piyolog

なりすまし（遠隔操作）ウイルスによる犯行予告事件をまとめてみた。

インシデントまとめ | 10:49 |

　インターネットを通じて犯行予告を行ったとして、吹田市、津市でそれぞれ男性が逮捕(吹田市男性はその後起訴)されました。しかし、その後の調査によって犯行予告を行ったとされるPCがウイルスに感染していたことが明らかとなり、逮捕された男性のPCを踏み台とした(なりすましによる)第三者の犯行による疑いが出たため、男性二人は釈放されていた事実が明らかとなりました。また、その後福岡市男性も同じウイルスが確認されたことにより釈放されています。さらに10月15日、真犯人と自称する人間から犯行声明とされるメールがTBSラジオに送られていたことが明らかとなり、6月の横浜市の犯行予告も自分が行ったことを認める内容が記載されていました。ここでは報道された情報を元に、それぞれの事件、及びウイルスについてまとめてみます。

　なお、下記内容を鵜呑みにせず、ソースは各自にてご確認ください。

１．逮捕・起訴された男性

(1) 吹田市男性

　JALの爆破予告と大阪市のHPの掲示板に殺人予告を行ったとして、吹田市の男性が逮捕、起訴されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、大阪地検が勾留取消を申請し、吹田市男性は釈放されています。

• 逮捕
  • 容疑：威力業務妨害
  • 逮捕日：2012年8月26日
• 起訴
  • 起訴罪状：偽計業務妨害罪
  • 起訴日：2012年9月14日
• 証拠
  • JAL爆破予告メールと大阪日本橋殺人予告を行ったインターネットの発信記録とモバイルルーターのIPアドレスが一致
• 現在の状況
  • 大阪地検は起訴を取り消し。*1

(2) 津市男性

　任天堂本社と伊勢神宮へ破壊予告を２ちゃんねるに書込みしたとして、津市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、津地検が処分保留とし、津市男性は釈放されています。

• 逮捕
  • 容疑：威力業務妨害
  • 逮捕日：2012年9月14日
• 証拠
  • 伊勢神宮、任天堂への犯行予告として２ちゃんねるへ書き込みを行ったインターネットの発信記録とIPアドレスが一致。押収した2台のPCの内、デスクトップPCに書込みを行った記録(閲覧履歴?)が残っていた。
• 現在の状況
  • 津地検が処分保留にて釈放。
  • 三重県警が誤認逮捕を行ったして謝罪。*2

(3) 福岡市男性

　お茶の水女子大付属幼稚園と芦田愛菜への脅迫メールを送ったとして、福岡市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、東京地検が処分保留とし、福岡市男性は釈放されています。

• 逮捕
  • 容疑：威力業務妨害、脅迫
  • 逮捕日：2012年9月1日(お茶の水女子大付属幼稚園への襲撃予告)、2012年9月21日(芦田愛菜への脅迫)
• 証拠
  • 検挙に至った証拠は不明。
  • 福岡市男性は逮捕後犯行を自供していた*3が、東京地検送検後は容疑を否認していた。*4
• 現在の状況
  • 東京地検が処分保留にて釈放。

(4) 杉並区男性

　横浜市へ小学校襲撃予告を行ったとして、杉並区の男性が逮捕後、横浜地検へ送検されました。その後家庭裁判所の保護観察処分を受けました。

• 逮捕
  • 容疑：威力業務妨害
  • 逮捕日：2012年7月1日
• 証拠
  • 保土ヶ谷区襲撃予告書込みの発信記録と杉並区男性のIPアドレスが一致
• 現在の状況
  • 横浜家裁へ送検後、事件を静岡家裁浜松支部へ移送され、保護観察処分を受ける。*5
  • 神奈川県警 福井署長含め4人が謝罪訪問。その後横浜地検 山口刑事部長ら2人も謝罪訪問。*6 *7

