Re:これは厳しい (スコア:2)
ああ、親の総取りですよ。緑は
Re:これは厳しい (スコア:2)
それさえ守れば被害にあうことは無い警察庁が信じているように見えるからでしょうか。
実際には信頼できるはずのWebサイトが改竄されていて、そこを閲覧した際にブラウザの脆弱性を突かれた場合、
信頼できるはずのサイトを見ただけで被害に遭う可能性があります。
Re:これは厳しい (スコア:2)
元中央大の人はCSRFなのでダウンロードしてませんよ。
Re:これは厳しい (スコア:2)
ファイアウォールなんかでのネットワークの監視を忘れてる。
あとアンチウィルスはヒューステリックスキャン対応のものを。誤爆するものもあるけどね。
昔ならwindowsをやめるとかって手もあったけど、今じゃねぇ・・・
Andoridですらウィルス等がある時代だし。
ルーターをきちんと設定するとか、ネットワーク周りの設定は
きちんとしておかないと後々痛い目を見ることになります。
##
数年前某社の個人向け市販PCにリモートサポート用っていって、Apache1.3系
とかUPnPを使ったポート開放ツールが仕込んであるのを見たときは目を疑いましたしねぇ。
起動する度メーカのサーバと勝手に通信始めちゃうし。なに考えてたんだろう。ほんとに。
Re:これは厳しい (スコア:1)
>怪しいところは見ない
怪しくなくても管理が適当なところだと、
「不正アクセスでトロイの木馬を仕込まれる」とか事件もあったから難しい。
もう、かかるの前提で対策検討した方がいいかもしれない
Re:これは厳しい (スコア:2)
試したわけじゃ無いけど、許可していないアプリが外へアクセスしにいったら何らかの警告が出たりしませんでしたっけ?
って、これはアンチウイルスソフトとは違うか…
Re:これは厳しい (スコア:3, すばらしい洞察)
それがあるので今回のウイルスはデフォルトのブラウザを調べる機能を持っていて、デフォルトのブラウザを調べ、そのブラウザをバックグラウンドで操作することによってデータを入手していたようです。
これをやられるとアプリケーションごとに許可不許可を判断しているFW(Windows Defenderもそう)では防げません。
またタイマーソフトをインストールすると偽造している時に、さもインストールに必要だというような形で権限昇格を求めUAに警告を出させ、その権限が昇格している間にそこら辺の設定を変更した可能性も考えられます。
Re:これは厳しい (スコア:2)
そのへんはファイアウォールソフトの領分ですね。
ファイアウォールの種類によっては、
OSのシステムに変更を加えようとしたり、別のソフト(ブラウザ等)を起動しようとしたり、
といった怪しい挙動に対しても警告してくれます。
でも、何でもかんでも警告出しまくってると、狼少年になっちゃう危険が……
また、そのフリーソフトがネットワーク利用するソフトだ、というタテマエがあれば、
たぶん「このソフトウェアを信用する」ボタン押しちゃうんだよねぇ……
Re:これは厳しい (スコア:2)
ソース公開されてないでしょうし、C&C用掲示板は閉鎖されてるでしょうから、同じトロイが使われることはないのでは。
Re:これは厳しい (スコア:2)
あそこってなんか板好きに立てられるんじゃありませんでしたっけ。専用の過疎板を作ってやったんじゃないですかね。
カットカット! (スコア:2)
「クラッカーに利用されて警察に誤認逮捕されないために」
ネット回線の契約切る。
ゴミポリ対策はこれしかないんじゃないの?
