(cache) なりすまし（遠隔操作）ウイルスによる犯行予告事件をまとめてみた。

　インターネットを通じて犯行予告を行ったとして、吹田市、津市でそれぞれ男性が逮捕(吹田市男性はその後起訴)されました。しかし、その後の調査によって犯行予告を行ったとされるPCがウイルスに感染していたことが明らかとなり、逮捕された男性のPCを踏み台とした(なりすましによる)第三者の犯行による疑いが出たため、男性二人は釈放されていた事実が明らかとなりました。また、その後福岡市男性も同じウイルスが確認されたことにより釈放されています。さらに10月15日、真犯人と自称する人間から犯行声明とされるメールがTBSラジオに送られていたことが明らかとなり、6月の横浜市の犯行予告も自分が行ったことを認める内容が記載されていました。ここでは報道された情報を元に、それぞれの事件、及びウイルスについてまとめてみます。

　なお、下記内容を鵜呑みにせず、ソースは各自にてご確認ください。

１．逮捕・起訴された男性

(1) 吹田市男性

　JALの爆破予告と大阪市のHPの掲示板に殺人予告を行ったとして、吹田市の男性が逮捕、起訴されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、大阪地検が勾留取消を申請し、吹田市男性は釈放されています。

逮捕
- 容疑：威力業務妨害
- 逮捕日：2012年8月26日
起訴
- 起訴罪状：偽計業務妨害罪
- 起訴日：2012年9月14日
証拠
- JAL爆破予告メールと大阪日本橋殺人予告を行ったインターネットの発信記録とモバイルルーターのIPアドレスが一致
現在の状況
- 大阪地検は起訴を取り消し。*1
- 大阪府警中野参事官、捜査1課警部が茨木署で、吹田市男性と面会し謝罪。*2

(2) 津市男性

　任天堂本社と伊勢神宮へ破壊予告を２ちゃんねるに書込みしたとして、津市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、津地検が処分保留とし、津市男性は釈放されています。

逮捕
- 容疑：威力業務妨害
- 逮捕日：2012年9月14日
証拠
- 伊勢神宮、任天堂への犯行予告として２ちゃんねるへ書き込みを行ったインターネットの発信記録とIPアドレスが一致。押収した2台のPCの内、デスクトップPCに書込みを行った記録(閲覧履歴?)が残っていた。
現在の状況
- 津地検が処分保留にて釈放。
- 三重県警が誤認逮捕を行ったして謝罪。*3
- 津地検が嫌疑なしで不起訴処分。

(3) 福岡市男性

　お茶の水女子大付属幼稚園と芦田愛菜への脅迫メールを送ったとして、福岡市の男性が逮捕されました。その後、ウイルスを通じた第三者による犯行の可能性が出たため、東京地検が処分保留とし、福岡市男性は釈放されています。

逮捕
- 容疑：威力業務妨害、脅迫
- 逮捕日：2012年9月1日(お茶の水女子大付属幼稚園への襲撃予告)、2012年9月21日(芦田愛菜への脅迫)
証拠
- 検挙に至った証拠は不明。
- 福岡市男性は逮捕後犯行を自供していた*4が、東京地検送検後は容疑を否認していた。*5
現在の状況
- 東京地検が処分保留にて釈放。
- 警視庁川原参事官ら3人が謝罪訪問。*6
- 東京地検が嫌疑なしで不起訴処分。

(4) 杉並区男性

　横浜市へ小学校襲撃予告を行ったとして、杉並区の男性が逮捕後、横浜地検へ送検されました。その後家庭裁判所の保護観察処分を受けました。

逮捕
- 容疑：威力業務妨害
- 逮捕日：2012年7月1日
証拠
- 保土ヶ谷区襲撃予告書込みの発信記録と杉並区男性のIPアドレスが一致
現在の状況
- 横浜家裁へ送検後、事件を静岡家裁浜松支部へ移送され、保護観察処分を受ける。*7
- 神奈川県警福井署長含め4人が謝罪訪問。その後横浜地検山口刑事部長ら2人も謝罪訪問。*8 *9
- 横浜地検が保護観察処分取り消しを要請。
- 静岡家庭裁判所が処分取り消しを決定。*10

２．犯行声明から関与が認められた犯行予告

犯行声明で関与が記載された犯行予告事件は下記13件です。

	発生日	犯行予告対象	遠隔操作対象	予告先	遠隔操作手段	捜査担当
1	6月29日 15時15分	横浜市	杉並区男性	メールフォーム	CSRF	神奈川県警保土ヶ谷署
2	7月29日 21時45分	大阪市	吹田市男性	メールフォーム	ウイルス	大阪府警捜査1課
3	7月29日	首相官邸	吹田市男性	メールフォーム?	ウイルス	届け出無し
4	8月1日 13時25分	日本航空	吹田市男性	メールフォーム	ウイルス	警視庁捜査1課
5	8月9日 10時41分	コミックマーケット	自動車部品会社	２ちゃんねる	ウイルス	不明
6	8月9日 10時59分	天皇	自動車部品会社	２ちゃんねる	ウイルス	不明
7	8月27日 17時頃	お茶の水女子大付属幼稚園	福岡市男性	メール	ウイルス	警視庁捜査1課
8	8月27日	芦田愛菜	福岡市男性	メール	ウイルス	警視庁捜査1課
9	8月27日	学習院初等科	福岡市男性	メール	ウイルス	届け出無し
10	8月27日	部落解放同盟	福岡市男性	メール	ウイルス	届け出無し
11	8月29日 20時21分	AKB48	福岡市男性	２ちゃんねる	ウイルス	警視庁東京湾岸署
12	9月10日 15時34分	伊勢神宮	津市男性	２ちゃんねる	ウイルス	三重県警伊勢署
13	9月10日 16時10分	任天堂	津市男性	２ちゃんねる	ウイルス	三重県警

