Hatena::ブログ(Diary)

piyolog RSSフィード

2012-10-08

なりすましウイルスによる犯行予告事案をまとめてみた。

| 10:49 | なりすましウイルスによる犯行予告事案をまとめてみた。を含むブックマーク

 インターネットを通じて犯行予告を行ったとして、吹田市、津市でそれぞれ男性が逮捕(吹田市男性はその後起訴)されました。しかし、その後の調査によって犯行予告を行ったとされるPCがウイルス感染していたことが明らかとなり、逮捕された男性のPCを踏み台とした(なりすましによる)第三者の犯行による疑いが出たため、男性二人は釈放されていた事実が明らかとなりました。また、その後福岡市男性も同じウイルスが確認されたことにより釈放されています。さらに10月15日、真犯人と自称する人間から犯行声明とされるメールがTBSラジオに送られていたことが明らかとなり、6月の横浜市の犯行予告も自分が行ったことを認める内容が記載されていました。ここでは報道された情報を元に、それぞれの事案、及びウイルスについてまとめてみます。

 なお、下記内容を鵜呑みにせず、ソースは各自にてご確認ください。

逮捕・起訴された男性

吹田市男性

 JALの爆破予告と大阪市のHPの掲示板に殺人予告を行ったとして、吹田市の男性が逮捕、起訴されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、大阪地検が勾留取消を申請し、吹田市男性は釈放されています。

  • 逮捕
    • 容疑:威力業務妨害
    • 逮捕日:2012年8月26日
  • 起訴
    • 起訴罪状:偽計業務妨害罪
    • 起訴日:2012年9月14日
  • 証拠
  • 現在の状況
    • 大阪地検が起訴後、勾留取消申請を行い、釈放済。
    • 大阪地検は起訴取り消し等の対応を検討。
    • 大阪地検は在宅での捜査を継続。
津市男性

 任天堂本社と伊勢神宮へ破壊予告を2ちゃんねるに書込みしたとして、津市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、津地検が処分保留とし、津市男性は釈放されています。

  • 逮捕
    • 容疑:威力業務妨害
    • 逮捕日:2012年9月14日
  • 証拠
    • 伊勢神宮、任天堂への犯行予告として2ちゃんねるへ書き込みを行ったインターネットの発信記録とIPアドレスが一致。押収した2台のPCの内、デスクトップPCに書込みを行った記録(閲覧履歴?)が残っていた。
  • 現在の状況
    • 津地検が処分保留にて釈放。
    • 三重県警、津地検が引き続き任意で事情聴取。
福岡市男性

 お茶の水女子大付属幼稚園と芦田愛菜への脅迫メールを送ったとして、福岡市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、東京地検が処分保留とし、福岡市男性は釈放されています。

  • 逮捕
    • 容疑:威力業務妨害、脅迫
    • 逮捕日:2012年9月1日(お茶の水女子大付属幼稚園への襲撃予告)、2012年9月21日(芦田愛菜への脅迫)
  • 証拠
    • 検挙に至った証拠は不明。
    • 福岡市男性は逮捕後犯行を自供していた*1が、東京地検送検後は容疑を否認していた。*2
  • 現在の状況
    • 東京地検が処分保留にて釈放。
杉並区男性

 横浜市へ小学校襲撃予告を行ったとして、杉並区の男性が逮捕後、送検されました。その後家庭裁判所の保護観察処分を受けました。

  • 逮捕
    • 容疑:威力業務妨害
    • 逮捕日:2012年7月1日
  • 証拠
    • 保土ヶ谷区襲撃予告書込みの発信記録と杉並区男性のIPアドレスが一致
  • 現在の状況

