D-Case 適 用 事 例 2 2012 年 のPC 遠 隔 操 作 による 誤 認 逮 捕 DEOSプロジェクト 2013 年 7 月 19 日 DEOS 研 究 開 発 センター JST-CREST
1. 本 事 案 の 概 要 1. 遠 隔 ウィルスによるトラブル 発 生 概 要 2012 年 ( 平 成 24 年 )の 初 夏 から 秋 にかけて 日 本 において 犯 人 がネットの 掲 示 板 を 介 して 他 者 のパソコンを 遠 隔 操 作 し これを 踏 み 台 としてウェブサイ ト インターネット 掲 示 板 メールを 通 じて 襲 撃 予 告 や 爆 破 予 告 などの 犯 罪 予 告 を 行 ったサイバー 犯 罪 その 犯 人 として4 人 が 誤 認 逮 捕 された 2. 誤 認 逮 捕 が 発 生 した 原 因 書 き 込 みに 使 用 されたPCのIPアドレスと 犯 人 として 誤 認 逮 捕 された 人 のPC のIPアドレスが 一 致 した 複 数 のウィルス 対 策 ソフトの 検 査 では 遠 隔 操 作 ウィルス( 新 種 のトロイの 木 馬 )の 痕 跡 の 発 見 は 不 可 能 であった 3. 誤 認 逮 捕 であることが 判 明 した 根 拠 逮 捕 後 の 押 収 したPCの 解 析 で 犯 人 とされていたPCから 遠 隔 操 作 ウィルス の1つである 新 種 の トロイの 木 馬 を 検 出 した(このトロイの 木 馬 は 自 分 自 身 を 削 除 する 機 能 を 備 えているが ある1 人 のPCはトロイの 木 馬 が 残 っていた) 真 犯 人 を 名 乗 る 者 からの 犯 行 声 明 文 ( 出 典 ) Wikipedia パソコン 遠 隔 操 作 事 件 http://ja.wikipedia.org/wiki/%e3%83%91%e3%82%bd%e3%82%b3%e3%83%b3%e9%81%a0%e9%9a%94%e6%93%8d%e4%bd%9c%e4%ba%8b%e4%bb%b6 1
1. 本 事 案 の 概 要 PC 遠 隔 操 作 による 犯 罪 予 告 一 覧 ( 誤 認 逮 捕 関 連 ) 事 件 の 内 容 1. 大 阪 の 男 性 のPC 大 阪 府 警 が 誤 認 逮 捕 罪 名 大 阪 市 の 商 店 街 での 無 差 別 殺 人 予 告 メール( 注 ) 偽 計 業 務 妨 害 日 本 航 空 機 への 爆 破 予 告 メール ハイジャック 防 止 法 違 反 2. 福 岡 の 男 性 のPC 警 視 庁 が 誤 認 逮 捕 子 役 女 優 への 殺 害 予 告 メール 脅 迫 東 京 の 幼 稚 園 への 無 差 別 殺 傷 予 告 メール 威 力 業 務 妨 害 3. 三 重 の 男 性 のPC 三 重 県 警 が 誤 認 逮 捕 東 京 の 携 帯 電 話 ショップへの 襲 撃 予 告 を 掲 示 板 に 投 稿 威 力 業 務 妨 害 伊 勢 神 宮 への 爆 破 予 告 を 掲 示 板 に 投 稿 威 力 業 務 妨 害 4. 東 京 の 男 性 のPC 神 奈 川 県 警 が 誤 認 逮 捕 小 学 校 への 襲 撃 予 告 を 横 浜 市 のサイトに 投 稿 威 力 業 務 妨 害 ( 出 典 ) 朝 日 新 聞 記 事 PC 遠 隔 操 作 計 10 件 で 起 訴 誤 認 逮 捕 事 件 の 捜 査 終 結 (2013 年 6 月 28 日 ) をもとに 作 成 ( 注 ) 大 阪 府 警 察 の 報 告 書 では 大 阪 市 のホームページへの 書 き 込 みと 記 載 されている 2
