(cache) なりすましウイルスによる犯行予告事案をまとめてみた。

　インターネットを通じて犯行予告を行ったとして、吹田市、津市でそれぞれ男性が逮捕(吹田市男性はその後起訴)されました。しかし、その後の調査によって犯行予告を行ったとされるPCがウイルスに感染していたことが明らかとなり、逮捕された男性のPCを踏み台とした(なりすましによる)第三者の犯行による疑いが出たため、男性二人は釈放されていた事実が明らかとなりました。また、その後福岡市男性も同じウイルスが確認されたことにより釈放されています。ここでは報道された情報を元に、それぞれの事案、及びウイルスについてまとめてみます。

　なお、下記内容を鵜呑みにせず、ソースは各自にてご確認ください。

逮捕・起訴された男性

吹田市男性

　JALの爆破予告と大阪市のHPの掲示板に殺人予告を行ったとして、吹田市の男性が逮捕、起訴されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、大阪地検が勾留取消を申請し、吹田市男性は釈放されています。

逮捕
- 容疑：威力業務妨害
- 逮捕日：2012年8月26日
起訴
- 起訴罪状：偽計業務妨害罪
- 起訴日：2012年9月14日
証拠
- JAL爆破予告メールと大阪日本橋殺人予告を行ったインターネットの発信記録とモバイルルーターのIPアドレスが一致
現在の状況
- 大阪地検が起訴後、勾留取消申請を行い、釈放済。
- 大阪地検は起訴取り消し等の対応を検討。
- 大阪地検は在宅での捜査を継続。

津市男性

　任天堂本社と伊勢神宮へ破壊予告を２ちゃんねるに書込みしたとして、津市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、津地検が処分保留とし、津市男性は釈放されています。

逮捕
- 容疑：威力業務妨害
- 逮捕日：2012年9月14日
証拠
- 伊勢神宮、任天堂への犯行予告として２ちゃんねるへ書き込みを行ったインターネットの発信記録とIPアドレスが一致。押収した2台のPCの内、デスクトップPCに書込みを行った記録(閲覧履歴?)が残っていた。
現在の状況
- 津地検が処分保留にて釈放。
- 三重県警、津地検が引き続き任意で事情聴取。

福岡市男性

　お茶の水女子大付属幼稚園と芦田愛菜への脅迫メールを送ったとして、福岡市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、東京地検が処分保留とし、福岡市男性は釈放されています。

逮捕
- 容疑：威力業務妨害、脅迫
- 逮捕日：2012年9月1日(お茶の水女子大付属幼稚園への襲撃予告)、2012年9月21日(芦田愛菜への脅迫)
証拠
- 検挙に至った証拠は不明。
- 福岡市男性は逮捕後犯行を自供していた*1が、東京地検送検後は容疑を否認していた。*2
現在の状況
- 東京地検が処分保留にて釈放。

犯行予告事案

(1) 大阪日本橋大量殺人予告事案

捜査担当大阪府警捜査1課
発生日 2012年7月29日 21時45分頃
事案概要
- 大阪市HPの相談窓口ページに「ヲタロードで大量殺人をする」「午後２時ごろ歩行者天国にトラックで突っ込んで無差別にキモヲタどもをひきまくります。ナイフで無差別に刺しまくります。その後自殺します」と書込みが行われた。
その他
- 8月5日は警察官約90人が警戒にあたった。
- 大阪府警、大阪地検は「捜査は適正」としている。
- 本件との関係性は薄いと思われるが、大阪市HPの掲示板にはCSRFの脆弱性が存在していました。
- 大阪府警は吹田市男性のPCがウイルスを通じて第三者によって書き込まれた可能性について想定していなかった。
- 海外などの複数のサーバーを経由して遠隔操作が行われた可能性がある。*3
- 吹田市男性は任意聴取段階からPCが第三者に乗っ取られたことを主張。容疑は一貫して否認。*4

(2) JAL爆破予告メール事案

発生日 2012年8月1日 13時25分頃
捜査担当警視庁捜査1課
事案概要
- 成田発ニューヨーク行きJAL006便ボーイング777機(乗客乗員265人)に爆発物を仕掛けたとして、JALの顧客対応窓口にメールが送られた。そのため、アリューシャン列島付近から引き返し同日20時に成田に戻った。
その他
- メールにはオウム真理教元代表松本智津夫死刑囚の釈放を求める記載があった。
- まとめ：なぜJALに？オウム・松本死刑囚の釈放を求めるメール