(1) 横浜市保土ヶ谷区市立小学校襲撃予告

捜査担当神奈川県警保土ヶ谷署
発生日 2012年6月29日 15時17分頃
犯行予告概要
- 横浜市HPに「小学校を襲撃して皆殺しにしてやる」という書き込みが行われた。
遠隔操作手法　CSRF
その他
- 6月30日に予定されていた授業参観は中止となった。
- 逮捕された杉並区男性は逮捕後して否認していたが、送検後に容疑を認めていた。
- 神奈川県警は逮捕前にウイルス感染の確認(ウィルススキャン)は行っていなかった。*11
- 使用されたメールアドレスは「kichigai@schoolkiller.com」*12

(2) 大阪日本橋大量殺人予告

捜査担当大阪府警捜査1課
発生日 2012年7月29日 21時45分頃
遠隔操作手法　ウイルス
犯行予告概要
- 大阪市HPの相談窓口ページに「ヲタロードで大量殺人をする」「午後２時ごろ歩行者天国にトラックで突っ込んで無差別にキモヲタどもをひきまくります。ナイフで無差別に刺しまくります。その後自殺します」と書込みが行われた。
その他
- 8月5日は警察官約90人が警戒にあたった。
- 大阪府警、大阪地検は「捜査は適正」としている。
- 本件との関係性は薄いと思われるが、大阪市HPの掲示板にはCSRFの脆弱性が存在していました。
- 大阪府警は吹田市男性のPCがウイルスを通じて第三者によって書き込まれた可能性について想定していなかった。
- 海外などの複数のサーバーを経由して遠隔操作が行われた可能性がある。*13
- 吹田市男性は任意聴取段階からPCが第三者に乗っ取られたことを主張。容疑は一貫して否認。*14

(3) 皇居ランナー大量殺人予告

発生日 2012年7月29日
捜査担当届け出無し
遠隔操作手法　ウイルス
犯行予告概要
- 首相官邸HPへ皇居ランナーを桜田門前で無差別殺人を行う犯行予告が送られた。
その他
- 犯行声明で出されるまで報道されていない犯行予告であった。

(4) 日本航空機爆破予告

発生日 2012年8月1日 13時25分頃
捜査担当警視庁捜査1課
遠隔操作手法　ウイルス
犯行予告概要
- 成田発ニューヨーク行きJAL006便ボーイング777機(乗客乗員265人)に爆発物を仕掛けたとして、JALの顧客対応窓口にメールが送られた。そのため、アリューシャン列島付近から引き返し同日20時に成田に戻った。

(5) コミックマーケット大量殺人予告

発生日 2012年8月9日 10時41分から合計5回
捜査担当警視庁捜査1課
遠隔操作手法　ウイルス
犯行予告概要
- 合計5回にわたり、２ちゃんねるへコミックマーケットで大量殺人をする犯行予告が行われた。

(6) 天皇陛下殺害予告

発生日 2012年8月9日 10時59分
捜査担当不明
遠隔操作手法　ウイルス
犯行予告概要
- ２ちゃんねるへ天皇陛下を殺害する犯行予告が行われた。

(7) お茶の水女子大付属幼稚園襲撃予告

発生日 2012年8月27日 17時頃
捜査担当警視庁捜査1課
遠隔操作手法　ウイルス
犯行予告概要
- お茶の水女子大付属幼稚園へ「始業式に園児を襲撃する」等の脅迫メールを送った。
その他
- メールでは悠仁さまを名指ししていた。*15
- 当予告の他、(8),(9),(10)の合計4件で「morokkosarin@excite.co.jp」のメールアドレス、パスワードは「vxgus1234」が使用されていた。

(8) 芸能プロダクション脅迫

発生日 2012年8月27日
捜査担当警視庁捜査1課
遠隔操作手法　ウイルス
犯行予告概要
- 芸能プロダクションに所属する芦田愛菜へ脅迫するメールを送った。
その他
- 福岡県男性のPCで芦田愛菜関連サイトを閲覧した形跡があり、これも遠隔操作を通じて行われた可能性。*16

(9) 学習院初等科襲撃予告

発生日 2012年8月27日夕方
捜査担当届け出無し
遠隔操作手法　ウイルス
犯行予告概要
- 学習院初等科へ襲撃を予告するメールを送った。
その他
- 犯行予告メールは迷惑メールフォルダに振り分けられており、犯行声明後に当該メールが届いていたことが確認された。
- 同じ文面のものが1分違いで2通届いていた。
- 始業式での愛子さまと学友の襲撃を予告する内容であった。*17

(10) 部落解放同盟襲撃予告

発生日 2012年8月27日
捜査担当届け出無し
遠隔操作手法　ウイルス
犯行予告概要
- 部落解放同盟中央本部へ襲撃を予告するメールを送った。

(11) AKB48握手会襲撃予告

発生日 2012年8月29日 20時21分
捜査担当警視庁東京湾岸署
遠隔操作手法　ウイルス?
犯行予告概要
- ２ちゃんねるへ9月2日に開催されるAKB48の握手会を襲撃する予告が書き込まれた。
- 警視庁の要請により当該書込みは削除された。

(12) 伊勢神宮破壊予告

発生日 2012年9月10日 15時34分頃
捜査担当三重県警伊勢署
遠隔操作手法　ウイルス
犯行予告概要
- ２ちゃんねるへ伊勢神宮への破壊を予告する書込みが4回行われた。
その他
- 県警は「当初の捜査は適正で、誤認逮捕という認識はない」としている。
- ２ちゃんねるへ書き込まれた伊勢神宮破壊予告のログ
- 津市男性が無料ソフトをダウンロードして約30分後に２ちゃんねるへ書き込みが行われた。*18

(13) 任天堂本社破壊予告

発生日 2012年9月10日 16時10分頃
捜査担当三重県警
遠隔操作手法　ウイルス
犯行予告概要
- ２ちゃんねるへ任天堂の破壊、殺人を予告する書込みが複数回行われた。
その他
- ２ちゃんねるへ書き込まれた任天堂破壊予告のログ