犯行予告事案

(1) 横浜市 保土ヶ谷区 市立小学校襲撃予告事案
  • 捜査担当 神奈川県警保土ヶ谷署
  • 発生日 2012年6月29日 15時15分頃
  • 事案概要
    • 横浜市HPに「小学校を襲撃して皆殺しにしてやる」という書き込みが行われた。
  • その他
    • 6月30日に予定されていた授業参観は中止となった。
    • 逮捕された杉並区男性は逮捕後して否認していたが、送検後に容疑を認めていた。
(2) 大阪日本橋 大量殺人予告事案
  • 捜査担当 大阪府警捜査1課
  • 発生日 2012年7月29日 21時45分頃
  • 事案概要
    • 大阪市HPの相談窓口ページに「ヲタロードで大量殺人をする」「午後2時ごろ歩行者天国にトラックで突っ込んで無差別にキモヲタどもをひきまくります。ナイフで無差別に刺しまくります。その後自殺します」と書込みが行われた。
  • その他
    • 8月5日は警察官約90人が警戒にあたった。
    • 大阪府警、大阪地検は「捜査は適正」としている。
    • 本件との関係性は薄いと思われるが、大阪市HPの掲示板にはCSRFの脆弱性が存在していました。
    • 大阪府警は吹田市男性のPCがウイルスを通じて第三者によって書き込まれた可能性について想定していなかった。
    • 海外などの複数のサーバーを経由して遠隔操作が行われた可能性がある。*3
    • 吹田市男性は任意聴取段階からPCが第三者に乗っ取られたことを主張。容疑は一貫して否認。*4
(3) JAL爆破予告メール事案
  • 発生日 2012年8月1日 13時25分頃
  • 捜査担当 警視庁捜査1課
  • 事案概要
    • 成田発ニューヨーク行きJAL006便ボーイング777機(乗客乗員265人)に爆発物を仕掛けたとして、JALの顧客対応窓口にメールが送られた。そのため、アリューシャン列島付近から引き返し同日20時に成田に戻った。
  • その他
(4) お茶の水女子大付属幼稚園襲撃予告事案
  • 発生日 2012年8月27日 17時頃
  • 捜査担当 警視庁捜査1課
  • 事案概要
    • お茶の水女子大付属幼稚園へ「始業式に園児を襲撃する」等の脅迫メールを送った。
  • その他
    • メールでは悠仁さまを名指ししていた。*5
    • 他事案と異なり、問い合わせフォームがなく、ブラウザから直接データを送信することは出来ない。
(5) 芸能プロダクション脅迫事案
  • 発生日 2012年8月頃
  • 捜査担当 警視庁捜査1課
  • 事案概要
    • 芸能プロダクションに所属する芦田愛菜へ脅迫するメールを送った。
(6) 伊勢神宮破壊予告事案
  • 発生日 2012年9月10日 15時34分頃
  • 捜査担当 三重県警伊勢署
  • 事案概要
    • 2ちゃんねるへ伊勢神宮への破壊を予告する書込みが4回行われた。
  • その他
(7) 任天堂本社破壊予告事案
(8) 安倍総裁殺害予告事案
  • 発生日 2012年10月上旬
  • 捜査担当 警視庁捜査1課
  • 事案概要
    • 警察庁と国家公安委員会に対し、安倍総裁を殺害する内容の2ちゃんねるへ任天堂の破壊、殺人を予告するメールが20数件、送信された。
  • その他
    • 「他のパソコンを踏み台にしているので絶対ばれない」等の遠隔操作を示唆する内容や警察東京を挑発する内容が含まれていた。
    • 送られたのは大阪市男性釈放が報じられる前。
    • TBSラジオ宛に送られた犯行声明ではこの犯行予告に関する記載はない模様。

真犯人とされる人物より送られた犯行声明

 2012年10月9、10日に真犯人と称する犯行声明の様なメールが届いていたことが判明しました。

犯行声明に関する情報
  • 落合弁護士の事務所宛
    • 送付日:2012年10月9日 23時22分*7
  • TBSラジオ「Dig」宛
    • 送付日:2012年10月10日 22時20分
    • その他
      • 警視庁捜査1課が一連の犯行予告の人物からのメールである可能性が高いとして、送信元を詳しく調査。
      • 送信者のメールアドレスや本文は同じ内容
犯行声明の内容
  • タイトル「私が真犯人です」
  • 本文
    • 犯人しか知り得ない事実「秘密の暴露」が多く含まれている。
    • 下記、6件の犯行予告を認める内容が記載されている。尚都内弁護士事務所宛に送られたメールでは全部で9件を認めるものであった。
      • 横浜市への犯行予告
      • 大阪市への犯行予告
      • 日本航空への犯行予告
      • 幼稚園への襲撃予告
      • 芸能プロダクション所属子役への脅迫
      • 伊勢神宮への破壊予告
    • 横浜市への犯行予告はウイルス以外の方法で行った。
    • 世間を騒がすことが目的ではなく、警察・検察をはめてやりたかった、醜態をさらさせたかったことが動機。
    • ある程度のタイミングで誰かにこの告白を送って、捕まった人たちを助けるつもりだった。
    • 三重県の時だけはあえてウイルスを削除しなかった。仕掛けたウイルスを見つけられるかどうか、犯人扱いのままとするのか釈放するか、警察がどう出るかを試す意図があった。
    • ウイルスに関する情報。iesys.exeが実行ファイルであることや一から開発を行ったものであること、遠隔操作の作業手順を記載したWebサイトアドレスが記載。
    • 警察・検察へ、遊んでくれてありがとう。また遊びましょうね。

