JNSA「セキュリティしんだん」

 

« 目次ページへ   「(2)セキュリティ2012年の回顧」へ »



(1)遠隔操作マルウェア事件から学ぶべきこと (2012年12月1日)

今回の「セキュリティしんだん」のポイント

2012年10月、マルウェアに感染したパソコン(PC)が犯行予告や脅迫の書き込みの踏み台に利用され、その持ち主が逮捕され、一部は起訴や家裁送致されるという事件が発生しました。
この事件では、誤認逮捕の面が強調されて報道されましたが、私たち個人や会社などの組織においても学ぶべき教訓が多く含まれていました。同じような手口で、または別の方法でマルウェアに感染する惧れや、加害者と認識される危険は、私たちの身の回りに潜んでおり、油断すればいつでも忍び寄ってきます。
ネット上の誘惑に安易に乗らないこと、特にプログラムやファイルのダウンロード、インストールには注意を払い、慎重に行うこと、少しでもおかしいと感じたら使用を中止し、信頼できる人や機関に相談することが必要です。
今回の「しんだん」では、事件の概要を整理するとともに、マルウェア感染と遠隔操作の仕組みを説明し、被害に遭った人たちの行動の何が問題だったのかを分析します。そして、今後同様の被害に遭わないために、個人や組織が気をつけるべきポイントを整理しました。
この記事を参考に、皆さんがより安全にインターネットを利用できるようになれば幸いです。

◆ はじめに

2012年10月、マルウェアに感染したパソコン(PC)が犯行予告や脅迫の書き込みの踏み台に利用され、その持ち主が逮捕され、一部は起訴や家裁送致されるという事件が発生しました。この件について振り返って、我々が学ぶべきことについて考えてみたいと思います。

1. 事件の概要
2. 犯罪予告の書き込み等は、どのようにして行われ、なぜ誤認逮捕に至ったのか
3. 被害者の行為の何が問題だったのか
4. 一般の利用者が気をつけるべきこと
5. 企業の情報セキュリティ対策に携わる人が気をつけるべきこと
6. 遠隔操作マルウェア事件から学ぶべきこと


  • 1. 事件の概要
  • 2. 犯罪予告…
  • 3. 被害者の…
  • 4. 一般の…
  • 5. 企業の…
  • 6. 遠隔操作…

1. 事件の経緯

誤認逮捕を受けた人は、4名います。各紙の報道を元に本件事例を整理すると、以下のようになります。

アニメ演出家男性(43)<大阪> 無職男性(28)
<福岡>
無職男性(28)
<三重>
男子大学生(19)
<東京>
疑われた主な犯行予告 7/29
大阪市のWebサイトに無差別殺人予告
(本人の実名入り)
8/27
お茶の水女子大付属幼稚園に襲撃予告メール
9/10
伊勢神宮爆破予告を2ちゃんねるに書き込み
6/29
横浜市のWebサイトに小学校襲撃予告を書き込み
8/27
有名タレント所属事務所に脅迫メール
書き込み等
の方法
マルウェアに感染させ、遠隔操作
その後マルウェアを削除
マルウェアに感染させ、遠隔操作
PCにはメール文面が残っていた
マルウェアに感染させ、遠隔操作
PCにはマルウェアが残っていた
ネット掲示板をクリックさせて自動的に書き込み
マルウェア
感染の方法
ダウンロード(DL)サイトから無料ソフトと抱き合わせでDL (報道からは経緯は不明。大阪・三重と同様のDLと思われる) ダウンロード(DL)サイトから無料ソフトと抱き合わせでDL マルウェア感染でなくWeb上の仕掛けで自動書き込み
処分 偽計業務妨害容疑で起訴、その後釈放、起訴取り下げ 三重の事件で遠隔操作の疑いが出て処分保留で釈放 遠隔操作マルウェアが発見されたため釈放 家裁で保護観察処分決定、その後決定取り消し

三重県のPCからマルウェアが検出され、解析の結果、遠隔操作を許すものであることが判明したことから、第三者の存在の可能性が疑われるところとなりました。その結果、大阪の男性は既に起訴されていましたが釈放、三重と福岡の男性は処分保留のまま釈放となりました。その後、真犯人からの犯行声明により、これらの人たちは誤認逮捕されたことがはっきりしました。犯罪予告の書き込みや脅迫メールは、犯行声明によれば、全部で13件行われたと報じられています。

2. 犯罪予告の書き込み等は、どのようにして行われ、なぜ誤認逮捕に至ったのか

では、このようなマルウェア感染や、そのマルウェアを遠隔操作しての犯行予告などは、どのようにして行われたのでしょうか。報道された情報を元に推測すると、概略以下のような流れとなっています。

