メカAG 犯行予告事件、身元隠す「Tor(トーア)」の悪用と犯人像 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞) http://www.yomiuri.co.jp/net/security/goshinjyutsu/20121019-OYT8T01021.htm | トーアについても、国内のトーアのサーバーを全調査すれば、何らかのヒントがあると思われる(犯人自体もトーアのサーバーを動かしている可能性があるため)。よくもまあ無責任かつ気楽に言う。これって道を歩いている人を片っ端から犯人扱いして取り調べろってのと同じだよね。むしろ情報が集まる新聞社とかを家宅捜索した方が、いろんな犯罪の手がかりになるのではなかろうか。 * * *言いたいことはこれで終わりなので、あとは余談。まずTorに関する圧倒的な無知。いや、知らないのは別に仕方ないから、責めようとは思わない。あくまで「間違ってますよ」という話。Torのノードには3タイプある。まず「出口ノード」。これがTorの内部から外部のインターネットへの出口の役割を担っている。掲示板とかへの書き込みでIPアドレスが残るのもこのノードだ。今回ヨーロッパからのアクセス云々の話もこの出口ノードがヨーロッパにあるということ。 * * *2番目は「リレーノード」。これはTor内部で中継だけを担うノードだ。Tor内で閉じているからこのノードのIPアドレスは特定できない。Torが公開しているノードリストの一覧には載るが、単にそれはそのIPアドレスでTorのノードが稼働しているというだけで、それ以上でも以下でもない。ようするにそれを知ったところで何ら有益な情報は得られない。たとえばWinnyなどファイル交換ソフトの場合、各ノードが保持しているファイルの情報などがわかるが、Torの場合、Torのノード自身は何も情報を保持していないので、これを調査したところで何もわからない。よく「国外からのアクセスだから捜査できない」と報道されるが、これは間違いで、すべてのTorノードが国内にあっても、発信元が特定できないのは変わらない。この辺がどうもWinnyなどのファイル交換ソフトと混同されているんだよね。困ったものだ。 * * *そして3番目「クライアントノード」。これはTorを外部から利用するだけのノードで、ノードリストにも載っていない。普通にTorをインストールするとこのモードでインストールされる。リレーノードにもなっていないし出口ノードにもなっていない。だからIPアドレスさえ外部からはわからない。事実上ノーリスクでTorを利用できる。これもWinnyなどファイル交換ソフトと違うところ。ファイル交換ソフトはファイルデータを保持する必要があるので、陰に陽に参加ノードに対してファイルをキャッシュして貢献することを求める。ひらたくいえば使うんだった自分も貢献せよ、と。Torの場合それがない。「タダ乗り」を許している。デフォルトがこのモードなのだから、推奨しているとさえ言える。もちろんリレーノードへの参加は呼びかけられているが、義務ではない。 * * *で、この記事の筆者は国内のTorノードを調べれば手がかりがあるかもしれないと推測している。俺にはまったくの的外れに見える。これまで述べたようにリレーノードや出口ノードを調べたところで発信元(犯人)のIPアドレスはわからない。さらに犯人がリレーノードや出口ノードでTorを稼働させているとは思えない。後述するがこの犯人はひと通り足がつきそうな点はきちんと回避しているように見える。そんな用心深い犯人がリレーノードや出口ノードでTorを稼働させておくわけがない。自分が必要な時だけクライアントモードでTorを動かすだけだろう。したがってノードリストに載っている国内の全Torノード、いや世界中のノードを調べても何の意味もない。その中に犯人は含まれてすらいない。 * * *犯人の注意深さがわかる点。 時事ドットコム:プロの開発者が作成か=高価な専門ツール使用-証拠隠滅の痕跡も、PC遠隔操作 http://www.jiji.com/jc/zc?k=201210/2012101800773この記事自体は「ウィルスはVisualStudio2010という数十万円する高価なツールで開発された」云々と、プログラマなら思わず笑ってしまうような陳腐な内容。VisualStudio2010は安いアカデミック版や無料のサブセットのExpress版など、入手する方法はいくらでもある。仕事で使っていればそれを流用することもできるだろうし、これ自体がファイル交換ソフトで出回っている。それにこれぐらいの値段なら趣味で購入する人もいるだろう。で、このコメントをしているセキュリティ会社ラックはアホなのか?とネットで話題になっている。 Visualstudio2010は高価な専門ツールでプロしか使えない?「秀逸なジョークか」 - Togetter http://togetter.com/li/392214 ラックが時事報道で風評被害w(デマ拡散中) - Togetter http://togetter.com/li/392225 時事通信の記事に関するラック西本逸郎氏のコメント - Togetter http://togetter.com/li/392732まあ多分、ラックはもっとまともなことをインタビューで答えたのだろうけど、それを記事にする人間がよくわかっていないので、こういう文章になったのだろう。 * * *そんなことはどうでもよくて、むしろこの部分。 | 作成者はウイルス関連のファイルを外付けの記憶媒体に保存していた痕跡があることが判明。パソコン本体に証拠が残らないようにするためと考えられ、浜田主任研究員は「突然警察の家宅捜索を受けたとしても、USBメモリーなど保存した記憶媒体を破壊すれば証拠を隠滅できる」と分析している。たぶんプログラムソースの置き場がCドライブではなく、DとかEとか別のドライブだったということなのだろう。この研究員はいざとなったらすぐに証拠隠滅できるようにUSBメモリに入れてたのではないかと推測している。俺は別な考えだ。開発環境は気をつけないと絶対パスがデバッグ情報などに一緒に記録されてしまうことがある。たとえばWindowsのユーザーのフォルダにソースを置いてコンパイルすると、ユーザーフォルダまでの絶対パスが残ってしまうことがある。現に「外付けの記録媒体に保存していた痕跡」というのはこのことだろう。ユーザーフォルダ名というのはWindowsのログイン名と同じだから、うっかりすると自分の名前が記録されてしまう。犯人はそれを避けるために別ドライブにしているのだろう。pdfの例もあるし。 http://www.google.co.jp/search?q=pdf+%22c%3A\Users%22+OR+%22c%3A\Documents+and+Settings%22Windowsのログイン名は、やましいことがなくても、本名とは全然関係ない名前にしておいたほうが無難。そんなわけでこの犯人は「素人」ではないと俺は思う。ひととおり足がつきそうな箇所は事前に手を打っている。興味本位に聞きかじりの知識でウィルスを作ってみた、というレベルではなく、それなりにセキュリティに詳しい人間だと思う。 * * *最初の記事に戻るが、 | 比較的古いネットのマニアがよく使う「したらば掲示板」を利用すること、これはしたらばがTorからの書き込みを制限していないためだろう。匿名プロキシからの書き込みを制限するか否か、個々の掲示板の管理人が設定できたはず。2chは荒らしを防ぐため、Torを含む匿名プロキシからの書き込みをかなり制限してる。遠隔操作のコマンドのやり取りの場に2chではなくしたらばを使ったのはこれが理由と思われる。参考サイト:遠隔ウィルスの調査に携わる人たちの質がひどすぎる件 - Windows 2000 Bloghttp://blog.livedoor.jp/blackwingcat/archives/1720328.htmlVisual Studio で作ったプログラムには個人情報が? - Windows 2000 Bloghttp://blog.livedoor.jp/blackwingcat/archives/1712636.html
ログイン名にそんな思い入れがあったなんて