(3) お茶の水女子大付属幼稚園襲撃予告事案

発生日 2012年8月27日 17時頃
捜査担当警視庁捜査1課
事案概要
- お茶の水女子大付属幼稚園へ「始業式に園児を襲撃する」等の脅迫メールを送った。
その他
- メールでは悠仁さまを名指ししていた。*5
- 他事案と異なり、問い合わせフォームがなく、ブラウザから直接データを送信することは出来ない。

(4) 伊勢神宮破壊予告事案

発生日 2012年9月10日 15時34分頃
捜査担当三重県警伊勢署
事案概要
- ２ちゃんねるへ伊勢神宮への破壊を予告する書込みが4回行われた。
その他
- 県警は「当初の捜査は適正で、誤認逮捕という認識はない」としている。
- ２ちゃんねるへ書き込まれた伊勢神宮破壊予告のログ
- 津市男性が無料ソフトをダウンロードして約30分後に２ちゃんねるへ書き込みが行われた。*6

(5) 任天堂本社破壊予告事案

発生日 2012年9月10日 16時10分頃
捜査担当不明
事案概要
- ２ちゃんねるへ任天堂の破壊、殺人を予告する書込みが複数回行われた。
その他
- ２ちゃんねるへ書き込まれた任天堂破壊予告のログ

(6) 安倍総裁殺害予告事案

発生日 2012年10月上旬
捜査担当警視庁捜査1課
事案概要
- 警察庁と国家公安委員会に対し、安倍総裁を殺害する内容の２ちゃんねるへ任天堂の破壊、殺人を予告するメールが20数件、送信された。
その他
- 「他のパソコンを踏み台にしているので絶対ばれない」等の遠隔操作を示唆する内容や警察東京を挑発する内容が含まれていた。
- 送られたのは大阪市男性釈放が報じられる前。

時系列別の整理

2012年7月中旬
- 大阪市男性がPCを購入。
2012年7月27日～29日
- 大阪市男性がタイマーソフトとして、ウィルスをダウンロードしたと思われる。(bitlyログより)
2012年7月29日
- 大阪市HPに大量殺人予告の書込みが行われる。
2012年7月30日
- 大阪市が府警へ犯行予告の書込みについて相談。
2012年8月1日
- JALへ航空機爆破予告メールが送られる。
- 吹田市男性からPCの任意提出を受ける。*7
2012年8月2日
- 発信元捜査から吹田市男性が浮上。大阪府警、警視庁が連携捜査を開始。
- 犯行予告を受け、吹田市男性へ任意での事情聴取を開始。
2012年8月26日
- 大阪府警が威力業務妨害容疑で吹田市男性を逮捕。
2012年9月1日
- 警視庁が威力業務妨害容疑で福岡市男性を逮捕。
2012年9月10日
- ２ちゃんねるへ任天堂、伊勢神宮の破壊予告が書き込まれる。
2012年9月14日
- 大阪地検が偽計業務妨害罪で吹田市男性を起訴。
- 三重県警が伊勢神宮への犯行予告を受けて、威力業務妨害容疑で津市男性を逮捕。
2012年9月18日頃
- 押収した津市男性のPCがウイルスに感染し、遠隔操作で書込みが出来るようになっていたことが判明。発見は派遣された大阪府警によるもの。*8
2012年9月半ば
- 大阪府警が起訴後補充捜査を開始。吹田市男性のPCがウイルスに感染していたことが判明。
2012年9月21日
- 大阪地検が勾留取消を申請し、吹田市男性を釈放。
- 津地検が処分保留として津市男性を釈放。
- 東京地検が処分保留として福岡市男性を釈放。
- 警視庁が脅迫容疑で福岡市男性を再逮捕。
2012年9月27日
- 福岡市男性のPCがウイルスに感染していたことが判明。
- 東京地検が処分保留として福岡市男性を釈放。
2012年10月上旬
- 警察庁や国家公安委員会へ安倍総裁の殺害予告メールが送られる。*9
2012年10月7日までに
- 警察庁が各都道府県警へサイバー犯罪捜査でなりすましの可能性に十分注意するよう指示。*10
2012年10月10日
- 警視庁から検体の提供を受けトレンドマイクロが解析結果と注意喚起を公開。*11
- 警察庁が都道府県警に同種事案の場合、アンチウィルスソフトを使って同種のマルウェアがないか確認するよう指示。*12
2012年10月11日までに
- 最高検察庁が全国の検察庁にIPアドレスから容疑者を特定した事件が現在あるかの確認、及び報告と、同種事案の際はウィルス感染や遠隔操作の可能性について注意喚起。*13
2012年10月12日
- 警察庁が国民向けに遠隔操作ウィルスに関する注意喚起を掲載。*14

