2012-10-08
なりすましウイルスによる犯行予告事案をまとめてみた。
インシデントまとめ | |
インターネットを通じて犯行予告を行ったとして、吹田市、津市でそれぞれ男性が逮捕(吹田市男性はその後起訴)されました。しかし、その後の調査によって犯行予告を行ったとされるPCがウイルスに感染していたことが明らかとなり、逮捕された男性のPCを踏み台とした(なりすましによる)第三者の犯行による疑いが出たため、男性二人は釈放されていた事実が明らかとなりました。また、その後福岡市男性も同じウイルスが確認されたことにより釈放されています。さらに10月15日、真犯人と自称する人間から犯行声明とされるメールがTBSラジオに送られていたことが明らかとなり、6月の横浜市の犯行予告も自分が行ったことを認める内容が記載されていました。ここでは報道された情報を元に、それぞれの事案、及びウイルスについてまとめてみます。
なお、下記内容を鵜呑みにせず、ソースは各自にてご確認ください。
逮捕・起訴された男性
吹田市男性
JALの爆破予告と大阪市のHPの掲示板に殺人予告を行ったとして、吹田市の男性が逮捕、起訴されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、大阪地検が勾留取消を申請し、吹田市男性は釈放されています。
- 逮捕
- 容疑:威力業務妨害
- 逮捕日:2012年8月26日
- 起訴
- 起訴罪状:偽計業務妨害罪
- 起訴日:2012年9月14日
- 証拠
- 現在の状況
- 大阪地検が起訴後、勾留取消申請を行い、釈放済。
- 大阪地検は起訴取り消し等の対応を検討。
- 大阪地検は在宅での捜査を継続。
津市男性
任天堂本社と伊勢神宮へ破壊予告を2ちゃんねるに書込みしたとして、津市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、津地検が処分保留とし、津市男性は釈放されています。
- 逮捕
- 容疑:威力業務妨害
- 逮捕日:2012年9月14日
- 証拠
- 現在の状況
福岡市男性
お茶の水女子大付属幼稚園と芦田愛菜への脅迫メールを送ったとして、福岡市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、東京地検が処分保留とし、福岡市男性は釈放されています。
- 逮捕
- 容疑:威力業務妨害、脅迫
- 逮捕日:2012年9月1日(お茶の水女子大付属幼稚園への襲撃予告)、2012年9月21日(芦田愛菜への脅迫)
- 証拠
- 現在の状況
- 東京地検が処分保留にて釈放。
杉並区男性
横浜市へ小学校襲撃予告を行ったとして、杉並区の男性が逮捕後、送検されました。その後家庭裁判所の保護観察処分を受けました。
犯行予告事案
(1) 横浜市 保土ヶ谷区 市立小学校襲撃予告事案
- 捜査担当 神奈川県警保土ヶ谷署
- 発生日 2012年6月29日 15時15分頃
- 事案概要
- 横浜市HPに「小学校を襲撃して皆殺しにしてやる」という書き込みが行われた。
- その他
- 6月30日に予定されていた授業参観は中止となった。
- 逮捕された杉並区男性は逮捕後して否認していたが、送検後に容疑を認めていた。
(2) 大阪日本橋 大量殺人予告事案
- 捜査担当 大阪府警捜査1課
- 発生日 2012年7月29日 21時45分頃
- 事案概要
- 大阪市HPの相談窓口ページに「ヲタロードで大量殺人をする」「午後2時ごろ歩行者天国にトラックで突っ込んで無差別にキモヲタどもをひきまくります。ナイフで無差別に刺しまくります。その後自殺します」と書込みが行われた。
- その他
(3) JAL爆破予告メール事案
- 発生日 2012年8月1日 13時25分頃
- 捜査担当 警視庁捜査1課
- 事案概要
- 成田発ニューヨーク行きJAL006便ボーイング777機(乗客乗員265人)に爆発物を仕掛けたとして、JALの顧客対応窓口にメールが送られた。そのため、アリューシャン列島付近から引き返し同日20時に成田に戻った。
- その他
- メールにはオウム真理教元代表松本智津夫死刑囚の釈放を求める記載があった。
- まとめ:なぜJALに?オウム・松本死刑囚の釈放を求めるメール
(4) お茶の水女子大付属幼稚園襲撃予告事案
- 発生日 2012年8月27日 17時頃
- 捜査担当 警視庁捜査1課
- 事案概要