（参考）安倍総裁殺害予告

発生日 2012年10月1日～31日
捜査担当警視庁捜査1課
犯行予告概要
- 警察庁、首相官邸、国家公安委員会に対し、安倍総裁を殺害する内容のメールが65件、送信された。*19
- 自民党のサイトへ同様の書込みが15件行われた。*20
その他
- 「他のパソコンを踏み台にしているので絶対ばれない」等の遠隔操作を示唆する内容や警察東京を挑発する内容が含まれていた。
- 少なくとも6通(10月2日～9日の間に送信)は個人宅PCから送信されていた。計5台のPCを押収し解析中。*21
- 押収したPC2台からはからはiesys.exeは検知されていない。*22
- 犯行声明ではこの犯行予告に関する記載はない。

（参考）育児ブログへの殺害予告

発生日 2012年10月1日～31日
捜査担当警視庁捜査1課
犯行予告概要
- ブログへ子供を殺害する予告が4件、書き込まれた。
その他
- 安倍総裁殺害予告と警察庁は同一犯とみている。

３．真犯人とされる人物より送られたメール

　2012年10月9、10日に真犯人と称する犯行声明の様なメールが届いていたことが判明しました。また2012年11月13日に再度真犯人と称する人物からメールが送付されました。

(1) 犯行声明に関する情報

落合弁護士の事務所宛
- メールアドレス onigoroshijuzo@yahoo.co.jp*23
- 送付日：2012年10月9日 23時22分*24
TBSラジオ「Dig」宛
- 送付日：2012年10月10日 22時20分
- その他
  - 警視庁捜査1課が一連の犯行予告の人物からのメールである可能性が高いとして、送信元を詳しく調査。
  - 送信者のメールアドレスや本文は同じ内容

(2) 犯行声明の内容

タイトル「【遠隔操作事件】私が真犯人です」
本文
- 犯人しか知り得ない事実「秘密の暴露」が多く含まれている。
- 13件の犯行予告への関与を認める記載がある。
- 横浜市への犯行予告はウイルス以外の方法で行った。
- 世間を騒がすことが目的ではなく、警察・検察をはめてやりたかった、醜態をさらさせたかったことが動機。
- ある程度のタイミングで誰かにこの告白を送って、捕まった人たちを助けるつもりだった。
- 三重県の時だけはあえてウイルスを削除しなかった。仕掛けたウイルスを見つけられるかどうか、犯人扱いのままとするのか釈放するか、警察がどう出るかを試す意図があった。
- ウイルスに関する情報。iesys.exeが実行ファイルであることや一から開発を行ったものであること、遠隔操作の作業手順を記載したWebサイトアドレスが記載。
- 警察・検察へ、遊んでくれてありがとう。また遊びましょうね。
- TBS宛には欧州のサーバーから送信されていた。*25
- 犯行声明掲載先
  - なりすましウイルス犯行予告犯がTBS＆弁護士に送ったメール全文 - satoru.netの自由帳 (報道情報で流された映像等から犯行声明(一部)を文字お越し)
  - 遠隔操作事件・真犯人と称する者からのメール全文 - 弁護士落合洋司　（東京弁護士会）　の「日々是好日」 (犯行声明を受け取った弁護士)

(3) 2012年11月13日に送付されたメール

真犯人と称する人物から「ミスをした。自殺をする。」といった内容のメールが6名へ送付されました。

送付対象者
- 落合洋司弁護士
- TBSラジオ DIG
- TBS
- 朝日新聞
- 矢野さとる氏
- ITmedia
- フジテレビ
メール情報
- 送付日：2012年11月13日 23時54分
- メールアドレス：onigoroshijuzo@yahoo.co.jp
- メールタイトル：真犯人です。
メールの特徴
- 送付された6人はいずれも過去接触があった、または接触を試みた方。
- Tor経由から送信されていた。*26
- 写真ファイルが添付されており、このファイルにはExif情報が存在していた。
- Exif情報に記載されていた場所(千葉県鎌ケ谷市)や、緯度経度を誤って解釈した場合の場所(神奈川県横浜市)で聞き込み調査が行われたが、犯人につながる情報は確認されなかった。
- Exif情報が一部存在しておらず、改ざんされた可能性がある。*27
メール全文、メールヘッダ掲載先
- 【遠隔操作ウイルス】真犯人から今度は自殺予告メール - satoru.netの自由帳
- ＰＣ遠隔操作:匿名化ソフト使用　「自殺予告」メール - 弁護士落合洋司　（東京弁護士会）　の「日々是好日」