判明しているウィルスの状況

報道・報告されているウイルスの概要
- 検体名
  - トレンドマイクロ：BKDR_SYSIE.A(改称前:TSPY_IESYSNET.A) *15
  - シマンテック：Backdoor.Rabasheeta*16
  - マカフィー：BackDoor-FIT*17
  - G Data：Trojan.Agent.AXAG

確認されている検体
- 検体（１）Virustotalスキャンログ
  - MD5：746f911c631411f611308eaafb6c353d
  - SHA1：7f2779ece8a3471393d828b61992bcf148ef9702
  - 初回スキャン日時：2012/09/07 10:00:55 (UTC)
  - 初回コンパイル日時：2012/07/31 09:31:44(UTC)
  - ファイル作成日時：2012/07/31 11:31:44(UTC)
  - ファイルサイズ：49,664 bytes
- 検体（２）Virustotalスキャンログ
  - MD5：784b38cf29ae7c0cbb168a49266c27c4
  - SHA1：799b708bee90e93ca291275016ea152ab772e1b0
  - 初回スキャン日時：2012/10/11 01:10:44 (UTC)
  - 初回コンパイル日時：2012/08/06 06:16:36(UTC)
  - ファイル作成日時：2012/08/06 07:16:36(UTC)
  - ファイルサイズ： 51,200 bytes

感染対象OS(現在サポート対象OSのみ記載、恐らくSP、R2関係ないと思われます。)
- Windows XP
- Windows Vista
- Windows 7
- Windows Server 2003
- Windows Server 2008

アンチウィルスベンダにより分析された実行コマンド
- スクリーンショットの取得
- ファイルのダウンロード
- ファイルをhttp://sysdeck.boxhost.me/upld.php(当該ドメインの情報は既に存在しない模様)へアップロード
- ファイルおよびフォルダの列挙
- ファイルの実行
- デフォルトのインターネットブラウザの取得
- 隠しブラウザで特定のURLを操作および開く
- ユーザのキー入力操作情報およびマウスの操作の記録*18
- 自身のアップデート*19
- 環境設定ファイルの更新
- 利用した掲示板のスレッドの更新
- コンピュータを一定の時間スリープする
- コンピュータから自身を削除する*20

したらば掲示板「http://jbbs.livedoor.jp/read.cgi/掲示板のカテゴリ/BBSのID/スレッドのID/」にアクセスし、コマンドを受信する。
コマンドはBASE64でエンコードされ、かつAESで暗号化されている。
吹田市、津市、福岡市の男性PCからは「iesys.exe」というファイル名でウィルスが確認されている。*21
海外のサーバーを経由して第三者が遠隔操作可能。
日本で過去検知されたことがない。*22
PCの使用地域を確認することが出来る。*23
今夏以降、イギリス等欧州を中心に確認されている*24という話であるが、トレンドマイクロの解析結果では「新種のバックドア型不正プログラム」と分析されている。*25
C#で実装されている。また一部コードに日本語(「saltは必ず8バイト以上」)が記載されており、日本語に精通した人物である可能性が高い。また当該コードは日本語のサイトを参考に実装している。*26
現在2つのバージョンが確認されている。バージョン番号は2.23、2.35で、連続していないため別のバージョンが存在する可能性もある。

発見の経緯
- 大阪府警は複数のアンチウィルスソフトでスキャンを行ったが、ウイルスは発見できなかった。
- 三重県警の捜査から押収したPCがウイルスに感染していたことが判明。
- 大阪府警は三重県警の情報を受け、ファイル復元後、再度ファイルの検索をしたところ同名のファイル「iesys.exe」を発見した。
- 吹田市男性のPCからウイルスは既に削除されていた。*27
- 大阪市、津市、福岡市それぞれで確認されたウイルスはファイル名が同じ。さらにソフトウェア自体は酷似しているが、ファイルサイズは異なる。*28
- 大阪府警では既にウイルスの復元・解析を完了。
- 吹田市、津市の男性二人の共通点として、インターネット上から無料ソフトをダウンロードしていた。*29
- 津市男性がインターネットからソフトウェアをインストールした際、動作が急に重くなり、1時間で使用を停止した。吹田市男性では動作が重くなる症状は見られなかった。*30