２．犯行声明から関与が認められた犯行予告

犯行声明で関与が記載された犯行予告事件は下記13件です。

	発生日	犯行予告対象	遠隔操作対象	予告先	遠隔操作手段	捜査担当
1	6月29日 15時15分	横浜市	杉並区男性	メールフォーム	CSRF	神奈川県警保土ヶ谷署
2	7月29日 21時45分	大阪市	吹田市男性	メールフォーム	ウイルス	大阪府警捜査1課
3	7月29日	首相官邸	吹田市男性	メールフォーム?	ウイルス	届け出無し
4	8月1日 13時25分	日本航空	吹田市男性	メールフォーム	ウイルス	警視庁捜査1課
5	8月9日 10時41分	コミックマーケット	自動車部品会社	２ちゃんねる	ウイルス	不明
6	8月9日 10時59分	天皇	自動車部品会社	２ちゃんねる	ウイルス	不明
7	8月27日 17時頃	お茶の水女子大付属幼稚園	福岡市男性	メール	ウイルス	警視庁捜査1課
8	8月27日	芦田愛菜	福岡市男性	メール	ウイルス	警視庁捜査1課
9	8月27日	学習院初等科	福岡市男性	メール	ウイルス	届け出無し
10	8月27日	部落解放同盟	福岡市男性	メール	ウイルス	届け出無し
11	8月29日 20時21分	AKB48	福岡市男性	２ちゃんねる	ウイルス	警視庁東京湾岸署
12	9月10日 15時34分	伊勢神宮	津市男性	２ちゃんねる	ウイルス	三重県警伊勢署
13	9月10日 16時10分	任天堂	津市男性	２ちゃんねる	ウイルス	三重県警

(1) 横浜市 保土ヶ谷区 市立小学校襲撃予告

• 捜査担当 神奈川県警保土ヶ谷署
• 発生日 2012年6月29日 15時17分頃
• 犯行予告概要
  • 横浜市HPに「小学校を襲撃して皆殺しにしてやる」という書き込みが行われた。
• 遠隔操作手法　CSRF
• その他
  • 6月30日に予定されていた授業参観は中止となった。
  • 逮捕された杉並区男性は逮捕後して否認していたが、送検後に容疑を認めていた。
  • 神奈川県警は逮捕前にウイルス感染の確認(ウィルススキャン)は行っていなかった。*8

(2) 大阪日本橋 大量殺人予告

• 捜査担当 大阪府警捜査1課
• 発生日 2012年7月29日 21時45分頃
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • 大阪市HPの相談窓口ページに「ヲタロードで大量殺人をする」「午後２時ごろ歩行者天国にトラックで突っ込んで無差別にキモヲタどもをひきまくります。ナイフで無差別に刺しまくります。その後自殺します」と書込みが行われた。
• その他
  • 8月5日は警察官約90人が警戒にあたった。
  • 大阪府警、大阪地検は「捜査は適正」としている。
  • 本件との関係性は薄いと思われるが、大阪市HPの掲示板にはCSRFの脆弱性が存在していました。
  • 大阪府警は吹田市男性のPCがウイルスを通じて第三者によって書き込まれた可能性について想定していなかった。
  • 海外などの複数のサーバーを経由して遠隔操作が行われた可能性がある。*9
  • 吹田市男性は任意聴取段階からPCが第三者に乗っ取られたことを主張。容疑は一貫して否認。*10

(3) 皇居ランナー大量殺人予告

• 発生日 2012年7月29日
• 捜査担当 届け出無し
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • 首相官邸HPへ皇居ランナーを桜田門前で無差別殺人を行う犯行予告が送られた。
• その他
  • 犯行声明で出されるまで報道されていない犯行予告であった。

(4) 日本航空機爆破予告

• 発生日 2012年8月1日 13時25分頃
• 捜査担当 警視庁捜査1課
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • 成田発ニューヨーク行きJAL006便ボーイング777機(乗客乗員265人)に爆発物を仕掛けたとして、JALの顧客対応窓口にメールが送られた。そのため、アリューシャン列島付近から引き返し同日20時に成田に戻った。