４．時系列別の整理

2012年6月29日
- 真犯人がCSRFを踏ませるURLを２ちゃんねるへ書き込みしたと思われる。
- 横浜市へ小学校襲撃を予告する書込みが行われる。
2012年7月1日
- 神奈川県警が威力業務妨害容疑で杉並区男性を逮捕。
2012年7月8日
- 杉並区男性が横浜家庭裁判所に送検される。
2012年7月中旬
- 大阪市男性がPCを購入。
2012年7月27日
- 真犯人がタイマーソフトを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
2012年7月27日～29日
- 大阪市男性がタイマーソフトとして、ウィルスをダウンロードしたと思われる。(bitlyログより)
2012年7月29日
- 大阪市HPに大量殺人予告の書込みが行われる。
- 首相官邸HPに大量殺人予告の書込みが行われる。
2012年7月30日
- 大阪市が府警へ犯行予告の書込みについて相談。
2012年8月1日
- JALへ航空機爆破予告メールが送られる。
- 吹田市男性からPCの任意提出を受ける。*28
2012年8月2日
- 発信元捜査から吹田市男性が浮上。大阪府警、警視庁が連携捜査を開始。
- 犯行予告を受け、吹田市男性へ任意での事情聴取を開始。
2012年8月9日
- ２ちゃんねるへコミックマーケットや天皇陛下を殺害する予告が書き込まれる。
2012年8月15日
- 杉並区男性が静岡家裁浜松支部より保護観察処分を受ける。
2012年8月24日
- 真犯人がクリップボード監視ソフトを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
2012年8月26日
- 大阪府警が威力業務妨害容疑で吹田市男性を逮捕。
- 福岡市男性がウイルスをダウンロードした。*29
2012年8月27日
- お茶の水女子大付属幼稚園の襲撃を予告するメールが送られる。
- 学習院初等科の襲撃を予告するメールが送られる。
- 部落解放同盟中央本部の襲撃を予告するメールが送られる。
- 芦田愛菜の襲撃を予告するメールが送られる。
- 大阪府警が威力業務妨害容疑で吹田市男性を逮捕。
2012年8月28日
- 真犯人がテキストエディタを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
2012年8月29日
- ２ちゃんねるへAKB48の握手会を襲撃する予告が書き込まれる。
2012年9月1日
- 警視庁が威力業務妨害容疑で福岡市男性を逮捕。
2012年9月10日
- 真犯人がexif情報編集ソフトを偽装したウイルスの配布先URLを２ちゃんねるへ書き込みしたと思われる。
- ２ちゃんねるへ任天堂、伊勢神宮の破壊予告が書き込まれる。
2012年9月14日
- 大阪地検が偽計業務妨害罪で吹田市男性を起訴。
- 三重県警が伊勢神宮への犯行予告を受けて、威力業務妨害容疑で津市男性を逮捕。
2012年9月18日頃
- 押収した津市男性のPCがウイルスに感染し、遠隔操作で書込みが出来るようになっていたことが判明。発見は派遣された大阪府警によるもの。*30
2012年9月半ば
- 大阪府警が起訴後補充捜査を開始。吹田市男性のPCがウイルスに感染していたことが判明。
2012年9月21日
- 大阪地検が勾留取消を申請し、吹田市男性を釈放。
- 津地検が処分保留として津市男性を釈放。
- 東京地検が処分保留として福岡市男性を釈放。
- 警視庁が脅迫容疑で福岡市男性を再逮捕。
2012年9月27日
- 福岡市男性のPCがウイルスに感染していたことが判明。
- 東京地検が処分保留として福岡市男性を釈放。
2012年10月上旬
- 警察庁や国家公安委員会へ安倍総裁の殺害予告メールが送られる。*31
2012年10月7日までに
- 警察庁が各都道府県警へサイバー犯罪捜査でなりすましの可能性に十分注意するよう指示。*32
2012年10月10日
- 警視庁から検体の提供を受けトレンドマイクロが解析結果と注意喚起を公開。*33
- 警察庁が都道府県警に同種事件の場合、アンチウィルスソフトを使って同種のマルウェアがないか確認するよう指示。*34
- 真犯人とされる人物からTBSラジオ「Dig」宛にメールが送られる。*35
2012年10月11日までに
- 最高検察庁が全国の検察庁にIPアドレスから容疑者を特定した事件が現在あるかの確認、及び報告と、同種事件の際はウィルス感染や遠隔操作の可能性について注意喚起。*36
2012年10月12日
- 警察庁が国民向けに遠隔操作ウィルスに関する注意喚起を掲載。*37
2012年10月15日
- TBSラジオ宛に犯行声明が送られていたことが報じられる。*38
2012年10月16日
- 警察庁、警視庁、大阪府警、三重県警の緊急捜査会議が開かれる。*39
2012年10月17日
- 杉並区男性に再聴取。*40
2012年10月18日
- 「真犯人でない方を逮捕した可能性が高く、逮捕した方には謝罪を検討している」と警察庁長官が記者会見で発言。*41
2012年10月19日
- 警視庁、大阪府警、三重県警、神奈川県警の合同捜査本部を設置。*42
- 大阪地検が吹田市男性の起訴を取消。
- 三重県警が津市男性へ謝罪訪問。
2012年10月20日
- 神奈川県警保土ヶ谷署、横浜地検がそれぞれ杉並区男性へ謝罪訪問。
2012年10月21日
- 警視庁が福岡市男性へ謝罪訪問。
- 大阪府警が吹田市男性と面会し謝罪。
2012年10月23日
- 東京地検が福岡市男性を嫌疑なしで不起訴処分。*43
- 津地検が津市男性を嫌疑なしで不起訴処分。*44
- 横浜地検が杉並区男性の保護観察処分を取り消すよう家裁へ要請。*45
- 警視庁捜査幹部、民間5社ら15人の委員で構成される官民合同の協議会を開催。*46
2012年10月26日
- 事件に関与したとみられる書込みについて、２ちゃんねるに発信元情報を開示要請。*47
2012年10月30日
- 杉並区男性の保護観察処分の取り消しが決定。
2012年11月9日
- 大阪地検が吹田市男性へ謝罪。*48
- 誤認逮捕された4人への補償手続きが開始。*49
2012年11月12日
- アメリカの接続記録の解析をFBI等へ依頼するため合同捜査本部の捜査員を派遣。*50
2012年11月13日
- 真犯人と名乗る人物から再びメールが届く。自殺を示唆させる内容が記載されていたり、写真が添付。*51

５．判明しているウィルスの状況

(1) 報道・報告されているウイルスの概要

検体名
- トレンドマイクロ：BKDR_SYSIE.A(改称前:TSPY_IESYSNET.A) *52
- シマンテック：Backdoor.Rabasheeta*53
- マカフィー：BackDoor-FIT*54
- G Data：Trojan.Agent.AXAG