「生理来ない」
「実は去年パイプカット手術しててね(医者の書類)」
#いや「ネカフェ行っただろ、署で聞こう」とか言われるのか。
Re:カットカット! (スコア:2)
スマホのネット機能やメールも切らないとね。
逮捕されないためには、ガラケー復活しかないな。
Re:カットカット! (スコア:1)
そんなスマートなガラケーに用はありません。
ノーガード? (スコア:2)
VNCとかRDPを外向けにパスワードなしで開けておいて
いつでも遠隔操作されまくりな端末を一台用意しておくとか。
Re:ノーガード? (スコア:3, 参考になる)
北村さんの場合は、本当にオープンなACを建てちゃっていたそうですが、
それでも逮捕されて自白強要されました。(拒否したそうですが)
なので、サイバーノーガード戦法では回避不能です。
全て自作する (スコア:2, おもしろおかしい)
これに限るんじゃないか
便利さを追求してバイナリ配布なんだから
CPUから自作して
OSを自作して
アプリケーションを自作して
プロトコルを自作して
外部プロトコルとの互換プロトコルを作って
非公開で使えば安心だよね
Re:全て自作する (スコア:1)
ついでに私設警察を作って独立国家も作れば
やっぱり逮捕される
Torって… (スコア:2)
onionネット空間にサーバ立てられるじゃないですか…
類似のウィルス自体は04年くらいからあるようなんですよね。
http://www.symantec.com/connect/blogs/backdoorbifrose-tor [symantec.com]
こんな感じで、Tor空間内のサーバにマルウェアが接続して、実際の乗っ取りをやってるとなると、普通のSSL接続なのかどうか判別が出来ないので、Firewallでは遮断が出来ない
…精々ログとって異常な接続があったら感染したと見做すとか、特定のサイトや時間帯以外、外の機械でFirewall構築して、そちらで遮断するとかしか対策の立てようがないのでは。
「犯行声明」には書かれてないけど、何らかの方法で¥ウィルスソフトとセットになってるFirewallの類をキャンセルする程度のロジックは、感染した瞬間に始めてるでしょうから。
自衛策などない (スコア:2)
IPアドレス特定すれば、一丁上がりなんてレベルの奴らに権限を持たせるのが間違い。
Microsoftはなぜオープンなリポジトリーシステムを作らない? (スコア:2)
Microsoftは自社製のフリーツールや体験版などを配布するために
オープンなリポジトリーシステムと、そのためのツールを用意しないのはなぜだろう?
WindowsPEさえも、これだけ大衆に認知されていないし
PEで解決できる問題を、Linuxで解決しようとする情弱は後を絶たない。
そして、どうして、そういうシステムに、第三者のリポジトリーを登録する仕組みを用意しないのだろう?
リポジトリー登録の報告を自動的に受け付けるシステムや
そういった第三者のリポジトリー情報をセキュリティ会社と共有するシステムを考えないのだろうか?
Vectorや窓の社のような、ウィルスチェック済みのフリーソフトを置いたサイトがあるのに
それを、効果的にWindowsのシステムと連携させる枠組みは、なぜ与えられないのだろう?
キーボードで操作できるタイマーソフトくらい、普通にVectorにあるのに…なんて馬鹿らしい。
Microsoftは、市販ソフトを買わない貧乏人は
おかしなソフトダウンロードして、ひどい目に合えばちょうどいいと考えているのだろうか?
情弱御用達なのに、自己責任がでかすぎるWindows (スコア:2)
〉そういった第三者のリポジトリー情報をセキュリティ会社と共有するシステムを考えないのだろうか?
Vectorの自発的なチェックだけでなく、外部からのチェックも行われれば
より安全な体制が作られるんじゃないだろうか?という話をしているんだけど…
リポジトリーの登録は自己責任ということになるけど
セキュリティ関連の知識とツールを整えていない人が大勢いて
でっかい自己責任で、セカンドオピニオンも無しにリンク先のソフトをダウンロードしているのが現状。
それをより安全にする枠組みは必要と思わない?
