原田ウイルスというかクラナドウイルスというかの作者と、あと二人のWinnyユーザーが逮捕された件に関して、「いかにして三人は特定され逮捕されたか」という分析。ただ正直もはやWinny全く追っていないのでかなり曖昧です。

---

さて、そもそも今回の事件に関して。「ウイルス作者を逮捕する法律がないので〜」という話は、まぁ一般マスコミレベルでも流れていると思うのでスルーすると、捕まったのは三人。

テレビ放送されたアニメを権利者に無断でアップロードし送信できる状態にしていた、大阪府堺市の会社員男性A（39歳）、兵庫県尼崎市の職業不詳男性B （35歳）、大阪府泉佐野市の大学院生男性C（24歳）の3人を、著作権法違反（公衆送信権侵害）の疑いで家宅捜索し、同日この男性らを逮捕しました。

ACCS/著作権侵害事件

ウイルス作者がCで、AとBは、Cと直接の関係はなく、ウイルスも作っていないアニメ動画アップローダー。

---

---

なぜAとBが（＝他にもいるアップローダーではなく彼らが）逮捕されたかと言えば、CがAとBのID（２ちゃんねるにおける「トリップ」と同様の機能）を盗用していたから。CがAとBのIDを盗んだ件に関しては

ウィニーでのＩＤは本来の持ち主にしか利用できない仕組みになっている。３容疑者は互いに面識がなかったとみられ、府警は、情報技術にたけた中辻容疑者が堺容疑者らのＩＤを何らかの方法で割り出し、利用したとみている。

asahi.com：高度な技術使い他人になりすまし　ウイルスで逮捕の院生 - 関西

正直言って、少なくとも「原田ウイルスの作者である」という点だけから考えると、Cはそれほど「情報技術にたけ」てもいない。後述するような仕様のウイルスを作成した上で

「原田ウイルスも自分が作った。なぜ特定されたのか分からない」

asahi.com：蔓延ウイルスも作成　逮捕の院生、個人情報流出の機能 - 社会

と供述していることからも、まぁ犯人像は多少なりとも見えてくる、と言って良いんじゃないだろうか。

この上で、「何らかの方法」は二通りあり得る。正直僕はWinny長らく追っていないし「現実的な」可能性を考えることが難しいのだけど

• メモリ書き換えによる偽装
  WinnyはID偽装が可能だ。ただ、これはそれなり程度に「高度」。原田ウイルス作成よりも技術的な意味での敷居が高い感はある。「偽装を行うツール」とかが存在してたりするかもしれないんですがどーなんですか？
• ブルートフォースで破れるIDを利用した
  AとBは両方とも「結構以上有名」なアップローダーだったらしいが、同程度に有名なアップローダーが何人いたのかが分からない。つまり、例えば100人のアップローダーがいれば、確率的に「その中の二つのIDを（時間をかけて）ブルートフォースで破る」のは現実的に可能だろう。5人なら厳しいだろう。

どちらかの方法を利用したものと思われます。即ち

• ウイルス作者であるC
• CにIDを盗難された著作権違反ファイルアップローダーのAとB

の三人が逮捕された、と。

---

Cが逮捕されるメカニズムは、普通に説明可能だ。以下、Symantecが掲載するウイルスの挙動より。

おまえはもう死んでいる。

京都府宇治市（伏せ字）

ここに来い、そして俺に謝れ

次の FTP サーバーへ接続し、2 つ目のファイルを送信します。

Trojan.Haradong - Symantec.com

FTP鯖の登録〜接続時に一度でも生IPを使用していれば、もしくはいわゆる匿名プロクシの管理者がログを提出すれば、当然追跡されます。「京都府」「電通大」といったキーワードから確信を得ることもできるでしょう。ただ、これだけでは、AとBの逮捕を説明できない。