(1)クロスサイトリクエストフォージェリ手法による、他サイトへの書き込み (2)マルウェア配布サイトへの誘導とダウンロード及びインストールを促す (3)遠隔操作マルウェアをあやつっての、脅迫書き込み (4)遠隔操作マルウェアを消去して証拠を消す(大阪)、あるいは放置して(三重)犯行声明の裏付けに利用 (5)捜査サイドはIPアドレスを絶対視して誤認逮捕
(1)クロスサイトリクエストフォージェリ手法による、他サイトへの書き込み
クロスサイトリクエストフォージェリ(CSRF)攻撃では、本来専用入力ページから書き込まれるはずのデータと同じ内容を別の場所から書き込むための仕組みをあらかじめ用意しておきます。次に、その仕組みへのリンクを一般のサイトに仕込んでおいて、そのリンクをだましてクリックさせます。そうすることで、本人が意図しない書き込みが、本人の自覚なしに実行されるような形の攻撃です。

以下にその様子を簡単な図で示します。この手法による書き込みは、横浜市のサイトへの脅迫の書き込みに利用されました。
クロスサイト・リクエスト・フォージェリー(CSRF)攻撃
この方法はCSRFと言われる攻撃の中でもきわめて単純なもので、認証も不要で誰でも自由に書き込みができるサイトであるがゆえに使用できたものです。もし、ユーザ認証が必要だったり、投稿前にいくつかの作業が必要になるような形で直接投稿を禁止するような仕組みがあれば、攻撃の難易度はかなり上がっただろうと考えられます。
(2)マルウェア配布サイトへの誘導とダウンロード及びインストールを促す
犯人は匿名ソフトTorを利用し、自分のアクセス元を隠しながら、マルウェアをダウンロードサイトにアップロードし、それを別のフリーツールと偽って掲示板に公開。その偽フリーツールにアクセスしてダウンロードし、インスト−ルした被害者のPCに、マルウェアを感染させました。
(3)遠隔操作マルウェアをあやつっての、脅迫書き込み
感染したマルウェアは犯人が指定した司令用掲示板にアクセスし、専用のスレッドを作って待機。犯人が指令を書き込むとそれを読み込んで、脅迫を書き込むという不正行為を実行していました。犯人は指令書き込みの際にもTorを使用し、誰がそれを書き込んだのかを追跡することを困難にしていました。
(2)(3)の流れ
(4)=後始末=遠隔操作マルウェアを消去して証拠を消す(大阪)、あるいは放置して(三重)犯行声明の裏付けに利用
犯人はこうした悪用を終えた後にマルウェアを消去する仕掛けを組み込んでいて、三重以外のケースでは実際にマルウェアは消去されていました。警察が消去されたことに気づかなければ、誤認逮捕された人への容疑は容易に解消されなかった可能性があります。

三重の事件でPCにマルウェアが残っていた点については、犯行声明では発覚させるために敢えて残したと言っています。警察発表では、被害者がPCの動きがおかしいことに気づき、マルウェアと思われるプログラムの動作を停止させたため、消去ができなかったとされています。

現時点では、このいずれが真実かは公表された情報からは判断が難しいですが、犯行の痕跡を消すこともできることが示唆されており、問題の深刻さを示すものと言えます。
(5)捜査サイドはIPアドレスを絶対視して誤認逮捕
以下は、捜査の流れに関する推定です。あくまで報道された情報を元に推測してみたものです。

警察はまず、脅迫が書き込まれたサイトのログから、書き込みを行ったIPアドレスを特定します。さらに、そのIPアドレスを管理するISPに対して接続履歴の提出をもとめ、それを照合して、書き込みが行われた時点で、誰にそのIPが割り当てられていたかを突き止めたと考えられます。しかし、その時点では、PCへのウイルス感染という発想には至らず、IPアドレスの利用者が犯人であると確信して、取り調べを進めた結果、一部の被疑者から自供を引き出したと考えられます。

被疑者が本来行っていない行為をなぜ自供したかについては、メディアの報道に述べられており、ここでは敢えて触れません。一方、一貫して否認していた被疑者もおり、裏付けのための証拠収集の必要性から、被疑者のPCを解析し証拠を得ようと考えたことは容易に推測できます。その過程でマルウェア感染が発見され、解析の結果、被疑者のPCが遠隔操作が可能で、それによって脅迫文の投稿が行われたと考えるに足る事実が明らかになったのだろうと思われます。

この時点で、逮捕が誤認に基づくものである可能性が浮上します。そして、一連の類似事案を比較した結果、別の真犯人の存在が認められるに至った、ということになりそうです。

3. 被害者の行為の何が問題だったのか

それではいったい、被害に遭った人たちの行為の、どこが問題だったのでしょうか。一言で言えば、顔も名前も知らない第三者の書き込みを疑うことなく、マルウェアを自ら呼び込んでしまったところに問題があったと考えられます。具体的には、以下のような問題行動がありました。