(5) コミックマーケット大量殺人予告

• 発生日 2012年8月9日 10時41分から合計5回
• 捜査担当 警視庁捜査1課
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • 合計5回にわたり、２ちゃんねるへコミックマーケットで大量殺人をする犯行予告が行われた。

(6) 天皇陛下殺害予告

• 発生日 2012年8月9日 10時59分
• 捜査担当 不明
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • ２ちゃんねるへ天皇陛下を殺害する犯行予告が行われた。

(7) お茶の水女子大付属幼稚園襲撃予告

• 発生日 2012年8月27日 17時頃
• 捜査担当 警視庁捜査1課
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • お茶の水女子大付属幼稚園へ「始業式に園児を襲撃する」等の脅迫メールを送った。
• その他
  • メールでは悠仁さまを名指ししていた。*11

(8) 芸能プロダクション脅迫

• 発生日 2012年8月27日
• 捜査担当 警視庁捜査1課
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • 芸能プロダクションに所属する芦田愛菜へ脅迫するメールを送った。
• その他
  • 福岡県男性のPCで芦田愛菜関連サイトを閲覧した形跡があり、これも遠隔操作を通じて行われた可能性。*12

(9) 学習院初等科襲撃予告

• 発生日 2012年8月27日 夕方
• 捜査担当 届け出無し
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • 学習院初等科へ襲撃を予告するメールを送った。
• その他
  • 犯行予告メールは迷惑メールフォルダに振り分けられており、犯行声明後に当該メールが届いていたことが確認された。
  • 同じ文面のものが1分違いで2通届いていた。
  • 始業式での愛子さまと学友の襲撃を予告する内容であった。*13

(10) 部落解放同盟襲撃予告

• 発生日 2012年8月27日
• 捜査担当 届け出無し
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • 部落解放同盟中央本部へ襲撃を予告するメールを送った。

(11) AKB48握手会襲撃予告

• 発生日 2012年8月29日 20時21分
• 捜査担当 警視庁東京湾岸署
• 遠隔操作手法　ウイルス?
• 犯行予告概要
  • ２ちゃんねるへ9月2日に開催されるAKB48の握手会を襲撃する予告が書き込まれた。
  • 警視庁の要請により当該書込みは削除された。

(12) 伊勢神宮破壊予告

• 発生日 2012年9月10日 15時34分頃
• 捜査担当 三重県警伊勢署
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • ２ちゃんねるへ伊勢神宮への破壊を予告する書込みが4回行われた。
• その他
  • 県警は「当初の捜査は適正で、誤認逮捕という認識はない」としている。
  • ２ちゃんねるへ書き込まれた伊勢神宮破壊予告のログ
  • 津市男性が無料ソフトをダウンロードして約30分後に２ちゃんねるへ書き込みが行われた。*14

(13) 任天堂本社破壊予告

• 発生日 2012年9月10日 16時10分頃
• 捜査担当 三重県警
• 遠隔操作手法　ウイルス
• 犯行予告概要
  • ２ちゃんねるへ任天堂の破壊、殺人を予告する書込みが複数回行われた。
• その他
  • ２ちゃんねるへ書き込まれた任天堂破壊予告のログ

（参考）安倍総裁殺害予告

• 発生日 2012年10月上旬
• 捜査担当 警視庁捜査1課
• 犯行予告概要
  • 警察庁と国家公安委員会に対し、安倍総裁を殺害する内容の２ちゃんねるへ任天堂の破壊、殺人を予告するメールが20数件、送信された。
• その他
  • 「他のパソコンを踏み台にしているので絶対ばれない」等の遠隔操作を示唆する内容や警察東京を挑発する内容が含まれていた。
  • 送られたのは大阪市男性釈放が報じられる前。
  • 犯行声明ではこの犯行予告に関する記載はない模様。

３．真犯人とされる人物より送られた犯行声明

　2012年10月9、10日に真犯人と称する犯行声明の様なメールが届いていたことが判明しました。

(1) 犯行声明に関する情報

• 落合弁護士の事務所宛
  • 送付日：2012年10月9日 23時22分*15
• TBSラジオ「Dig」宛
  • 送付日：2012年10月10日 22時20分
  • その他
    • 警視庁捜査1課が一連の犯行予告の人物からのメールである可能性が高いとして、送信元を詳しく調査。
    • 送信者のメールアドレスや本文は同じ内容