1. 本 事 案 の 概 要 ( 大 阪 府 警 での 捜 査 の 事 例 ) 誤 認 逮 捕 の 事 案 での 捜 査 事 例 を 大 阪 府 警 の 例 で 示 す 1. 事 件 の 認 知 平 成 24 年 7 月 30 日 大 阪 府 南 警 察 署 ( 以 下 南 警 察 署 という )に 対 する 市 のホームページ 内 に 設 けられた 市 民 の 声 という 相 談 窓 口 に 無 差 別 殺 人 予 告 が 書 き 込 まれた との 大 阪 市 職 員 からの 通 報 により 本 件 を 認 知 した 書 き 込 み 内 容 から インターネットを 介 した 威 力 業 務 妨 害 事 件 と 判 断 した 2. 捜 査 概 要 (9 月 14 日 偽 計 業 務 妨 害 罪 で 起 訴 された) 本 件 書 き 込 み 時 のIPアドレスが 判 明 するとともに 本 件 書 き 込 みはA 氏 のモバイ ルルーターから 行 われたことが 判 明 し A 氏 はルーターにパソコンを 接 続 し 大 阪 市 のホームページへアクセスして 本 件 書 き 込 みを 行 い その 後 アクセス 履 歴 を 消 去 ( 一 部 消 去 漏 れ)したと 推 定 された 第 三 者 による 犯 行 可 能 性 の 検 討 がされたが 可 能 性 は 低 いと 判 断 された (A 氏 のルーター( 無 線 LAN)やパソコンの 無 断 使 用 CSRF 攻 撃 での 書 き 込 み 遠 隔 操 作 での 書 き 込 み 時 限 設 定 のウイルスの 自 動 実 行 ) 最 新 ウイルス 対 策 ソフトによるウイルスが 検 知 されなかった 自 動 実 行 ファイルの 確 認 で 不 審 点 がなかった 本 件 書 き 込 みに 係 る 履 歴 の 一 部 が 残 っていること また A 氏 のパソコン 内 より 本 件 書 き 込 みに 係 る 履 歴 の 一 部 が 削 除 されている 事 実 と A 氏 の 供 述 が 矛 盾 す ることから 証 拠 隠 滅 を 図 ったと 認 められた 出 典 : インターネットを 利 用 した 犯 行 予 告 ウイルス 供 用 事 件 の 検 証 結 果 ( 大 阪 府 警 察 平 成 24 年 12 月 ) 3
1. 本 事 案 の 概 要 ( 大 阪 府 警 での 捜 査 の 事 例 ) 3. A 氏 の 釈 放 に 至 る 経 緯 と 遠 隔 操 作 ウイルス iesys.exe に 関 する 捜 査 9 月 18 日 伊 勢 神 宮 等 に 対 する 犯 行 予 告 事 件 で 男 性 を 逮 捕 していた 三 重 県 警 察 から 捜 査 協 力 の 依 頼 があった 19 日 本 件 捜 査 に 従 事 した 当 府 警 サイバー 対 策 室 員 が 三 重 県 警 察 を 訪 問 し 逮 捕 男 性 のハードディスク 等 の 不 審 な 状 況 を 確 認 し iesys.exe という 名 称 のファ イルが 自 動 実 行 していることを 確 認 した 同 ファイルは 本 件 ( 大 阪 事 件 ) 捜 査 過 程 で 8 月 1 日 午 前 5 時 時 点 の 状 態 のパソ コン 内 に 存 在 した iesys.exe と 同 じファイル 名 であったため 解 析 を 行 い 遠 隔 操 作 ウイルスである 可 能 性 が 浮 上 した 9 月 21 日 A 氏 は 釈 放 された ( 参 考 ) 三 重 県 の 男 性 のPCにトロイプログラムが 残 っていたことについて 普 段 からCPUの 使 用 率 をチェックしていた 男 性 EはPCの 動 きが 遅 くなった 際 にCPU の 使 用 率 が 不 自 然 に 高 くなっていたことを 察 知 し ダウンロードから 約 1 時 間 後 に トロイプログラムを 自 分 で 停 止 させた 男 性 Eは 三 重 県 警 察 の 尋 問 に 対 し 一 例 として 遠 隔 操 作 の 手 法 を 説 明 逮 捕 から 4 日 後 の9 月 18 日 頃 からより 詳 細 な 解 析 を 実 施 したところ この 男 性 EのPCについ ては 他 の3 人 とは 異 なりトロイプログラムが 消 去 されずに 残 っていたことから 新 種 のトロイプログラムに 感 染 していたことが 判 明 した ( 出 典 ) Wikipedia パソコン 遠 隔 操 作 事 件 http://ja.wikipedia.org/wiki/%e3%83%91%e3%82%bd%e3%82%b3%e3%83%b3%e9%81%a0%e9%9a%94%e6%93%8d%e4%bd%9c%e4%ba%8b%e4%bb%b6 4