時系列別の整理

  • 2012年7月中旬
    • 大阪市男性がPCを購入。
  • 2012年7月27日〜29日
  • 2012年7月29日
  • 2012年7月30日
    • 大阪市が府警へ犯行予告の書込みについて相談。
  • 2012年8月1日
    • JALへ航空機爆破予告メールが送られる。
    • 吹田市男性からPCの任意提出を受ける。*8
  • 2012年8月2日
    • 発信元捜査から吹田市男性が浮上。大阪府警警視庁が連携捜査を開始。
    • 犯行予告を受け、吹田市男性へ任意での事情聴取を開始。
  • 2012年8月26日
    • 大阪府警が威力業務妨害容疑で吹田市男性を逮捕。
  • 2012年9月1日
    • 警視庁が威力業務妨害容疑で福岡市男性を逮捕。
  • 2012年9月10日
    • 2ちゃんねるへ任天堂、伊勢神宮の破壊予告が書き込まれる。
  • 2012年9月14日
    • 大阪地検が偽計業務妨害罪で吹田市男性を起訴。
    • 三重県警が伊勢神宮への犯行予告を受けて、威力業務妨害容疑で津市男性を逮捕。
  • 2012年9月18日頃
    • 押収した津市男性のPCがウイルス感染し、遠隔操作で書込みが出来るようになっていたことが判明。発見は派遣された大阪府警によるもの。*9
  • 2012年9月半ば
  • 2012年9月21日
    • 大阪地検が勾留取消を申請し、吹田市男性を釈放。
    • 津地検が処分保留として津市男性を釈放。
    • 東京地検が処分保留として福岡市男性を釈放。
    • 警視庁が脅迫容疑で福岡市男性を再逮捕。
  • 2012年9月27日
    • 福岡市男性のPCがウイルス感染していたことが判明。
    • 東京地検が処分保留として福岡市男性を釈放。
  • 2012年10月上旬
    • 警察庁や国家公安委員会へ安倍総裁の殺害予告メールが送られる。*10
  • 2012年10月7日までに
  • 2012年10月10日
    • 警視庁から検体の提供を受けトレンドマイクロが解析結果と注意喚起を公開。*12
    • 警察庁が都道府県警に同種事案の場合、アンチウィルスソフトを使って同種のマルウェアがないか確認するよう指示。*13
    • 真犯人とされる人物からTBSラジオ「Dig」宛にメールが送られる。*14
  • 2012年10月11日までに
    • 最高検察庁が全国の検察庁にIPアドレスから容疑者を特定した事件が現在あるかの確認、及び報告と、同種事案の際はウィルス感染や遠隔操作の可能性について注意喚起。*15
  • 2012年10月12日
    • 警察庁が国民向けに遠隔操作ウィルスに関する注意喚起を掲載。*16
  • 2012年10月15日
    • TBSラジオ宛に犯行声明が送られていたことが報じられる。*17

判明しているウィルスの状況

    • 確認されている検体
      • 検体(1)Virustotalスキャンログ
        • MD5:746f911c631411f611308eaafb6c353d
        • SHA1:7f2779ece8a3471393d828b61992bcf148ef9702
        • 初回スキャン日時:2012/09/07 10:00:55 (UTC)
        • 初回コンパイル日時:2012/07/31 09:31:44(UTC)
        • ファイル作成日時:2012/07/31 11:31:44(UTC)
        • ファイルサイズ:49,664 bytes
      • 検体(2)Virustotalスキャンログ
        • MD5:784b38cf29ae7c0cbb168a49266c27c4
        • SHA1:799b708bee90e93ca291275016ea152ab772e1b0
        • 初回スキャン日時:2012/10/11 01:10:44 (UTC)
        • 初回コンパイル日時:2012/08/06 06:16:36(UTC)
        • ファイル作成日時:2012/08/06 07:16:36(UTC)
        • ファイルサイズ: 51,200 bytes
    • したらば掲示板「http://jbbs.livedoor.jp/read.cgi/掲示板のカテゴリ/BBSのID/スレッドのID/」にアクセスし、コマンドを受信する。
    • コマンドはBASE64エンコードされ、かつAESで暗号化されている。
    • 吹田市、津市、福岡市の男性PCからは「iesys.exe」というファイル名でウィルスが確認されている。*24
    • 海外のサーバーを経由して第三者が遠隔操作可能。
    • 日本で過去検知されたことがない。*25
    • PCの使用地域を確認することが出来る。*26
    • 今夏以降、イギリス等欧州を中心に確認されている*27という話であるが、トレンドマイクロの解析結果では「新種のバックドア型不正プログラム」と分析されている。*28
    • C#で実装されている。また一部コードに日本語(「saltは必ず8バイト以上」)が記載されており、日本語に精通した人物である可能性が高い。また当該コードは日本語のサイトを参考に実装している。*29
    • 現在2つのバージョンが確認されている。バージョン番号は2.23、2.35で、連続していないため別のバージョンが存在する可能性もある。