- お茶の水女子大付属幼稚園へ「始業式に園児を襲撃する」等の脅迫メールを送った。
- その他
(5) 芸能プロダクション脅迫事案
- 発生日 2012年8月頃
- 捜査担当 警視庁捜査1課
- 事案概要
- 芸能プロダクションに所属する芦田愛菜へ脅迫するメールを送った。
(6) 伊勢神宮破壊予告事案
- 発生日 2012年9月10日 15時34分頃
- 捜査担当 三重県警伊勢署
- 事案概要
- 2ちゃんねるへ伊勢神宮への破壊を予告する書込みが4回行われた。
- その他
- 県警は「当初の捜査は適正で、誤認逮捕という認識はない」としている。
- 2ちゃんねるへ書き込まれた伊勢神宮破壊予告のログ
- 津市男性が無料ソフトをダウンロードして約30分後に2ちゃんねるへ書き込みが行われた。*6
(7) 任天堂本社破壊予告事案
- 発生日 2012年9月10日 16時10分頃
- 捜査担当 不明
- 事案概要
- 2ちゃんねるへ任天堂の破壊、殺人を予告する書込みが複数回行われた。
- その他
(8) 安倍総裁殺害予告事案
- 発生日 2012年10月上旬
- 捜査担当 警視庁捜査1課
- 事案概要
- 警察庁と国家公安委員会に対し、安倍総裁を殺害する内容の2ちゃんねるへ任天堂の破壊、殺人を予告するメールが20数件、送信された。
- その他
- 「他のパソコンを踏み台にしているので絶対ばれない」等の遠隔操作を示唆する内容や警察東京を挑発する内容が含まれていた。
- 送られたのは大阪市男性釈放が報じられる前。
- TBSラジオ宛に送られた犯行声明ではこの犯行予告に関する記載はない模様。
真犯人とされる人物より送られた犯行声明
2012年10月9、10日に真犯人と称する犯行声明の様なメールが届いていたことが判明しました。
犯行声明に関する情報
- 落合弁護士の事務所宛
- 送付日:2012年10月9日 23時22分*7
- TBSラジオ「Dig」宛
犯行声明の内容
- タイトル「私が真犯人です」
- 本文
- 犯人しか知り得ない事実「秘密の暴露」が多く含まれている。
- 下記、6件の犯行予告を認める内容が記載されている。尚都内弁護士事務所宛に送られたメールでは全部で9件を認めるものであった。
- 横浜市への犯行予告
- 大阪市への犯行予告
- 日本航空への犯行予告
- 幼稚園への襲撃予告
- 芸能プロダクション所属子役への脅迫
- 伊勢神宮への破壊予告
- 横浜市への犯行予告はウイルス以外の方法で行った。
- 世間を騒がすことが目的ではなく、警察・検察をはめてやりたかった、醜態をさらさせたかったことが動機。
- ある程度のタイミングで誰かにこの告白を送って、捕まった人たちを助けるつもりだった。
- 三重県の時だけはあえてウイルスを削除しなかった。仕掛けたウイルスを見つけられるかどうか、犯人扱いのままとするのか釈放するか、警察がどう出るかを試す意図があった。
- ウイルスに関する情報。iesys.exeが実行ファイルであることや一から開発を行ったものであること、遠隔操作の作業手順を記載したWebサイトアドレスが記載。
- 警察・検察へ、遊んでくれてありがとう。また遊びましょうね。
時系列別の整理
- 2012年7月中旬
- 大阪市男性がPCを購入。
- 2012年7月27日〜29日
- 2012年7月29日
- 2012年7月30日
- 大阪市が府警へ犯行予告の書込みについて相談。
- 2012年8月1日
- 2012年8月2日
- 2012年8月26日
- 大阪府警が威力業務妨害容疑で吹田市男性を逮捕。
- 2012年9月1日
- 警視庁が威力業務妨害容疑で福岡市男性を逮捕。
- 2012年9月10日
- 2ちゃんねるへ任天堂、伊勢神宮の破壊予告が書き込まれる。
- 2012年9月14日
- 大阪地検が偽計業務妨害罪で吹田市男性を起訴。
- 三重県警が伊勢神宮への犯行予告を受けて、威力業務妨害容疑で津市男性を逮捕。
- 2012年9月18日頃
- 2012年9月半ば
- 2012年9月21日
- 2012年9月27日
- 2012年10月上旬
- 2012年10月7日までに
- 2012年10月10日
- 2012年10月11日までに
- 2012年10月12日
- 2012年10月15日
- TBSラジオ宛に犯行声明が送られていたことが報じられる。*17
判明しているウィルスの状況
- 報道・報告されているウイルスの概要
- 確認されている検体