(2) 犯行声明の内容

• メールアドレス onigoroshijuzo@yahoo.co.jp*16
• タイトル「【遠隔操作事件】私が真犯人です」
• 本文
  • 犯人しか知り得ない事実「秘密の暴露」が多く含まれている。
  • 13件の犯行予告への関与を認める記載がある。
  • 横浜市への犯行予告はウイルス以外の方法で行った。
  • 世間を騒がすことが目的ではなく、警察・検察をはめてやりたかった、醜態をさらさせたかったことが動機。
  • ある程度のタイミングで誰かにこの告白を送って、捕まった人たちを助けるつもりだった。
  • 三重県の時だけはあえてウイルスを削除しなかった。仕掛けたウイルスを見つけられるかどうか、犯人扱いのままとするのか釈放するか、警察がどう出るかを試す意図があった。
  • ウイルスに関する情報。iesys.exeが実行ファイルであることや一から開発を行ったものであること、遠隔操作の作業手順を記載したWebサイトアドレスが記載。
  • 警察・検察へ、遊んでくれてありがとう。また遊びましょうね。
  • TBS宛には欧州のサーバーから送信されていた。*17
  • 尚、報道情報で流された映像等から犯行声明(一部)を文字お越しされた方がいます。
    • なりすましウイルス犯行予告犯がTBS＆弁護士に送ったメール全文 - satoru.netの自由帳