なりすまし(遠隔操作)ウイルスを使った犯行手口(大阪市の事例)

 これまで報道・報告されてきた情報を元にJAL、大阪市へ行われた犯行予告がどのようにして行われたかイメージにしたものが次の図です。

 真犯人とされる人物は用意周到にこの犯行を行ったと考えられ、2ちゃんねる、およびコマンドの送信に利用したしたらば掲示板へは匿名化技術であるTorを使って書き込みが行われたと考えられています。従って発信元を特定するにはTorによってリレーされた通信記録をたどる必要があり、捜査権の及ばない海外のサーバーを経由している場合は捜査が難航することが予想されます。

 また2009年以降、2ちゃんねるの多くの掲示板ではTorを使った書き込みが禁止されており、これを回避するため、海外からの書込みでも制限がないシベリア板のレス代行スレに依頼を行ったと考えられます。ターゲットとなった掲示板はソフトウェア板のソフトウェアを探している人が集まるスレッドで、紹介されたツールを実行する人が集まりやすい傾向にあります。ここをターゲットとしたのは適当と言えます。

 つまり、2ちゃんねるにある程度詳しく、抜け道ともいえる匿名化をする方法を考え出す知識を持つ人間による犯行と考えられます。

 また、殺人予告という派手なパフォーマンスを行っている反面、冷静に足跡を残さない行動も見られ、Dropboxや大阪市男性に感染させたウイルス、その閲覧・送信履歴を全て削除しています。

f:id:Kango:20121013105004p:image:w700

遠隔操作ウイルスにどのようにして感染したのかを推測

 今回逮捕された男性は、情報処理の技術者であったり、PCの操作に詳しいなど一般よりも技術力のある点が報じられていました。そのため、そう簡単にはウイルスを実行(感染)させることは難しく、とは言いつつも「フリーソフトダウンロードしたことが原因である」と話されていたことから、どのような方法でウイルスを実行させたのかに注目していました。

 10/12 13時頃、この件に関して書込みが行われている2ちゃんねるのスレッド今回のウイルスを所有している人物が現れ、いくつか興味深い情報が書き込まれました。ZIP等の圧縮ファイル形式で配布されていることはタイマーソフトの事例からわかっておりましたが、今回はその圧縮ファイルにどのようなファイルが含まれていたかが報告されていました。なお、所有していた検体はVirustotalのレポートに残っていた名前から8月28日にアップロードされていたテキストエディタを装ったものと推測されます。

 圧縮ファイルにはアプリケーション(Chikan.exe)データファイル(data)の2つのファイルが含まれています。2つのファイルの動作検証に関する書込み、及びファイルハッシュについても書込みがあり、これら情報からアプリケーションがドロッパー(ウイルス本体を出力する役割)であり、データファイルとされていたものが本来のアプリケーション、つまりChikan.exeではないかと考えられます。

 さらにドロッパーが出力するファイルは3つ確認されており、内2つは遠隔操作ウイルスに関連するファイル(iesys.exe、cfg.dat)、もう1つは削除バッチ(del.bat)と考えられます。

 削除バッチの中身も報告されており、処理の流れはドロッパーの削除やリネーム等至極簡単ではありますが、ユーザーからはドロッパーを実行しても、最終的に正規のソフトが起動するため、感染した事実に気づくことなく遠隔操作の支配下に置くというものです。