- 検体(1)Virustotalスキャンログ
- 検体(2)Virustotalスキャンログ
- 感染対象OS(現在サポート対象OSのみ記載、恐らくSP、R2関係ないと思われます。)
- Windows XP
- Windows Vista
- Windows 7
- Windows Server 2003
- Windows Server 2008
- したらば掲示板「http://jbbs.livedoor.jp/read.cgi/掲示板のカテゴリ/BBSのID/スレッドのID/」にアクセスし、コマンドを受信する。
- コマンドはBASE64でエンコードされ、かつAESで暗号化されている。
- 吹田市、津市、福岡市の男性PCからは「iesys.exe」というファイル名でウィルスが確認されている。*24
- 海外のサーバーを経由して第三者が遠隔操作可能。
- 日本で過去検知されたことがない。*25
- PCの使用地域を確認することが出来る。*26
- 今夏以降、イギリス等欧州を中心に確認されている*27という話であるが、トレンドマイクロの解析結果では「新種のバックドア型不正プログラム」と分析されている。*28
- C#で実装されている。また一部コードに日本語(「saltは必ず8バイト以上」)が記載されており、日本語に精通した人物である可能性が高い。また当該コードは日本語のサイトを参考に実装している。*29
- 現在2つのバージョンが確認されている。バージョン番号は2.23、2.35で、連続していないため別のバージョンが存在する可能性もある。
- 発見の経緯
- 大阪府警は複数のアンチウィルスソフトでスキャンを行ったが、ウイルスは発見できなかった。
- 三重県警の捜査から押収したPCがウイルスに感染していたことが判明。
- 大阪府警は三重県警の情報を受け、ファイル復元後、再度ファイルの検索をしたところ同名のファイル「iesys.exe」を発見した。
- 吹田市男性のPCからウイルスは既に削除されていた。*30
- 大阪市、津市、福岡市それぞれで確認されたウイルスはファイル名が同じ。さらにソフトウェア自体は酷似しているが、ファイルサイズは異なる。*31
- 大阪府警では既にウイルスの復元・解析を完了。
- 吹田市、津市の男性二人の共通点として、インターネット上から無料ソフトをダウンロードしていた。*32
- 津市男性がインターネットからソフトウェアをインストールした際、動作が急に重くなり、1時間で使用を停止した。吹田市男性では動作が重くなる症状は見られなかった。*33
- 感染原因となった可能性のある無料ソフト
- 吹田市、津市でそれぞれダウンロードされたソフトは異なり、同一ものは確認されていない。*34
- 吹田市男性のPCで確認されたもの
- 2ちゃんねるに張られていたリンクからダウンロードした。*35
- タイマー機能を持つソフト等複数確認*36
- 2ちゃんねるに書込みがあったタイマーソフト
以下経過
2012/07/26 19:01 英単語覚えたいので時間計測ソフトがないか書込み
2012/07/27 13:21 Torを使ってレス代行依頼
2012/07/27 14:05 スレに代行書込み
- 津市男性のPCで確認されたもの
- 写真解析ソフト(ネット上の写真から撮影日時、場所、カメラ機種等の情報を読み取る)*37
- 2ちゃんねるに書込みがあったExif情報編集ツール
以下経過
2012/09/09 04:43 exif情報を変更するソフトがないか書込み
2012/09/10 14:29 Torを使ってレス代行依頼
2012/09/10 14:43 スレに代行書込み
2012/09/10 17:17 削除されていたとの書込み
- その他2ちゃんねるに書き込みのあった不審なログ2件
- クリップボード監視ソフト
以下経過
2012/08/24 00:39 クリップボード監視ソフトがないか書込み
2012/08/24 19:05 Torを使ってレス代行依頼
2012/08/24 19:36 スレに代行書込み - テキストエディタ
2012/08/28 03:05 希望するテキスト整形が出来るエディタがないか書込み
2012/08/28 15:06 ツールを作ってみたと書込み
2012/08/28 16:26 Torを使ってレス代行依頼
2012/08/28 18:56 スレに代行書込み
- クリップボード監視ソフト