(2) 確認されている検体

検体（１）Virustotalスキャンログ
- MD5：746f911c631411f611308eaafb6c353d
- SHA1：7f2779ece8a3471393d828b61992bcf148ef9702
- 初回スキャン日時：2012/09/07 10:00:55 (UTC)
- 初回コンパイル日時：2012/07/31 09:31:44(UTC)
- ファイル作成日時：2012/07/31 11:31:44(UTC)
- ファイルサイズ：49,664 bytes
検体（２）Virustotalスキャンログ
- MD5：784b38cf29ae7c0cbb168a49266c27c4
- SHA1：799b708bee90e93ca291275016ea152ab772e1b0
- 初回スキャン日時：2012/10/11 01:10:44 (UTC)
- 初回コンパイル日時：2012/08/06 06:16:36(UTC)
- ファイル作成日時：2012/08/06 07:16:36(UTC)
- ファイルサイズ： 51,200 bytes
ドロッパーVirustotalスキャンログ
- MD5：291144a200b9e4b4e89499333c2ee93b
- SHA1：8b5552e613340ac68c91963ae5f5d730a642f146
- 初回スキャン日時：2012/10/11 05:31:46 (UTC)
- 初回コンパイル日時：2012/08/28 07:18:24(UTC)
- ファイル作成日時：2012/08/28 08:18:24(UTC)
- ファイルサイズ： 65,536 bytes

(3) 感染対象OS(現在サポート対象OSのみ記載、恐らくSP、R2関係ないと思われます。)

(4) アンチウィルスベンダにより分析された実行コマンド

スクリーンショットの取得
ファイルのダウンロード
ファイルをへアップロード*55
ファイルおよびフォルダの列挙
ファイルの実行
デフォルトのインターネットブラウザの取得
隠しブラウザで特定のURLを操作および開く
ユーザのキー入力操作情報およびマウスの操作の記録*56
自身のアップデート*57
環境設定ファイルの更新
利用した掲示板のスレッドの更新
コンピュータを一定の時間スリープする
コンピュータから自身を削除する*58

したらば掲示板「http://jbbs.livedoor.jp/read.cgi/掲示板のカテゴリ/BBSのID/スレッドのID/」にアクセスし、コマンドを受信する。
コマンドはBASE64でエンコードされ、かつAESで暗号化されている。
吹田市、津市、福岡市の男性PCからは「iesys.exe」というファイル名でウィルスが確認されている。*59
海外のサーバーを経由して第三者が遠隔操作可能。
日本で過去検知されたことがない。*60
PCの使用地域を確認することが出来る。*61
今夏以降、イギリス等欧州を中心に確認されている*62という話であるが、トレンドマイクロの解析結果では「新種のバックドア型不正プログラム」と分析されている。*63
C#で実装されている。また一部コードに日本語(「saltは必ず8バイト以上」)が記載されており、日本語に精通した人物である可能性が高い。また当該コードは日本語のサイトを参考に実装している。*64
現在2つのバージョンが確認されている。バージョン番号は2.23、2.35で、連続していないため別のバージョンが存在する可能性もある。

(5) 発見の経緯

大阪府警は複数のアンチウィルスソフトでスキャンを行ったが、ウイルスは発見できなかった。
三重県警の捜査から押収したPCがウイルスに感染していたことが判明。
大阪府警は三重県警の情報を受け、ファイル復元後、再度ファイルの検索をしたところ同名のファイル「iesys.exe」を発見した。
吹田市男性のPCからウイルスは既に削除されていた。*65
大阪市、津市、福岡市それぞれで確認されたウイルスはファイル名が同じ。さらにソフトウェア自体は酷似しているが、ファイルサイズは異なる。*66
大阪府警では既にウイルスの復元・解析を完了。
吹田市、津市の男性二人の共通点として、インターネット上から無料ソフトをダウンロードしていた。*67
津市男性がインターネットからソフトウェアをインストールした際、動作が急に重くなり、1時間で使用を停止した。吹田市男性では動作が重くなる症状は見られなかった。*68

(6) 感染原因となった可能性のある無料ソフト

吹田市、津市でそれぞれダウンロードされたソフトは異なり、同一ものは確認されていない。*69
吹田市男性のPCで確認されたもの
- ２ちゃんねるに張られていたリンクからダウンロードした。*70
- タイマー機能を持つソフト等複数確認*71
- ２ちゃんねるに書込みがあったタイマーソフト
  以下経過
  2012/07/26 19:01 英単語覚えたいので時間計測ソフトがないか書込み
  2012/07/27 13:21 Torを使ってレス代行依頼
  2012/07/27 14:05 スレに代行書込み
津市男性のPCで確認されたもの
- 写真解析ソフト（ネット上の写真から撮影日時、場所、カメラ機種等の情報を読み取る）*72
- ２ちゃんねるに書込みがあったExif情報編集ツール
  以下経過
  2012/09/09 04:43 exif情報を変更するソフトがないか書込み
  2012/09/10 14:29 Torを使ってレス代行依頼
  2012/09/10 14:43 スレに代行書込み
  2012/09/10 17:17 削除されていたとの書込み
その他２ちゃんねるに書き込みのあった不審なログ2件
- クリップボード監視ソフト
  以下経過
  2012/08/24 00:39 クリップボード監視ソフトがないか書込み
  2012/08/24 19:05 Torを使ってレス代行依頼
  2012/08/24 19:36 スレに代行書込み
- テキストエディタ
  2012/08/28 03:05 希望するテキスト整形が出来るエディタがないか書込み
  2012/08/28 15:06 ツールを作ってみたと書込み
  2012/08/28 16:26 Torを使ってレス代行依頼
  2012/08/28 18:56 スレに代行書込み

６犯行手口

(1) CSRFを使った犯行手口（横浜市の事例）

　真犯人と称する人物により明らかとなった横浜市への犯行予告の手口について、イメージにしたものが次の図です。

　真犯人が犯行声明で認めた事件は全部で13件とされていますが、その内横浜市だけは真犯人が「javascriptのクロスサイトリクエストフォージェリを仕掛けて掲示板に張ったURLをたまたま踏んだだけです。」として、遠隔操作ウイルスではない方法を使って犯行予告を行ったことを明らかにしています。

　このクロスサイトリクエストフォージェリ(CSRF)は攻撃者が用意した「罠のサイトを閲覧しただけで、利用者のブラウザから勝手に「重要な処理」を実行させられる」脆弱性です。*73