(1)仕掛けを施したサイトに誘導する書き込みに乗って、危険が潜むダウンロードサイトにアクセス (2)無償で使える「便利ソフト」を安易にダウンロード。その結果、そこに潜ませてあったマルウェアに感染
(なお、ネット上に提供されているフリーのソフトは、プログラムや著作物の違法コピーの場合があり、安易なダウンロードは著作権侵害という犯罪行為にもなりかねません)
(3)マルウェア感染に気づかない、または異常を感じつつも放置してPCを使い続け、インターネット接続も継続
(PCを使う上での注意事項や、取るべき対策に関する知識が不足していた。危険な要素を考えず、安易な気持ちでネットを利用した)
(4)その結果、犯人に、自分のPCを踏み台として利用することを許した (5)一連の行為や知識不足や注意不足の結果、犯人が行った犯罪行為の一端を担い、業務妨害や第三者に迷惑をかけることになってしまった

インターネットの世界は匿名性が高いので、少しきな臭い要望でも書き込みやすいし、書き込めば誰かが返事をくれたりします。しかし、それはインターネットを加害の場として利用する犯罪者にとっても便利な場なのです。この便利さを悪用されるケースも、当然出てくる危険があります。今回の事件は、まさにそのようなリスクが顕在化した事例ということができるでしょう。

被害者の中には、ダウンロードしたらPCの動きが急に遅くなったと感じていた人もいたと言われています。このような場合、もっと早い段階でマルウェアを疑っていれば、被害に遭う前に発見できていたかもしれません。

初期のコンピュータウイルスは、画面を占拠したり、画面にメッセージを出したりと、作者の自己主張と愉快犯的行為が主で、実害の少ないものでした。その後感染したPCのファイルを書き換えたり大量のウイルスメールをばらまいたりと、感染した人の迷惑を狙うものも出てきました。昨今の主流は実際に情報を盗み出して金銭的利得を得る行為や、自分の主義主張を広く訴えるために書き込みを行うなど、より直接的目的を持ったものが主流になっています。今回の件も、犯行声明からは警察への挑戦・挑発の意図がうかがわれます。

今回被害に遭った人たちは、安易な「アクセス」や「ダウンロード」の結果、犯人にうまく利用されています。それは、犯行の一部を、知らないうちに手伝わされていることを意味します。例えその意図がなかったとしても、共犯者と言われても仕方ない立場に置かれてしまったのです。

今回の事件では、逮捕された人たちに犯罪の意図がなかったことと、犯行声明により真犯人の存在が明らかになったことで、犯罪者として扱われることは避けられました。しかし、誤認逮捕され、厳しい取り調べを受け、意に反する自白に追い込まれる、さらには起訴や処分にまで至る、といった苦痛を味わうという甚大な被害に遭ってしまいました。

このように、ネット越しにやってくる脅威は、本人が意図しないにもかかわらず、犯罪の一端を担わされてしまうリスクを含んでいます。また犯人と誤認されることで大きな苦痛を背負うことになります。ネットの利用、特に今回のようにネットから何かを取り込むようなケースでは、このような可能性に注意を払う必要があります。

4. 一般の利用者が気をつけるべきこと

では、私たち一般の利用者がインターネットを利用するときに気をつけるべきことには、どのようなものがあるでしょう。少なくとも次の点には気をつけたいところです。

(1)ダウンロードは慎重に。どうしても必要があって、特に無償提供されているファイルをダウンロードする場合は、必ずウイルス対策ソフトでチェックするとか、警告が発せられていないか、など、マルウェア感染の可能性に対してしっかり注意する必要があります。 (2)PCの動きに気をつける。ダウンロードを行った後は、PCの動作に気をつけましょう。極端に遅くなったり、タスクマネージャーで見て見知らぬプログラムが走っていたりしたら要注意です。ハブやルーターなどでネットワークアクセスがLED点滅で確認できる場合には、自分が操作していないのに頻繁なアクセスが見られたりするケースも要注意です。 (3)疑問や心配が生じたら、迷わず第三者に相談しましょう。ウイルス感染の届出窓口に指定されているIPA(独立行政法人情報処理推進機構)は、マルウェアなどに関する情報発信を行うとともに、相談窓口(※1)を設けていますので、先ずは相談してみることです。 (4)ウイルス対策ソフトを入れ、常に最新に保つ。ウイルス対策ソフトは、マルウェアの侵入を未然に防いでくれるツールとして、ぜひ導入すべきです。ただし、プログラムやウイルス定義ファイルの自動更新を設定して、常に最新の状態にしておく必要があります。また、市販のツールの多くは(Windows OSも)デスクトップファイアウォール機能を備えているので、うまく使えば今回のような遠隔操作を見抜くことができる可能性があります。 なお、最近のマルウェアは巧妙さを増しており、ウイルス対策ソフトでも検知できない場合があるので、ウイルス対策ソフトを入れているからといって、過信しすぎないよう注意することも必要です。