４．時系列別の整理

• 2012年6月29日
  • 真犯人がCSRFを踏ませるURLを２ちゃんねるへ書き込みしたと思われる。
  • 横浜市へ小学校襲撃を予告する書込みが行われる。
• 2012年7月1日
  • 神奈川県警が威力業務妨害容疑で杉並区男性を逮捕。
• 2012年7月8日
  • 杉並区男性が横浜家庭裁判所に送検される。
• 2012年7月中旬
  • 大阪市男性がPCを購入。
• 2012年7月27日
  • 真犯人がタイマーソフトを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
• 2012年7月27日〜29日
  • 大阪市男性がタイマーソフトとして、ウィルスをダウンロードしたと思われる。(bitlyログより)
• 2012年7月29日
  • 大阪市HPに大量殺人予告の書込みが行われる。
  • 首相官邸HPに大量殺人予告の書込みが行われる。
• 2012年7月30日
  • 大阪市が府警へ犯行予告の書込みについて相談。
• 2012年8月1日
  • JALへ航空機爆破予告メールが送られる。
  • 吹田市男性からPCの任意提出を受ける。*18
• 2012年8月2日
  • 発信元捜査から吹田市男性が浮上。大阪府警、警視庁が連携捜査を開始。
  • 犯行予告を受け、吹田市男性へ任意での事情聴取を開始。
• 2012年8月9日
  • ２ちゃんねるへコミックマーケットや天皇陛下を殺害する予告が書き込まれる。
• 2012年8月15日
  • 杉並区男性が静岡家裁浜松支部より保護観察処分を受ける。
• 2012年8月24日
  • 真犯人がクリップボード監視ソフトを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
• 2012年8月26日
  • 大阪府警が威力業務妨害容疑で吹田市男性を逮捕。
  • 福岡市男性がウイルスをダウンロードした。*19
• 2012年8月27日
  • お茶の水女子大付属幼稚園の襲撃を予告するメールが送られる。
  • 学習院初等科の襲撃を予告するメールが送られる。
  • 部落解放同盟中央本部の襲撃を予告するメールが送られる。
  • 芦田愛菜の襲撃を予告するメールが送られる。
  • 大阪府警が威力業務妨害容疑で吹田市男性を逮捕。
• 2012年8月28日
  • 真犯人がテキストエディタを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
• 2012年8月29日
  • ２ちゃんねるへAKB48の握手会を襲撃する予告が書き込まれる。
• 2012年9月1日
  • 警視庁が威力業務妨害容疑で福岡市男性を逮捕。
• 2012年9月10日
  • 真犯人がexif情報編集ソフトを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
  • ２ちゃんねるへ任天堂、伊勢神宮の破壊予告が書き込まれる。
• 2012年9月14日
  • 大阪地検が偽計業務妨害罪で吹田市男性を起訴。
  • 三重県警が伊勢神宮への犯行予告を受けて、威力業務妨害容疑で津市男性を逮捕。
• 2012年9月18日頃
  • 押収した津市男性のPCがウイルスに感染し、遠隔操作で書込みが出来るようになっていたことが判明。発見は派遣された大阪府警によるもの。*20
• 2012年9月半ば
  • 大阪府警が起訴後補充捜査を開始。吹田市男性のPCがウイルスに感染していたことが判明。
• 2012年9月21日
  • 大阪地検が勾留取消を申請し、吹田市男性を釈放。
  • 津地検が処分保留として津市男性を釈放。
  • 東京地検が処分保留として福岡市男性を釈放。
  • 警視庁が脅迫容疑で福岡市男性を再逮捕。
• 2012年9月27日
  • 福岡市男性のPCがウイルスに感染していたことが判明。
  • 東京地検が処分保留として福岡市男性を釈放。
• 2012年10月上旬
  • 警察庁や国家公安委員会へ安倍総裁の殺害予告メールが送られる。*21
• 2012年10月7日までに
  • 警察庁が各都道府県警へサイバー犯罪捜査でなりすましの可能性に十分注意するよう指示。*22
• 2012年10月10日
  • 警視庁から検体の提供を受けトレンドマイクロが解析結果と注意喚起を公開。*23
  • 警察庁が都道府県警に同種事件の場合、アンチウィルスソフトを使って同種のマルウェアがないか確認するよう指示。*24
  • 真犯人とされる人物からTBSラジオ「Dig」宛にメールが送られる。*25
• 2012年10月11日までに
  • 最高検察庁が全国の検察庁にIPアドレスから容疑者を特定した事件が現在あるかの確認、及び報告と、同種事件の際はウィルス感染や遠隔操作の可能性について注意喚起。*26
• 2012年10月12日
  • 警察庁が国民向けに遠隔操作ウィルスに関する注意喚起を掲載。*27
• 2012年10月15日
  • TBSラジオ宛に犯行声明が送られていたことが報じられる。*28
• 2012年10月16日
  • 警察庁、警視庁、大阪府警、三重県警の緊急捜査会議が開かれる。*29
• 2012年10月17日
  • 杉並区男性に再聴取。*30
• 2012年10月18日
  • 「真犯人でない方を逮捕した可能性が高く、逮捕した方には謝罪を検討している」と警察庁長官が記者会見で発言。*31
• 2012年10月19日
  • 警視庁、大阪府警、三重県警、神奈川県警の合同捜査本部を設置。*32
  • 大阪地検が吹田市男性の起訴を取消。
  • 三重県警が福岡市男性へ謝罪訪問。
• 2012年10月20日
  • 神奈川県警保土ヶ谷署、横浜地検がそれぞれ杉並区男性へ謝罪訪問。

５．判明しているウィルスの状況

(1) 報道・報告されているウイルスの概要

• 検体名
  • トレンドマイクロ：BKDR_SYSIE.A(改称前:TSPY_IESYSNET.A) *33
  • シマンテック：Backdoor.Rabasheeta*34
  • マカフィー：BackDoor-FIT*35
  • G Data：Trojan.Agent.AXAG