　報道*74から２ちゃんねるの次の書込みを通じて杉並区男性が罠サイトであることを気づかずにリンクをクリックしてしまったと考えられます。リンクは短縮URLサービスを使って生成されたものであり、一見してどのようなサイトへ飛ぶのかは分かりません。この短縮URLを展開すると海外ホスティングサービスのURLを指していることが分かります。既にホスティングサービス上の罠サイトは存在せず、URLへアクセスしても2012年10月17日現在何も起こりません。(ただしこのURLを使って罠サイトを再稼働させることも考えられるため、不用意にアクセスすることは控えてください。）罠サイト自体は既に存在しないことから犯行声明を踏まえた推測となりますが、罠サイトを気づかずに閲覧してしまった杉並区男性は、そのままCSRF攻撃を行うスクリプトが実行され、勝手に横浜市へ襲撃予告が送信されたと考えられます。

　ただし、杉並区男性のPCがReferer(送信元のURL)を送信しない設定にしていたり、または罠サイト側でRefererが消されていたりしない限りは、襲撃予告が横浜市サイトから送られたのではないことに気づけたのではと考えます。何故横浜市、警察ともにこのなりすましを見逃してしまったのか、この原因は明らかにされていません。

(2) なりすまし(遠隔操作)ウイルスを使った犯行手口（大阪市の事例）

　これまで報道・報告されてきた情報を元にJAL、大阪市へ行われた犯行予告がどのようにして行われたかイメージにしたものが次の図です。

　真犯人とされる人物は用意周到にこの犯行を行ったと考えられ、２ちゃんねる、およびコマンドの送信に利用したしたらば掲示板へは匿名化技術であるTorを使って書き込みが行われたと考えられています。従って発信元を特定するにはTorによってリレーされた通信記録をたどる必要がありますが、通信経路となっているリレーノードではTor自体を改造をしたり、パケットキャプチャ等の別の記録手段を行っていない限り、Torにはどこからどこへ通信が行われたかの中継ログを残す機能はありません。さらに中継として利用されたノード全てでログが残っていない限り、発信元の特定には至りません。捜査権の及ばない海外のサーバーを経由している等の複合的要因も含め、発信元を特定する捜査は今後難航することが予想されます。

　また2009年以降、２ちゃんねるの多くの掲示板ではTorを使った書き込みが禁止されており、これを回避するため、海外からの書込みでも制限がないシベリア板のレス代行スレに依頼を行ったと考えられます。ターゲットとなった掲示板はソフトウェア板のソフトウェアを探している人が集まるスレッドで、紹介されたツールを実行する人が集まりやすい傾向にあります。ここをターゲットとしたのは適当と言えます。

　つまり、２ちゃんねるにある程度詳しく、抜け道ともいえる匿名化をする方法を考え出す知識を持つ人間による犯行と考えられます。

　また、殺人予告という派手なパフォーマンスを行っている反面、冷静に足跡を残さない行動も見られ、Dropboxや大阪市男性に感染させたウイルス、その閲覧・送信履歴を全て削除しています。

(3) 遠隔操作ウイルスにどのようにして感染したのかを推測

　今回逮捕された男性は、情報処理の技術者であったり、PCの操作に詳しいなど一般よりも技術力のある点が報じられていました。そのため、そう簡単にはウイルスを実行（感染）させることは難しく、とは言いつつも「フリーソフトをダウンロードしたことが原因である」と話されていたことから、どのような方法でウイルスを実行させたのかに注目していました。

　10/12 13時頃、この件に関して書込みが行われている２ちゃんねるのスレッドに今回のウイルスを所有している人物が現れ、いくつか興味深い情報が書き込まれました。ZIP等の圧縮ファイル形式で配布されていることはタイマーソフトの事例からわかっておりましたが、今回はその圧縮ファイルにどのようなファイルが含まれていたかが報告されていました。なお、所有していた検体はVirustotalのレポートに残っていた名前から8月28日にアップロードされていたテキストエディタを装ったものと推測されます。

　圧縮ファイルにはアプリケーション(Chikan.exe)とデータファイル(data)の2つのファイルが含まれています。2つのファイルの動作検証に関する書込み、及びファイルハッシュについても書込みがあり、これら情報からアプリケーションがドロッパー(ウイルス本体を出力する役割)であり、データファイルとされていたものが本来のアプリケーション、つまりChikan.exeではないかと考えられます。

　さらにドロッパーが出力するファイルは3つ確認されており、内2つは遠隔操作ウイルスに関連するファイル（iesys.exe、cfg.dat）、もう1つは削除バッチ(del.bat)と考えられます。

　削除バッチの中身も報告されており、処理の流れはドロッパーの削除やリネーム等至極簡単ではありますが、ユーザーからはドロッパーを実行しても、最終的に正規のソフトが起動するため、感染した事実に気づくことなく遠隔操作の支配下に置くというものです。

　下記にこれら推測を元に感染フローのイメージを起こしました。その後、概ね動作が合っているとの書込みがあります。

　追記：2012年10月23日、シマンテックがドロッパーに関するレポートをBlogで公開しました。*75ドロッパーの作成日付が上記で紹介したChikan.exeのVirustotalのコンパイル日付と一致することから、レポートで記載されているドロッパーはこの検体を指しているものと考えられます。またこの検体から出力されるiesys.exeは2.35というバージョンであることがBlogで報告されており、これは既出の8月6日作成のものと思われます。

