リモートコントロールするための自作トロイ(遠隔操作ウイルス)を使った犯行予告について、
- 警察の自白強要による安易な捜査
- 現在のセキュリティ対策ソフトでは防げない
という点に懸念を持っています。
警察への批判はいろんな人が指摘されているので割愛し、現在のセキュリティ対策ソフトでは防げない点について書きます。
この事件の経緯については、下記ページがとてもよくまとまっていて参考になります。
警察の杜撰な捜査姿勢に対しては下記を参照。
- 神奈川県警、少年の上申書誘導か…不自然な詳述 : 社会 : YOMIURI ONLINE(読売新聞)
- 不正操作?履歴、逮捕後認識も放置…神奈川県警 : 社会 : YOMIURI ONLINE(読売新聞)
- 失敗から学ばない組織 - Apes! Not Monkeys! 本館
- 例の偽装メール事件が示唆するのは、警察の無理筋捜査だけじゃない - 常夏島日記
本題の、現在のセキュリティ対策ソフトなどでは防げない点について。
なぜ防げないかというと、この遠隔操作ウイルスはこれまでのウイルスと違い、不特定多数に対しての攻撃を意図していないから、ということです。
基本的に「不特定少数」に対しての攻撃をセキュリティ対策ソフトでは防げないのです。
セキュリティ対策ソフトは基本、パターンファイルと呼ばれるものを使ってウイルスの「型」を見て判断します。
犯罪者の指紋リストと合致させて判断する、と言えばわかりやすいでしょうか。
逆に言うと、一度対策ソフトメーカーに補足されていないとそのリストに乗ることがないのです。
だから、今回のように不特定少数への感染を目的とされる場合にはセキュリティ対策ソフトはほとんど無力なのです。
最近のセキュリティ対策ソフトでは、パターンファイル以外の方法でも「怪しい」動作をするものを自動的にウイルスと判定する機能などがありますが、今回のウイルスに対しては効かなかったのではないかと思います。
例えば、ノートンが書いているブログ
犯行予告に使われたマルウェア、国内メディアは「遠隔操作ウイルス」と命名 | Symantec Connect Community
でこのウイルスのことが取り上げられています。*1
その中で
シマンテックの Insight テクノロジにより WS.Reputation.1 または Suspicious.Insight として、感染前に未然に検出されることを確認しています
と書かれています。
ここで判定に使われているレピュテーションという技術は、その実行ファイルで害が出たユーザがいないか、というのを投票していく仕組みのものです。
つまり「この実行ファイルは他で誰かが実行したことも評価されたこともないから危ないかも…?」と言ってくれるだけです。
ノートンの「Suspicious.Insight」についての説明ページでも
危険度1: ほとんど影響なし
ユーザーコミュニティで高いレピュテーション評価を獲得していないファイル
だけ、という扱いです。
今回のように、あんまり知られていないツールを紹介するスレッドに書かれている場合なんかだと、全く疑いようがないと思います。
また、Torを使って匿名化されていることが指摘されており、そういったサービスがいけないような文言も見かけました。
しかしそういうのを介さずとも、一旦この遠隔操作ウイルスで中継地点を作ってしまえば、それを何段か重ねることで、一番最初の感染元まで到達できなくしてしまうことが可能でしょう。
逆になぜ真犯人が、何度もTor使って代理書き込みをお願いしてたのかが不思議なくらいです。
犯人の特定ですが、犯人は金銭目的などではないためネットのログ(通信記録)以外から追うのはまず不可能です。
そしてネットから追うのは、ちゃんと匿名化手段が使われていれば、犯人がよほどのミスをしない限りは無理でしょう。
もし捕まるなら、うっかり他人に自分が犯人だと漏らしてしまい、それで捜査の手が入る… とかぐらいか。
つまり現状、この件の模倣犯が出ても、自分が冤罪被害者になることを防ぐことは出来ないし、捕まえることも出来ない、ということです。
少なくとも、この犯人と同等程度の知識と注意深さのある人間によるならば。
対策としては
- 怪しいアプリはインストールしない(よく、アダルトサイトなどの動画再生ソフトだという名目の、架空請求アプリインストールしちゃう人がいたりします)
- 新しいツールやアプリをダウンロードしてインストールする場合、なるべく安全そうな正式サイトと思われるところからダウンロードする
くらいでしょうか。
開発者の人でも、githubに上がってた新しいツールとかだと、ついついそのまま信じて実行しちゃいませんか?
そのgithubアカウントだって「遠隔操作ウイルス」経由で作って、他のアプリをコピーしてバックドア仕込んだものかもしれないのですよ。
(追記)
書くの忘れてたのですが、不特定少数への攻撃で良いので、攻撃対象はWindowsである必要はなく、MacやLinuxのほうが相手が油断している分、さらに簡単かもしれません。
まあ今後はAndroidの野良アプリが一番良い攻撃対象になると思いますが。
あと今回の件では、事前に感染した人のメールなどの情報を見て、どんなパーソナリティなのかを把握した上で脅迫メールに使っています。
これも特定少数だからできることで、例えば昔の勤め先だとかへの愚痴が書いてあったりすれば、そこに対して本人の文体をまねて脅迫メールによる嫌がらせだとか、ほんとにその人がしたさそうなことをやることができてしまいます。
そうなってくると、された本人も自分に記憶がないだけじゃないのか??とかなってくるかも…
*1:もし、以下の自分の認識が間違っているようでしたらご指摘ください