なりすまし(遠隔操作)ウイルスを使った犯行手口(大阪市の事例)
これまで報道・報告されてきた情報を元にJAL、大阪市へ行われた犯行予告がどのようにして行われたかイメージにしたものが次の図です。
真犯人とされる人物は用意周到にこの犯行を行ったと考えられ、2ちゃんねる、およびコマンドの送信に利用したしたらば掲示板へは匿名化技術であるTorを使って書き込みが行われたと考えられています。従って発信元を特定するにはTorによってリレーされた通信記録をたどる必要があり、捜査権の及ばない海外のサーバーを経由している場合は捜査が難航することが予想されます。
また2009年以降、2ちゃんねるの多くの掲示板ではTorを使った書き込みが禁止されており、これを回避するため、海外からの書込みでも制限がないシベリア板のレス代行スレに依頼を行ったと考えられます。ターゲットとなった掲示板はソフトウェア板のソフトウェアを探している人が集まるスレッドで、紹介されたツールを実行する人が集まりやすい傾向にあります。ここをターゲットとしたのは適当と言えます。
つまり、2ちゃんねるにある程度詳しく、抜け道ともいえる匿名化をする方法を考え出す知識を持つ人間による犯行と考えられます。
また、殺人予告という派手なパフォーマンスを行っている反面、冷静に足跡を残さない行動も見られ、Dropboxや大阪市男性に感染させたウイルス、その閲覧・送信履歴を全て削除しています。
遠隔操作ウイルスにどのようにして感染したのかを推測
今回逮捕された男性は、情報処理の技術者であったり、PCの操作に詳しいなど一般よりも技術力のある点が報じられていました。そのため、そう簡単にはウイルスを実行(感染)させることは難しく、とは言いつつも「フリーソフトをダウンロードしたことが原因である」と話されていたことから、どのような方法でウイルスを実行させたのかに注目していました。
10/12 13時頃、この件に関して書込みが行われている2ちゃんねるのスレッドに今回のウイルスを所有している人物が現れ、いくつか興味深い情報が書き込まれました。ZIP等の圧縮ファイル形式で配布されていることはタイマーソフトの事例からわかっておりましたが、今回はその圧縮ファイルにどのようなファイルが含まれていたかが報告されていました。なお、所有していた検体はVirustotalのレポートに残っていた名前から8月28日にアップロードされていたテキストエディタを装ったものと推測されます。
圧縮ファイルにはアプリケーション(Chikan.exe)とデータファイル(data)の2つのファイルが含まれています。2つのファイルの動作検証に関する書込み、及びファイルハッシュについても書込みがあり、これら情報からアプリケーションがドロッパー(ウイルス本体を出力する役割)であり、データファイルとされていたものが本来のアプリケーション、つまりChikan.exeではないかと考えられます。
さらにドロッパーが出力するファイルは3つ確認されており、内2つは遠隔操作ウイルスに関連するファイル(iesys.exe、cfg.dat)、もう1つは削除バッチ(del.bat)と考えられます。
削除バッチの中身も報告されており、処理の流れはドロッパーの削除やリネーム等至極簡単ではありますが、ユーザーからはドロッパーを実行しても、最終的に正規のソフトが起動するため、感染した事実に気づくことなく遠隔操作の支配下に置くというものです。
下記にこれら推測を元に感染フローのイメージを起こしました。その後、概ね動作が合っているとの書込みがあります。
その他
この件に関する記事、まとめ等
- 「殺人予告被告、ウイルス発覚で釈放」についてのモトケン氏と捜査関係の会話 - togetter
- 自分でやってないのに逮捕される!? 特殊なウイルスによる犯罪予告書き込みで逮捕された事件まとめ - NAVERまとめ
- あなたも逮捕されるかも。大阪殺人予告、三重爆破予告両冤罪事件は他人事ではない。 : I believe in technology
更新履歴
- 2012/10/08-14 AM 新規公開後、随時更新
- 2012/10/15 PM 犯行声明を受けて報道情報を反映
*1:悠仁さまの幼稚園に脅迫メール 福岡市の男逮捕,J-CAST,2012/10/10アクセス:魚拓
*2:釈放男性、検察には否認=警察では全面自供−幼稚園脅迫メール・東京地検,時事通信,2012/10/13アクセス:魚拓