(2) 確認されている検体

• 検体（１）Virustotalスキャンログ
  • MD5：746f911c631411f611308eaafb6c353d
  • SHA1：7f2779ece8a3471393d828b61992bcf148ef9702
  • 初回スキャン日時：2012/09/07 10:00:55 (UTC)
  • 初回コンパイル日時：2012/07/31 09:31:44(UTC)
  • ファイル作成日時：2012/07/31 11:31:44(UTC)
  • ファイルサイズ：49,664 bytes
• 検体（２）Virustotalスキャンログ
  • MD5：784b38cf29ae7c0cbb168a49266c27c4
  • SHA1：799b708bee90e93ca291275016ea152ab772e1b0
  • 初回スキャン日時：2012/10/11 01:10:44 (UTC)
  • 初回コンパイル日時：2012/08/06 06:16:36(UTC)
  • ファイル作成日時：2012/08/06 07:16:36(UTC)
  • ファイルサイズ： 51,200 bytes

(3) 感染対象OS(現在サポート対象OSのみ記載、恐らくSP、R2関係ないと思われます。)

• Windows XP
• Windows Vista
• Windows 7
• Windows Server 2003
• Windows Server 2008

(4) アンチウィルスベンダにより分析された実行コマンド

• スクリーンショットの取得
• ファイルのダウンロード
• ファイルをへアップロード*36
• ファイルおよびフォルダの列挙
• ファイルの実行
• デフォルトのインターネットブラウザの取得
• 隠しブラウザで特定のURLを操作および開く
• ユーザのキー入力操作情報およびマウスの操作の記録*37
• 自身のアップデート*38
• 環境設定ファイルの更新
• 利用した掲示板のスレッドの更新
• コンピュータを一定の時間スリープする
• コンピュータから自身を削除する*39

• したらば掲示板「http://jbbs.livedoor.jp/read.cgi/掲示板のカテゴリ/BBSのID/スレッドのID/」にアクセスし、コマンドを受信する。
• コマンドはBASE64でエンコードされ、かつAESで暗号化されている。
• 吹田市、津市、福岡市の男性PCからは「iesys.exe」というファイル名でウィルスが確認されている。*40
• 海外のサーバーを経由して第三者が遠隔操作可能。
• 日本で過去検知されたことがない。*41
• PCの使用地域を確認することが出来る。*42
• 今夏以降、イギリス等欧州を中心に確認されている*43という話であるが、トレンドマイクロの解析結果では「新種のバックドア型不正プログラム」と分析されている。*44
• C#で実装されている。また一部コードに日本語(「saltは必ず8バイト以上」)が記載されており、日本語に精通した人物である可能性が高い。また当該コードは日本語のサイトを参考に実装している。*45
• 現在2つのバージョンが確認されている。バージョン番号は2.23、2.35で、連続していないため別のバージョンが存在する可能性もある。

(5) 発見の経緯

• 大阪府警は複数のアンチウィルスソフトでスキャンを行ったが、ウイルスは発見できなかった。
• 三重県警の捜査から押収したPCがウイルスに感染していたことが判明。
• 大阪府警は三重県警の情報を受け、ファイル復元後、再度ファイルの検索をしたところ同名のファイル「iesys.exe」を発見した。
• 吹田市男性のPCからウイルスは既に削除されていた。*46
• 大阪市、津市、福岡市それぞれで確認されたウイルスはファイル名が同じ。さらにソフトウェア自体は酷似しているが、ファイルサイズは異なる。*47
• 大阪府警では既にウイルスの復元・解析を完了。
• 吹田市、津市の男性二人の共通点として、インターネット上から無料ソフトをダウンロードしていた。*48
• 津市男性がインターネットからソフトウェアをインストールした際、動作が急に重くなり、1時間で使用を停止した。吹田市男性では動作が重くなる症状は見られなかった。*49