 下記にこれら推測を元に感染フローのイメージを起こしました。その後、概ね動作が合っているとの書込みがあります。

f:id:Kango:20121013135438p:image:w450

その他

この件に関する記事、まとめ等

更新履歴

*1悠仁さまの幼稚園に脅迫メール 福岡市の男逮捕,J-CAST,2012/10/10アクセス:魚拓

*2釈放男性、検察には否認=警察では全面自供−幼稚園脅迫メール・東京地検,時事通信,2012/10/13アクセス:魚拓

*3予告メール、海外サーバー経由か,共同通信,2012/10/08アクセス:魚拓

*4PC乗っ取り犯罪予告か 遠隔操作ウイルス感染,読売新聞,2012/10/09アクセス:魚拓

*5悠仁さまを「襲撃」 脅迫メールを送った28歳男逮捕 警視庁,産経新聞,2012/10/10アクセス:魚拓

*6海外サーバー経由し操作か?大阪府警、接続ルートを捜査,スポニチ,2012/10/08アクセス:魚拓

*7弁護士にも犯行認めるメール,NHK,2012/10/15アクセス:魚拓

*8遠隔操作PC ネット掲示板の用語 ウイルス 犯行予告でも使用,東京新聞,2012/10/14アクセス:魚拓

*9PC遠隔操作:三重の感染ウイルス発見は大阪府警,毎日新聞,2012/10/14アクセス:魚拓

*10警察庁に自民総裁脅すメール 遠隔操作を示唆,日経新聞,2012/10/13アクセス:魚拓

*11遠隔操作の可能性 十分考慮し捜査を,NHK,2012/10/08アクセス:魚拓

*12注意喚起:不正プログラムを使用した遠隔操作によるなりすまし犯行予告事件に関する注意喚起,トレンドマイクロ,2012/10/10アクセス:魚拓

*13“遠隔操作”捜査、対策ソフト使用を指示,TBS,2012/10/11アクセス:魚拓

*14PC遠隔操作、TBSに“犯行声明メール”,TBS,2012/10/15アクセス:魚拓

*15IPアドレスで容疑者特定 全国に報告指示,NHK,2012/10/11アクセス:魚拓

*16遠隔操作ウイルスの被害に遭わないために!,警察庁,2012/10/13アクセス(PDF)

*17民放へのメール 計6件への関与認める,NHK、2012/10/15アクセス:魚拓

*18BKDR_SYSIE.A,トレンドマイクロ,2012/10/10アクセス:魚拓

*19Backdoor.Rabasheeta,シマンテック,2012/10/11アクセス:魚拓

*20Virus Profile: BackDoor-FIT,McAfee,2012/10/12アクセス

*21ウイルス使いキー入力盗み見、犯罪予告に反映か,読売新聞,2012/10/08アクセス:魚拓

*22感染のウイルス 検知難しい仕組みか,NHK,2012/10/08アクセス:魚拓

*23「大人数を動員して大騒ぎ…立件するしかない空気に」,産経新聞,2012/10/08アクセス:魚拓

*24大阪の「殺人予告」に実名記載 ウイルスのファイル名判明,中国新聞,2012/10/10アクセス:魚拓

*25PC乗っ取りウイルスは新種、不特定多数狙う?,読売新聞,2012/10/09アクセス:魚拓

*26入力内容の監視や送信も可能 男性2人のウイルス,共同通信,2012/10/08アクセス:魚拓

*27PC遠隔操作ウイルス、欧州の新種,読売新聞,2012/10/08アクセス:魚拓

*28遠隔操作により犯罪予告を行うバックドア型不正プログラム「BKDR_SYSIE.A」,トレンドマイクロ,2012/10/10アクセス:魚拓

*29犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名,シマンテック,2012/10/11アクセス:魚拓

*30HPに殺人予告、第三者が遠隔操作か…男性釈放,読売新聞,2012/10/08アクセス:魚拓

*31別ソフト通じ取り込みか 不正プログラム,2012/10/09アクセス:魚拓

*32釈放の2人 同じソフトをダウンロード,NHK,2012/10/08アクセス魚拓

*33PC遠隔操作:ウイルス容量異なる 三重では動作異常,毎日新聞,2012/10/08アクセス:魚拓

*34無料ソフトで感染か パソコン乗っ取り事件,日経新聞,201210/09アクセス:魚拓

*35「2ちゃん」経由でウイルス感染か…遠隔操作,読売新聞,2012/10/10アクセス:魚拓

*36ネット上のソフトが感染源か PC遠隔操作のウイルス,朝日新聞,2012/10/08アクセス:魚拓

*37PC遠隔操作 無料ソフトにウイルス,東京新聞,2012/10/09アクセス:魚拓

通りすがり通りすがり 2012/10/13 23:17 http://www.jiji.com/jc/c?g=soc_30&k=2012101000961
福岡の男性は、送検後容疑を否認だそうです。

piyokangopiyokango 2012/10/13 23:41 情報ありがとうございます。:)
反映しました。

通りすがり再び通りすがり再び 2012/10/14 10:07 まとめご苦労様です。
http://mainichi.jp/select/news/20121013k0000m040131000c.html
「三重の感染ウイルス発見は大阪府警」とのことです。

piyokangopiyokango 2012/10/14 16:18 情報ありがとうございます。
時系列欄へ反映しました。