クラウド利用促進 (スコア:2)
「遠隔捜査ウイルスの被害にあわないために」 (スコア:1)
警察の捜査もウィルスに操られてたって事か
Re:「遠隔捜査ウイルスの被害にあわないために」 (スコア:3, すばらしい洞察)
警察も被害者ですと言わんばかり。
IPアドレスだけで自白するまで逮捕勾留したのと、ウィルス被害は別の話ですからー
Re:「遠隔捜査ウイルスの被害にあわないために」 (スコア:5, すばらしい洞察)
今回の件に限って言えば、警察がほぼ唯一で最大の脅威だったよね。
Re:「遠隔捜査ウイルスの被害にあわないために」 (スコア:3, 興味深い)
「捜査幹部は「動機もきちんと供述していたのに」と困惑した様子で話した。 [mainichi.jp]」なんて発言からも、
反省するどころか下手すれば自供した(させられた)人に不満もってそうな感じ。
「クラッカーによる」じゃねーだろ!警察による冤罪だ! (スコア:1)
警察による冤罪事件だ。クラッカー関係ない。
Re:やっぱり2ちゃんねるか。 (スコア:2)
ここもブラックリスト入りですな。
Re:なぜexeを実行するのか (スコア:2)
# じゃあ「信頼性」って何?って話になりそうだ
近頃のアンチウィルスソフトなら、「そんなあなたに、レピュテーション機能が...」って言うだろうなぁ。個人的には、KeeFox [keefox.org]という Firefox 用のアドオンが、アップデートのリリース直後に更新しようとして、「レピュテーションの値が悪いから」という理由で、問答無用に削除されたのには、カチンときたけど、でも、まぁ、一般的なユーザには効果あるかな、と。
# 正直、今回、誤認逮捕された人に対して、素性のしれないソフトをインストール、という時点で、今ひとつ同情できないんだよなぁ。
Re:なぜexeを実行するのか (スコア:4, 参考になる)
例のスレを見たことある人なら知ってることだけど
リクエストした人以外には使わないような既存のものが無いようなのが結構あるんだよ。
で、作ろうと思えばすぐできる様な単機能のやつは親切な人が作って提供してたわけ。
そんな流れが150スレにわたって継続してたのです。
(150000ほどの書き込みの歴史があるってことだ)
アップローダにソフトを上げるのは私も前からやな感じがしてたけど
今までそれで上手く行ってたからとやかく言ってもとか思って。
今回のは場の信頼を悪用されてしまったということ。
Re:簡単簡単 (スコア:1)
>Mac,Unix,Linuxを使ってれば大丈夫だから。
ご存じないのかもしれませんが、その考えは古いです。下記を100万回読んで出直してください。
Macを乗っ取るウイルス Flashback が猛威、67万台が「ゾンビパソコン」に
http://security-t.blog.so-net.ne.jp/2012-04-10 [so-net.ne.jp]
アップル、「ウイルスフリー」主張を撤回
http://wired.jp/2012/06/27/mac_viruses/ [wired.jp]
Re:簡単簡単 (スコア:1)
つ 最近のJava絡みのとか・・・ [mitre.org]
Re:簡単簡単 (スコア:1)
鱈レバとかじゃなくて、今のムック的な入門書とかは大抵OSのインストール方法2割、
見た目使い勝手の設定について1割、残りはアプリの使用方法みたいな感じで偏っているので、
#!/bin/bash
/sbin/sudo su -
cd /
rm -rf *
みたいなスクリプトをメモリ高速化に効くよ、rootのパスワード聞かれたらパスワード入れて実行してね
って公開したら、何の疑いも持たずに実行するかわいそ残念な人は結構いそうな気がする
Re:UACさん仕事してください (スコア:2)
User権限でもレジストリは普通に書き換えられますね。.regファイルをダブルクリックしての結合もOK
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
このキーにはアクセス許可のところで変更禁止を設定しています。Admin無しでできるのかは知りませんが。
#その代わり、いろんなインストーラーが途中でエラー吐いて停止するようになりました
Re:UACさん仕事してください (スコア:2)
>昇格プロンプトが出るはずだが
試してみるといいです。私も話を聞いたときは半信半疑でしたが、実際に成功しているので。
会社のパソコン(当然User権限)で [HKEY_CURRENT_USER\Software\]
以下を書き換える.regファイルを実行し、問題無く設定が変わりました。
環境はXPでしたが、7でもできるようです。
Re:自分のIPアドレスを隠す。 (スコア:2)
世界中に匿名でVPS借りて、多段でVPN接続で一番遠いVPSをGWにしてインターネットへ。
PCからVPNだと接続経路弄られる可能性があるので、1段目はルーターからIPSecかな。
##Torでもいいがどうもね~
Re:この報道と時を同じくして (スコア:2)
それを言うなら、実は犯人はウイルスプログラムそのものだった、ではないかと。
Re:率が気になる (スコア:2)
こんなのがありますね。
「有罪率99%」の謎 [goo.ne.jp]「池田信夫 blog(旧館)」