更新履歴

2012/10/08-14 AM 新規公開後、随時更新
2012/10/15 PM 犯行声明を受けて報道情報を反映
2012/10/17 AM 犯行声明を受けて報道情報続報を反映
2012/10/17 PM 横浜市のCSRFを用いた手口、若干の捕捉情報追加。時系列情報更新。
2012/10/17 PM malaさんのご意見を受けて一部修正
2012/10/18 AM malaさんからの再度のご意見、北河さんからのご意見を受けて一部修正
2012/10/18 PM 警察庁長官記者会見等の最新情報を反映。
2012/10/20 AM 最新情報を反映
2012/10/20 PM 最新情報を反映
2012/10/21 PM 最新情報を反映
2012/10/23 PM 最新情報を反映
2012/10/30 PM 最新情報を反映
2012/11/10 PM 最新情報を反映
2012/11/14 PM 最新情報を反映

*1：“遠隔操作” 大阪で男性の起訴取り消し,NHK,2012/10/20アクセス:魚拓

*2：大阪府警、アニメ演出家に謝罪…ＰＣ遠隔操作事件,スポーツ報知,2012/10/21アクセス:魚拓

*3：遠隔操作で大阪地検起訴取り消し　三重県警は謝罪誤認逮捕認める,日経新聞,2012/10/20アクセス:魚拓

*4：悠仁さまの幼稚園に脅迫メール　福岡市の男逮捕,J-CAST,2012/10/10アクセス:魚拓

*5：釈放男性、検察には否認＝警察では全面自供－幼稚園脅迫メール・東京地検,時事通信,2012/10/13アクセス:魚拓

*6：ＰＣ遠隔操作で誤認逮捕、警視庁も認め男性に謝罪,日経新聞,2012/10/21アクセス:魚拓

*7：ネット殺人予告:ＰＣ遠隔操作　県警、捜査を検証　「小学校襲撃」メール、関与認める　／神奈川,毎日新聞,2012/10/17アクセス:魚拓

*8：パソコン遠隔操作、誤認逮捕認め少年らに謝罪神奈川県警と横浜地検,日経新聞,2012/10/20アクセス:魚拓

*9：神奈川県警と横浜地検、誤認逮捕認め謝罪,TBS,2012/10/20アクセス:魚拓

*10：大学生の保護観察処分取り消し,NHK,2012/10/30アクセス:魚拓

*11：ＰＣ遠隔操作:警視庁と神奈川県警、ウイルス検査せず,毎日新聞,2012/10/20 アクセス:魚拓

*12：真犯人、重大事件への「共感」浮かぶ　警察・検察を妖怪に見立てる？,産経新聞,2012/10/30アクセス:魚拓

*13：予告メール、海外サーバー経由か,共同通信,2012/10/08アクセス:魚拓

*14：ＰＣ乗っ取り犯罪予告か　遠隔操作ウイルス感染,読売新聞,2012/10/09アクセス:魚拓

*15：悠仁さまを「襲撃」　脅迫メールを送った２８歳男逮捕　警視庁,産経新聞,2012/10/10アクセス:魚拓

*16：サイト閲覧も遠隔操作か　芦田さん襲撃予告の直前,共同通信,2012/10/18アクセス:魚拓

*17：学習院に愛子さま襲撃予告メール…ＰＣ遠隔操作,スポート報知,2012/10/17アクセス:魚拓

*18：海外サーバー経由し操作か？大阪府警、接続ルートを捜査,スポニチ,2012/10/08アクセス:魚拓

*19：自民党ＨＰに安倍氏脅迫　育児ブログにも子供殺害予告,産経新聞,2012/11/10アクセス:魚拓

*20：自民党ＨＰに安倍氏脅迫　育児ブログにも殺害予告,スポニチ,2012/11/10アクセス:魚拓

*21：安倍氏殺害予告:発信ＰＣ特定　所有者は否認,毎日新聞,2012/11/10アクセス:魚拓

*22：遠隔操作ウイルス検知せず　安倍氏脅迫メールのＰＣ,中国新聞,2012/11/10アクセス:魚拓

*23：犯行声明のメアド判明『onigoroshijuzo@yahoo.co.jp』 - satoru.netの自由帳,2012/10/17アクセス

*24：弁護士にも犯行認めるメール,NHK,2012/10/15アクセス:魚拓

*25：ＰＣ遠隔操作:犯行声明、欧州サーバーから,毎日新聞,2012/10/17アクセス:魚拓

*26：ＰＣ遠隔操作:匿名化ソフト使用　「自殺予告」メール,毎日新聞,2012/11/14アクセス:魚拓

*27：ＰＣ遠隔操作:位置情報を改変か…自殺示唆メール,毎日新聞,2012/11/14アクセス:魚拓

*28：遠隔操作ＰＣ　ネット掲示板の用語　ウイルス　犯行予告でも使用,東京新聞,2012/10/14アクセス:魚拓

*29：ネット掲示板経由で感染　誤認逮捕４人のＰＣ乗っ取り,朝日新聞,2012/10/20アクセス:魚拓

*30：ＰＣ遠隔操作:三重の感染ウイルス発見は大阪府警,毎日新聞,2012/10/14アクセス:魚拓

*31：警察庁に自民総裁脅すメール　遠隔操作を示唆,日経新聞,2012/10/13アクセス:魚拓

*32：遠隔操作の可能性十分考慮し捜査を,NHK,2012/10/08アクセス:魚拓

*33：注意喚起：不正プログラムを使用した遠隔操作によるなりすまし犯行予告事件に関する注意喚起,トレンドマイクロ,2012/10/10アクセス:魚拓

*34：“遠隔操作”捜査、対策ソフト使用を指示,TBS,2012/10/11アクセス:魚拓

*35：ＰＣ遠隔操作、ＴＢＳに“犯行声明メール”,TBS,2012/10/15アクセス:魚拓

*36：ＩＰアドレスで容疑者特定全国に報告指示,NHK,2012/10/11アクセス:魚拓

*37：遠隔操作ウイルスの被害に遭わないために！,警察庁,2012/10/13アクセス(PDF)