(6) 感染原因となった可能性のある無料ソフト

• 吹田市、津市でそれぞれダウンロードされたソフトは異なり、同一ものは確認されていない。*50
• 吹田市男性のPCで確認されたもの
  • ２ちゃんねるに張られていたリンクからダウンロードした。*51
  • タイマー機能を持つソフト等複数確認*52
  • ２ちゃんねるに書込みがあったタイマーソフト
    以下経過
    2012/07/26 19:01 英単語覚えたいので時間計測ソフトがないか書込み
    2012/07/27 13:21 Torを使ってレス代行依頼
    2012/07/27 14:05 スレに代行書込み
• 津市男性のPCで確認されたもの
  • 写真解析ソフト（ネット上の写真から撮影日時、場所、カメラ機種等の情報を読み取る）*53
  • ２ちゃんねるに書込みがあったExif情報編集ツール
    以下経過
    2012/09/09 04:43 exif情報を変更するソフトがないか書込み
    2012/09/10 14:29 Torを使ってレス代行依頼
    2012/09/10 14:43 スレに代行書込み
    2012/09/10 17:17 削除されていたとの書込み
• その他２ちゃんねるに書き込みのあった不審なログ2件
  • クリップボード監視ソフト
    以下経過
    2012/08/24 00:39 クリップボード監視ソフトがないか書込み
    2012/08/24 19:05 Torを使ってレス代行依頼
    2012/08/24 19:36 スレに代行書込み
  • テキストエディタ
    2012/08/28 03:05 希望するテキスト整形が出来るエディタがないか書込み
    2012/08/28 15:06 ツールを作ってみたと書込み
    2012/08/28 16:26 Torを使ってレス代行依頼
    2012/08/28 18:56 スレに代行書込み

６ 犯行手口

(1) CSRFを使った犯行手口（横浜市の事例）

　真犯人と称する人物により明らかとなった横浜市への犯行予告の手口について、イメージにしたものが次の図です。

　真犯人が犯行声明で認めた事件は全部で13件とされていますが、その内横浜市だけは真犯人が「javascriptのクロスサイトリクエストフォージェリを仕掛けて掲示板に張ったURLをたまたま踏んだだけです。」として、遠隔操作ウイルスではない方法を使って犯行予告を行ったことを明らかにしています。

　このクロスサイトリクエストフォージェリ(CSRF)は攻撃者が用意した「罠のサイトを閲覧しただけで、利用者のブラウザから勝手に「重要な処理」を実行させられる」脆弱性です。*54

　報道*55から２ちゃんねるの次の書込みを通じて杉並区男性が罠サイトであることを気づかずにリンクをクリックしてしまったと考えられます。リンクは短縮URLサービスを使って生成されたものであり、一見してどのようなサイトへ飛ぶのかは分かりません。この短縮URLを展開すると海外ホスティングサービスのURLを指していることが分かります。既にホスティングサービス上の罠サイトは存在せず、URLへアクセスしても2012年10月17日現在何も起こりません。(ただしこのURLを使って罠サイトを再稼働させることも考えられるため、不用意にアクセスすることは控えてください。）罠サイト自体は既に存在しないことから犯行声明を踏まえた推測となりますが、罠サイトを気づかずに閲覧してしまった杉並区男性は、そのままCSRF攻撃を行うスクリプトが実行され、勝手に横浜市へ襲撃予告が送信されたと考えられます。

　ただし、杉並区男性のPCがReferer(送信元のURL)を送信しない設定にしていたり、または罠サイト側でRefererが消されていたりしない限りは、襲撃予告が横浜市サイトから送られたのではないことに気づけたのではと考えます。何故横浜市、警察ともにこのなりすましを見逃してしまったのか、この原因は明らかにされていません。

(2) なりすまし(遠隔操作)ウイルスを使った犯行手口（大阪市の事例）

　これまで報道・報告されてきた情報を元にJAL、大阪市へ行われた犯行予告がどのようにして行われたかイメージにしたものが次の図です。

　真犯人とされる人物は用意周到にこの犯行を行ったと考えられ、２ちゃんねる、およびコマンドの送信に利用したしたらば掲示板へは匿名化技術であるTorを使って書き込みが行われたと考えられています。従って発信元を特定するにはTorによってリレーされた通信記録をたどる必要がありますが、通信経路となっているリレーノードではTor自体を改造をしたり、パケットキャプチャ等の別の記録手段を行っていない限り、Torにはどこからどこへ通信が行われたかの中継ログを残す機能はありません。さらに中継として利用されたノード全てでログが残っていない限り、発信元の特定には至りません。捜査権の及ばない海外のサーバーを経由している等の複合的要因も含め、発信元を特定する捜査は今後難航することが予想されます。