---

もちろん、AとBが以前と同じ方法で特定される可能性は0ではない。

nyのBBS機能が問題となる。BBS機能は、スレッドを立てた人間のHDDに「マスターファイル」が作られ、それが各ユーザーに分散される仕組みとなっている（書き込みを行った場合は「スレッドを立てた人間のHDD内のマスターファイル」が書き換えられ、新しいマスターファイルが再び各ユーザーに分散される）。このためスレッドを立てた人間のIPアドレスは特定可能である（例えばレス書き込みを行う時は「スレッドを立てた人間」と直接接続を行う）。

参考：Winny京都府警の捜査方法

IDをベースにした逮捕が行われている以上、可能性は、いくつかある。

1. Cが利用したIDに対応するユーザー（AとB）を完全に特定し逮捕を行った
1. Winnyネットワーク上であるIDのユーザーのIPアドレスを特定することが可能
2. Cが利用したID、つまりAとBは偶然両方共に「（掲示板の親書き込みで放流宣言を行うといった）ミス」を一度以上した
2. Cが利用したIDの一部ユーザーを特定し逮捕を行った
1. 実際にはCはAとB以外のユーザーのIDも使用しており、例えば10個のIDの中で（上記のような「ミス」によって）特定できたのがAとB。

技術的な意味で「進歩」があったとすれば、それは1の1だ。つまり、Winnyネットワーク上で特定IDのユーザーを特定することが可能である、というケース。

---

果たして、それは可能なのか。

---

Winnyの場合、高い確率で、可能だ。

府警は数年前からウィニーで大量に出回っていたファイルの利用記録などをたどり、一番最初にウイルスを流した接続先のＩＰアドレスを特定した。

asahi.com：自宅からウイルス流布　中辻容疑者　ＩＰアドレスで特定 - 社会

ＣＤ−Ｒに収録されたファイルを開いただけでも被害に遭うのを京都府警が確認していることが２６日、分かった。

（中略）

ＣＤ−Ｒのほか、電子メールに添付した場合やＵＳＢメモリーに収録しても、開くと被害に遭うという。

中日新聞:ＣＤ−Ｒでも被害に　大学院生の原田ウイルス:社会(CHUNICHI Web)

いずれにしても「たどり」は変なのと（「拡散初期に捉える」）、あとUSBメモリはautorun.infでの自動実行が不可能なことを考えると後者の「開く」は「実行する」の意味っぽく、そうなるともはや何が言いたいのかよく分からないので、ある程度伝達ミスか何かが発生している、とすると。この件は以下のブログが既に言及しているのでリンクを張っておく。

参考：メカAG - 京都府警はどうやってファイルの発信元を突き止めているのだろう　　　　　　　.exe

ただ、この方法では、どこまでいっても「99.9999%の可能性で一時放流者」なIPアドレスを特定することしかできない。「踏み込んでみたら中継者（というか当該IDのファイルを即落としているWinny常習ユーザー）でした」という可能性は、永遠に0にはならない、はずだ。さすがに警察がコレをやるとマズいと思うんだなぁ。

---

と、いうことで、当サイトは

1. FTP鯖経由などでCを特定
2. Cを逮捕するシナリオ（それこそ「罪状」とか）を考える上で「同時に逮捕する人間が必要」という結論に至る
3. その頃CはID偽装テクを覚えるかブルートフォースツールを回し続けていた
4. Cが利用したIDの中で逮捕できるユーザーを探す（Winny上の掲示板や外部サイトへの書き込みなどを利用し）
5. AとBをCと同時に逮捕

という流れ（2の1）だったのではないかと思ったりします（Cが比較的初期に特定されていれば、「亜種の中でどれがCによって作られたものか」つまり「どのIDがCによって騙られているか」という特定は比較的容易です、つまりCとしか接続できない環境で〜と）が、原田ウイルスは亜種が異常に多いし、Cも「大部分の亜種は自分が作った」といった供述しかしていないため、果たして何種類のIDを偽装したのか現時点では何とも言えない。ので役に立たない記事でごめんなさい。