(※1)「ここからセキュリティ」ポータルサイト:http://www.ipa.go.jp/security/kokokara/
情報セキュリティ安心相談窓口:03-5978-7509 anshin@ipa.go.jp

5. 企業の情報セキュリティ対策に携わる人が気をつけるべきこと

では、今回の事件はたまたま一部の人が不注意で被害に遭ったもので、企業には関係ないと考えてよいでしょうか。決してそんなことはありません。昨今、むしろ企業を狙った攻撃の方が激しく、深刻さを増しているのが実情なのです。昨年、ソニー、三菱重工業、衆議院等を狙った攻撃の報道が相次ぎましたが、その脅威は今も続いています。

[標的型攻撃によるマルウェア侵入のリスク]
標的型攻撃とは、相手の状況に合わせて、実際にある、あるいは関係ありそうな発信名や件名と内容を盛り込んだ攻撃メールで、添付ファイル(タイトルや拡張子も巧妙に偽装)を開かせたり、仕掛けを施したWebサイトに誘導することでマルウェアを送り込む、非常に巧妙な攻撃です。その進化形はAPT(Advanced Persistent Threat、IPAの呼称は新しいタイプの攻撃)とも呼ばれます。 このような用意周到な攻撃は、通常の業務感覚だと引っかかるリスクが非常に大きく、誰も知らないうちに感染している可能性が極めて高い、危険な攻撃です。このようにして潜入したマルウェアは、今回の遠隔操作マルウェアと同様に潜伏してひそかに攻撃者と通信し、その指示の下に新たな攻撃を仕掛けたり、秘密情報を流出させたりします。相当の注意を払わないと、防ぐことはできません。
[標的型攻撃への対策]
標的型攻撃に対しては、1種類の対策や防御だけでは不十分で、多段的な手段を組み合わせる必要があります。特に入口と出口に対する両面作戦が重要です。具体的には以下のような対策を講じる必要があります。
(1)従業者に対する啓発・教育
標的型攻撃メールに引っかからない、受信したら直ちに管理者に報せることができるように、全従業者に対する周知徹底、繰り返しの啓発や教育、定期的な注意喚起が必要です。これは派遣社員やアルバイトから役員まで、全階層に徹底しなければなりません。
(2)発見しにくいマルウェア感染に対する備え
マルウェアが侵入した場合、イントラネット上でアクセス管理サーバやファイルサーバの存在や、認証トラフィックを探り、他のサーバ等に入り込むための偵察行動をします。また、外部と通信して新たな指示を得たり、別のマルウェアを導入したりします。このような異常な通信を検知して、潜入したマルウェアを発見する取り組みが必要です。
(3)最後の防御ラインとして、重要情報そのものを守る マルウェアの最終目的は情報の入手・持ち出しの場合が多いので、重要情報の外部送信を、DLP(Data Loss Prevention)ツールなどを使って防いだり、暗号を利用して内容の解読を防止したりする対策も必要です。 (4)「常在戦場」の心構え
繰り返しになりますが、マルウェアの侵入を完全に防ぐことは不可能という前提で、多段的対策を施し、ログ解析なども活用して、常時異変を見張る、異常にいち早く気づく体制を構築して運用する、といった手当てと心構えが大事です。

6. 遠隔操作マルウェア事件から学ぶべきこと

今回の事件では、不用意な行為から犯人に付け入られ、知らないうちに犯罪の手助けをしてしまい、結果として誤認逮捕という目にあう被害者の存在がクローズアップされました。真犯人は、11月30日現在、見つかっていないようです。さらには、ふたたび挑発するようなメールが発信されたりしているようで、関係先が振り回される事態が続いています。

しかしこれは、一般市民だけでなく、企業にとっても他人事ではありません。今この瞬間、既にマルウェアはあなたの組織のネットワークに潜み、活動を続けているかもしれないのです。図らずも一般に知られるところとなった「リモコン」マルウェア。その怖さ、危険性を自分自身、自分の組織に対する警告と受け取って、きちんと対策を施す必要があります。

インターネットの便利な機能や豊富な情報を、安心して利用できるよう、どうぞ一度、自己点検を行い、安全を確かめてください。そして安全が確認されたら、それに安住することなく、日々点検と注意を忘れず、巧妙な攻撃者に付け入られない運用を心がけていただきたいと思います。


気をつけよう。ネットに甘える便利使い!
疑おう。フリーツールに潜むマルウェア!




« 目次ページへ   「(2)セキュリティ2012年の回顧」へ »