遠隔操作するマルウエアを使ったクラッカーによる冤罪事件、徐々に手口が明らかに
2012年10月17日 12:20
ある Anonymous Coward 曰く、
トロイの木馬型マルウエア、iesys.exeと、それを作成したクラッカーによる事件の全貌が、徐々に明らかになってきているようだ。報道 (朝日新聞デジタルの報道 1, 2, INTERNET Watch の記事) 及び、シマンテックの分析、トレンドマイクロの分析などによると、手口は以下の様な物である。
まず、トロイの木馬を送り込む手口である。これには 2 ちゃんねるのスレッドが悪用されたようだ。まず 2 ちゃんねるのスレッド「気軽に『こんなソフトありませんか? Part.149』の>>400に、被害者が『英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?』と書き込む。その約 19 時間後に、犯人からのレス>>404『これで需要は満たすかな? とりあえずキーボード操作は可能 http://bit.ly/PPb66w』と書き込まれる。短縮 URL の先は、DropBox 上で公開された ZIP ファイルであるが現在は消えている。これがトロイの木馬が仕込まれたものだったようだ。
さらにこの書き込みは、シベリア郵便局405通目【レス代行】と言うスレッドの>>274で依頼を受けて行った代行者が行ったものであり、さらにこのスレッドへのアクセスは、Tor が使われている。最終的には Swiss privacy Foundation が管理する Tor の出口ルータまでは判明している様だが、そこから先はまだ報じられていない (以上、2 ちゃんねるスレッドはすべてログ落ちしているため、logsoku.com へのリンク)なお、2 ちゃんねるは通常、Tor のメジャーな出口からは書き込みができないようにブロックされている。しかし今回はそれを代行板を使う事で回避されていたようだ。
これらによってインストールされたマルウエアは、スクリーンショットの取得、キーロガーと言ったスパイ機能、ファイルのアップロードダウンロードや自身のアップデートなどを行う機能、そして、任意のファイルの実行などを可能にしており、これだけできれば、被害者のコンピュータはほぼ自由自在に制御する事が可能だろう。また特徴的なのは、遠隔操作をしたらば掲示板を通じて行う点、予告の書き込みはマルウエアが被害者の端末のブラウザを制御して行っていると思われる点が挙げられる。これらは直接的なアクセスを回避することで、より足跡を残しにくく、また FW などに関知されにくくする狙いがあると考えられる。
その後、犯人は TBS と東京都の弁護士宛に、犯行声明文を送付した。TBS の記事によると、犯人は警察を相手にした犯行である旨を公言し、また使用されたマルウエアは自作であるとしている。大阪市の Web サイトに殺人予告をするという書き込みをした容疑でアニメ演出家の北村真咲さんが、著名な演出家であったことから当初から一部で話題になる等し、誤認逮捕であると言う記事も北村さんが先行して広まったが、それ以外にもすでに有罪として確定しているいくつかの件についても犯行を表明しているそうである。
警察庁はこの件について「遠隔捜査ウイルスの被害にあわないために」 (PDF) と言う文書を公表するなどしているが、直近として「クラッカーに利用されて警察に誤認逮捕されないために」どういった対策が考えられるだろうか。また一般に、どういった自衛策が考えられるだろうか?
スラッシュドットのコメントを読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ
関連ストーリー:
「なりすまし」ウイルスで誤認逮捕? 2012年10月07日
大阪市のWebサイトに「殺人予告」、証拠は無線LANルーターのIPアドレスのみで逮捕 2012年08月28日