　また2009年以降、２ちゃんねるの多くの掲示板ではTorを使った書き込みが禁止されており、これを回避するため、海外からの書込みでも制限がないシベリア板のレス代行スレに依頼を行ったと考えられます。ターゲットとなった掲示板はソフトウェア板のソフトウェアを探している人が集まるスレッドで、紹介されたツールを実行する人が集まりやすい傾向にあります。ここをターゲットとしたのは適当と言えます。

　つまり、２ちゃんねるにある程度詳しく、抜け道ともいえる匿名化をする方法を考え出す知識を持つ人間による犯行と考えられます。

　また、殺人予告という派手なパフォーマンスを行っている反面、冷静に足跡を残さない行動も見られ、Dropboxや大阪市男性に感染させたウイルス、その閲覧・送信履歴を全て削除しています。

(3) 遠隔操作ウイルスにどのようにして感染したのかを推測

　今回逮捕された男性は、情報処理の技術者であったり、PCの操作に詳しいなど一般よりも技術力のある点が報じられていました。そのため、そう簡単にはウイルスを実行（感染）させることは難しく、とは言いつつも「フリーソフトをダウンロードしたことが原因である」と話されていたことから、どのような方法でウイルスを実行させたのかに注目していました。

　10/12 13時頃、この件に関して書込みが行われている２ちゃんねるのスレッドに今回のウイルスを所有している人物が現れ、いくつか興味深い情報が書き込まれました。ZIP等の圧縮ファイル形式で配布されていることはタイマーソフトの事例からわかっておりましたが、今回はその圧縮ファイルにどのようなファイルが含まれていたかが報告されていました。なお、所有していた検体はVirustotalのレポートに残っていた名前から8月28日にアップロードされていたテキストエディタを装ったものと推測されます。

　圧縮ファイルにはアプリケーション(Chikan.exe)とデータファイル(data)の2つのファイルが含まれています。2つのファイルの動作検証に関する書込み、及びファイルハッシュについても書込みがあり、これら情報からアプリケーションがドロッパー(ウイルス本体を出力する役割)であり、データファイルとされていたものが本来のアプリケーション、つまりChikan.exeではないかと考えられます。

　さらにドロッパーが出力するファイルは3つ確認されており、内2つは遠隔操作ウイルスに関連するファイル（iesys.exe、cfg.dat）、もう1つは削除バッチ(del.bat)と考えられます。

　削除バッチの中身も報告されており、処理の流れはドロッパーの削除やリネーム等至極簡単ではありますが、ユーザーからはドロッパーを実行しても、最終的に正規のソフトが起動するため、感染した事実に気づくことなく遠隔操作の支配下に置くというものです。

　下記にこれら推測を元に感染フローのイメージを起こしました。その後、概ね動作が合っているとの書込みがあります。

その他

この件に関する記事、まとめ等

• 「殺人予告被告、ウイルス発覚で釈放」についてのモトケン氏と捜査関係の会話 - togetter
• 自分でやってないのに逮捕される!? 特殊なウイルスによる犯罪予告書き込みで逮捕された事件まとめ - NAVERまとめ
• あなたも逮捕されるかも。大阪殺人予告、三重爆破予告両冤罪事件は他人事ではない。 : I believe in technology

更新履歴

• 2012/10/08-14 AM 新規公開後、随時更新
• 2012/10/15 PM 犯行声明を受けて報道情報を反映
• 2012/10/17 AM 犯行声明を受けて報道情報続報を反映
• 2012/10/17 PM 横浜市のCSRFを用いた手口、若干の捕捉情報追加。時系列情報更新。
• 2012/10/17 PM malaさんのご意見を受けて一部修正
• 2012/10/18 AM malaさんからの再度のご意見、北河さんからのご意見を受けて一部修正
• 2012/10/18 PM 警察庁長官記者会見等の最新情報を反映。
• 2012/10/20 AM 最新情報を反映
• 2012/10/20 PM 最新情報を反映

ツイートする