感染原因となった可能性のある無料ソフト
- 吹田市、津市でそれぞれダウンロードされたソフトは異なり、同一ものは確認されていない。*31
- 吹田市男性のPCで確認されたもの
  - ２ちゃんねるに張られていたリンクからダウンロードした。*32
  - タイマー機能を持つソフト等複数確認*33
  - ２ちゃんねるに書込みがあったタイマーソフト
    以下経過
    2012/07/26 19:01 英単語覚えたいので時間計測ソフトがないか書込み
    2012/07/27 13:21 Torを使ってレス代行依頼
    2012/07/27 14:05 スレに代行書込み
- 津市男性のPCで確認されたもの
  - 写真解析ソフト（ネット上の写真から撮影日時、場所、カメラ機種等の情報を読み取る）*34
  - ２ちゃんねるに書込みがあったExif情報編集ツール
    以下経過
    2012/09/09 04:43 exif情報を変更するソフトがないか書込み
    2012/09/10 14:29 Torを使ってレス代行依頼
    2012/09/10 14:43 スレに代行書込み
    2012/09/10 17:17 削除されていたとの書込み
- その他２ちゃんねるに書き込みのあった不審なログ2件
  - クリップボード監視ソフト
    以下経過
    2012/08/24 00:39 クリップボード監視ソフトがないか書込み
    2012/08/24 19:05 Torを使ってレス代行依頼
    2012/08/24 19:36 スレに代行書込み
  - テキストエディタ
    2012/08/28 03:05 希望するテキスト整形が出来るエディタがないか書込み
    2012/08/28 15:06 ツールを作ってみたと書込み
    2012/08/28 16:26 Torを使ってレス代行依頼
    2012/08/28 18:56 スレに代行書込み

なりすまし(遠隔操作)ウイルスを使った犯行手口（大阪市の事例）

　これまで報道・報告されてきた情報を元にJAL、大阪市へ行われた犯行予告がどのようにして行われたかイメージにしたものが次の図です。

　真犯人とされる人物は用意周到にこの犯行を行ったと考えられ、２ちゃんねる、およびコマンドの送信に利用したしたらば掲示板へは匿名化技術であるTorを使って書き込みが行われたと考えられています。従って発信元を特定するにはTorによってリレーされた通信記録をたどる必要があり、捜査権の及ばない海外のサーバーを経由している場合は捜査が難航することが予想されます。

　また2009年以降、２ちゃんねるの多くの掲示板ではTorを使った書き込みが禁止されており、これを回避するため、海外からの書込みでも制限がないシベリア板のレス代行スレに依頼を行ったと考えられます。ターゲットとなった掲示板はソフトウェア板のソフトウェアを探している人が集まるスレッドで、紹介されたツールを実行する人が集まりやすい傾向にあります。ここをターゲットとしたのは適当と言えます。

　つまり、２ちゃんねるにある程度詳しく、抜け道ともいえる匿名化をする方法を考え出す知識を持つ人間による犯行と考えられます。

　また、殺人予告という派手なパフォーマンスを行っている反面、冷静に足跡を残さない行動も見られ、Dropboxや大阪市男性に感染させたウイルス、その閲覧・送信履歴を全て削除しています。

遠隔操作ウイルスにどのようにして感染したのかを推測

　今回逮捕された男性は、情報処理の技術者であったり、PCの操作に詳しいなど一般よりも技術力のある点が報じられていました。そのため、そう簡単にはウイルスを実行（感染）させることは難しく、とは言いつつも「フリーソフトをダウンロードしたことが原因である」と話されていたことから、どのような方法でウイルスを実行させたのかに注目していました。

　10/12 13時頃、この件に関して書込みが行われている２ちゃんねるのスレッドに今回のウイルスを所有している人物が現れ、いくつか興味深い情報が書き込まれました。ZIP等の圧縮ファイル形式で配布されていることはタイマーソフトの事例からわかっておりましたが、今回はその圧縮ファイルにどのようなファイルが含まれていたかが報告されていました。なお、所有していた検体はVirustotalのレポートに残っていた名前から8月28日にアップロードされていたテキストエディタを装ったものと推測されます。

　圧縮ファイルにはアプリケーション(Chikan.exe)とデータファイル(data)の2つのファイルが含まれています。2つのファイルの動作検証に関する書込み、及びファイルハッシュについても書込みがあり、これら情報からアプリケーションがドロッパー(ウイルス本体を出力する役割)であり、データファイルとされていたものが本来のアプリケーション、つまりChikan.exeではないかと考えられます。

　さらにドロッパーが出力するファイルは3つ確認されており、内2つは遠隔操作ウイルスに関連するファイル（iesys.exe、cfg.dat）、もう1つは削除バッチ(del.bat)と考えられます。

　削除バッチの中身も報告されており、処理の流れはドロッパーの削除やリネーム等至極簡単ではありますが、ユーザーからはドロッパーを実行しても、最終的に正規のソフトが起動するため、感染した事実に気づくことなく遠隔操作の支配下に置くというものです。

　下記にこれら推測を元に感染フローのイメージを起こしました。その後、概ね動作が合っているとの書込みがあります。