*3:予告メール、海外サーバー経由か,共同通信,2012/10/08アクセス:魚拓
*4:PC乗っ取り犯罪予告か 遠隔操作ウイルス感染,読売新聞,2012/10/09アクセス:魚拓
*5:悠仁さまを「襲撃」 脅迫メールを送った28歳男逮捕 警視庁,産経新聞,2012/10/10アクセス:魚拓
*6:海外サーバー経由し操作か?大阪府警、接続ルートを捜査,スポニチ,2012/10/08アクセス:魚拓
*7:弁護士にも犯行認めるメール,NHK,2012/10/15アクセス:魚拓
*8:遠隔操作PC ネット掲示板の用語 ウイルス 犯行予告でも使用,東京新聞,2012/10/14アクセス:魚拓
*9:PC遠隔操作:三重の感染ウイルス発見は大阪府警,毎日新聞,2012/10/14アクセス:魚拓
*10:警察庁に自民総裁脅すメール 遠隔操作を示唆,日経新聞,2012/10/13アクセス:魚拓
*11:遠隔操作の可能性 十分考慮し捜査を,NHK,2012/10/08アクセス:魚拓
*12:注意喚起:不正プログラムを使用した遠隔操作によるなりすまし犯行予告事件に関する注意喚起,トレンドマイクロ,2012/10/10アクセス:魚拓
*13:“遠隔操作”捜査、対策ソフト使用を指示,TBS,2012/10/11アクセス:魚拓
*14:PC遠隔操作、TBSに“犯行声明メール”,TBS,2012/10/15アクセス:魚拓
*15:IPアドレスで容疑者特定 全国に報告指示,NHK,2012/10/11アクセス:魚拓
*16:遠隔操作ウイルスの被害に遭わないために!,警察庁,2012/10/13アクセス(PDF)
*17:民放へのメール 計6件への関与認める,NHK、2012/10/15アクセス:魚拓
*18:BKDR_SYSIE.A,トレンドマイクロ,2012/10/10アクセス:魚拓
*19:Backdoor.Rabasheeta,シマンテック,2012/10/11アクセス:魚拓
*20:Virus Profile: BackDoor-FIT,McAfee,2012/10/12アクセス
*21:ウイルス使いキー入力盗み見、犯罪予告に反映か,読売新聞,2012/10/08アクセス:魚拓
*22:感染のウイルス 検知難しい仕組みか,NHK,2012/10/08アクセス:魚拓
*23:「大人数を動員して大騒ぎ…立件するしかない空気に」,産経新聞,2012/10/08アクセス:魚拓
*24:大阪の「殺人予告」に実名記載 ウイルスのファイル名判明,中国新聞,2012/10/10アクセス:魚拓
*25:PC乗っ取りウイルスは新種、不特定多数狙う?,読売新聞,2012/10/09アクセス:魚拓
*26:入力内容の監視や送信も可能 男性2人のウイルス,共同通信,2012/10/08アクセス:魚拓
*27:PC遠隔操作ウイルス、欧州の新種,読売新聞,2012/10/08アクセス:魚拓
*28:遠隔操作により犯罪予告を行うバックドア型不正プログラム「BKDR_SYSIE.A」,トレンドマイクロ,2012/10/10アクセス:魚拓
*29:犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名,シマンテック,2012/10/11アクセス:魚拓
*30:HPに殺人予告、第三者が遠隔操作か…男性釈放,読売新聞,2012/10/08アクセス:魚拓
*31:別ソフト通じ取り込みか 不正プログラム,2012/10/09アクセス:魚拓
*32:釈放の2人 同じソフトをダウンロード,NHK,2012/10/08アクセス:魚拓
*33:PC遠隔操作:ウイルス容量異なる 三重では動作異常,毎日新聞,2012/10/08アクセス:魚拓
*34:無料ソフトで感染か パソコン乗っ取り事件,日経新聞,201210/09アクセス:魚拓
*35:「2ちゃん」経由でウイルス感染か…遠隔操作,読売新聞,2012/10/10アクセス:魚拓
*36:ネット上のソフトが感染源か PC遠隔操作のウイルス,朝日新聞,2012/10/08アクセス:魚拓
*37:PC遠隔操作 無料ソフトにウイルス,東京新聞,2012/10/09アクセス:魚拓
福岡の男性は、送検後容疑を否認だそうです。
反映しました。
http://mainichi.jp/select/news/20121013k0000m040131000c.html
「三重の感染ウイルス発見は大阪府警」とのことです。
時系列欄へ反映しました。