*38：民放へのメール計６件への関与認める,NHK､2012/10/15アクセス:魚拓

*39：“遠隔操作”警察庁で捜査会議,NHK,2012/10/17アクセス:魚拓

*40：警察庁長官“誤認逮捕の可能性”謝罪検討,TBS,2012/10/18アクセス:魚拓

*41：警察庁長官「逮捕者におわびも」　パソコン乗っ取り誤認逮捕が確定の場合,日経新聞,2012/10/18アクセス:魚拓

*42：遠隔操作ウイルス合同捜査本部設置へ,NHK,2012/10/20アクセス:魚拓

*43：福岡と三重の男性を不起訴に　パソコン遠隔操作事件で地検,日経新聞,2012/10/23アクセス:魚拓

*44：遠隔操作事件三重の男性が不起訴,NHK,2012/10/23アクセス:魚拓

*45：誤認逮捕で少年の「無罪」要請　横浜地検、異例の手続き,中国新聞,2012/10/23アクセス:魚拓

*46：警視庁、民間技術者らと捜査協力　パソコン遠隔操作事件受け,日経新聞,2012/10/23アクセス:魚拓

*47：ＰＣ遠隔操作、２ちゃんねるに開示要請　捜査本部,日経新聞,2012/10/30アクセス:魚拓

*48：遠隔操作で誤認逮捕地検が男性に謝罪,2012/11/10アクセス:魚拓

*49：誤認逮捕の４人に補償金支払いの手続き,NHK,2012/11/10アクセス:魚拓

*50：遠隔操作事件発信元特定へ米へ捜査員,NHK,2012/11/14アクセス:魚拓

*51：真犯人？から「自殺します」…遠隔操作ＰＣ,読売新聞,2012/11/14アクセス:魚拓

*52：BKDR_SYSIE.A,トレンドマイクロ,2012/10/10アクセス

*53：Backdoor.Rabasheeta,シマンテック,2012/10/11アクセス

*54：Virus Profile: BackDoor-FIT,McAfee,2012/10/12アクセス

*55：アップロード先のサイトの情報は既に存在しない模様

*56：ウイルス使いキー入力盗み見、犯罪予告に反映か,読売新聞,2012/10/08アクセス:魚拓

*57：感染のウイルス検知難しい仕組みか,NHK,2012/10/08アクセス:魚拓

*58：「大人数を動員して大騒ぎ…立件するしかない空気に」,産経新聞,2012/10/08アクセス:魚拓

*59：大阪の「殺人予告」に実名記載　ウイルスのファイル名判明,中国新聞,2012/10/10アクセス:魚拓

*60：ＰＣ乗っ取りウイルスは新種、不特定多数狙う？,読売新聞,2012/10/09アクセス:魚拓

*61：入力内容の監視や送信も可能　男性２人のウイルス,共同通信,2012/10/08アクセス:魚拓

*62：ＰＣ遠隔操作ウイルス、欧州の新種,読売新聞,2012/10/08アクセス:魚拓

*63：遠隔操作により犯罪予告を行うバックドア型不正プログラム「BKDR_SYSIE.A」,トレンドマイクロ,2012/10/10アクセス

*64：犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名,シマンテック,2012/10/11アクセス:魚拓

*65：ＨＰに殺人予告、第三者が遠隔操作か…男性釈放,読売新聞,2012/10/08アクセス:魚拓

*66：別ソフト通じ取り込みか　不正プログラム,2012/10/09アクセス:魚拓

*67：釈放の２人同じソフトをダウンロード,NHK,2012/10/08アクセス：魚拓

*68：ＰＣ遠隔操作:ウイルス容量異なる　三重では動作異常,毎日新聞,2012/10/08アクセス:魚拓

*69：無料ソフトで感染か　パソコン乗っ取り事件,日経新聞,201210/09アクセス:魚拓

*70：「２ちゃん」経由でウイルス感染か…遠隔操作,読売新聞,2012/10/10アクセス:魚拓

*71：ネット上のソフトが感染源か　ＰＣ遠隔操作のウイルス,朝日新聞,2012/10/08アクセス:魚拓

*72：ＰＣ遠隔操作　無料ソフトにウイルス,東京新聞,2012/10/09アクセス:魚拓

*73：体系的に学ぶ安全なWebアプリケーションの作り方,徳丸浩,P141

*74：ＰＣ遠隔操作、誘導工作の詳細明らかに,TBS,2012/10/17アクセス:魚拓

*75：Rabasheeta ドロッパーの詳細,シマンテック,2012/10/23アクセス:魚拓

コメントを書く

通りすがり 2012/10/13 23:17 http://www.jiji.com/jc/c?g=soc_30&k=2012101000961
福岡の男性は、送検後容疑を否認だそうです。

piyokango 2012/10/13 23:41 情報ありがとうございます。:)
反映しました。

通りすがり再び 2012/10/14 10:07 まとめご苦労様です。
http://mainichi.jp/select/news/20121013k0000m040131000c.html
「三重の感染ウイルス発見は大阪府警」とのことです。

piyokango 2012/10/14 16:18 情報ありがとうございます。
時系列欄へ反映しました。

eee 2012/10/29 15:40 http://sankei.jp.msn.com/affairs/news/121029/crm12102909490003-n1.htm
犯人は遠隔操作した際にアドレスやパスワードには以下のようなものが使われてたとのことです。
・ｋｉｃｈｉｇａｉ＠ｓｃｈｏｏｌｋｉｌｌｅｒ．ｃｏｍ
・ｍｏｒｏｋｋｏｓａｒｉｎ＠ｅｘｃｉｔｅ．ｃｏ．ｊｐ
・ｖｘｇｕｓ１２３４
・ｏｎｉｇｏｒｏｓｈｉｊｕｚｏ＠ｙａｈｏｏ．ｃｏ．ｊｐ

piyokango 2012/10/30 22:40 情報ありがとうございます。
最新情報と一緒に反映しました。

トラックバック - http://d.hatena.ne.jp/Kango/20121008/1349660951

		2012/10
日	月	火	水	木	金	土
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

piyolog

2012-10-08

なりすまし（遠隔操作）ウイルスによる犯行予告事件をまとめてみた。