1. 本 事 案 の 概 要 ( 遠 隔 操 作 ウイルス 事 件 の 手 口 ) 1. 2ちゃんねるの 掲 示 板 に 無 料 の 便 利 ツール と 称 した 実 行 形 式 のファイルをダウ ンロードさせるリンクが 書 き 込 まれ これをダウンロードしたユーザーのPCに 不 正 プログラム(iesys.exe)が 送 り 込 まれた 2. ユーザーが iesys.exe を 実 行 するとバックドアが 作 られ サイバー 攻 撃 者 がPCを 不 正 に 遠 隔 操 作 できる 状 態 になる 3. 不 正 操 作 は 攻 撃 者 が 掲 示 板 サイトにコマンドを 書 き 込 み iesys.exeに 感 染 した PCがこのコマンドを 把 握 することで 行 われた これにより 攻 撃 者 はPCのユー ザーになりすまして 犯 罪 予 告 を 掲 示 板 サイトに 書 き 込 むなどの 行 為 をした 4. 不 正 操 作 を 行 う 際 には Tor と 呼 ばれるP2Pでの 通 信 経 路 のデータを 改 ざんし て 追 跡 をできなくさせるツールを 利 用 した 5. ウイルス 対 策 ソフトが iesys.exe を 定 義 ファイルで 検 知 できるようになったのは 10 月 以 降 であった 出 典 : 遠 隔 操 作 ウイルス 事 件 に 関 する 日 本 ネットワークセキュリティ 協 会 (JNSA) の 記 者 会 見 (2012 年 10 月 17 日 )に 関 する 報 道 (2012 年 10 月 17 日 ITmedia Web 記 事 ) 5
2. 本 事 案 の 分 析 利 用 者 がPCを 安 全 に 利 用 ( 継 続 利 用 )する 観 点 から 本 事 案 のIT 系 技 術 に 関 連 する 原 因 を 以 下 に 示 す ( 誘 導 ) ウイルスが 仕 掛 けられた 不 正 プログラムをダウンロードするように 誘 導 され た ( 検 知 ) 新 しいウィルス(トロイプログラム)のため ウイルス 対 策 ソフトウェアの 最 新 の 定 義 ファイルでもこのウイルスを 検 知 できなかった ウイルスが 自 動 で 動 作 するため ウイルスの 挙 動 を 利 用 者 が 認 識 することが できなかった( 三 重 県 の 事 案 を 除 く) ( 痕 跡 ) ウイルスの 動 作 による 掲 示 板 への 書 き 込 みに 関 する 痕 跡 が 残 ったままと なった ウイルス 自 体 が 削 除 されたため ウイルス 自 体 の 痕 跡 が 残 らなかった 6
3. 本 事 案 の 原 因 に 対 応 するD-Case 適 用 のポイント < 適 用 にあたっての 基 本 的 な 考 え 方 > PC 利 用 にあたって 自 身 および 対 外 的 に 影 響 を 与 えないための 継 続 的 な 安 全 利 用 ( 注 意 義 務 の 履 行 )のケースを 明 確 化 する 原 因 ( 誘 導 ) ウイルスが 仕 掛 けられた 不 正 プログラムをダウンロード するように 誘 導 された ( 検 知 ) 新 しいウィルス(トロイプログラム)のため ウイルス 対 策 ソフトウェアの 最 新 の 定 義 ファイルでもこのウイルス を 検 知 できなかった ウイルスが 自 動 で 動 作 するため ウイルスの 挙 動 を 利 用 者 が 認 識 することができなかった( 三 重 県 の 事 案 を 除 く) ( 痕 跡 ) ウイルスの 動 作 による 掲 示 板 への 書 き 込 みに 関 する 痕 跡 が 残 ったままとなった ウイルス 自 体 が 削 除 されたため ウイルス 自 体 の 痕 跡 が 残 らなかった D-Case 適 用 ポイント PCの 安 全 利 用 に 関 するD-Caseの 適 用 1. 安 全 利 用 を 示 すPC 利 用 ( 動 作 )のモニタリング 利 用 者 訪 問 したURLの 履 歴 キータイプ 情 報 ネット ワーク 上 の 通 信 記 録 などの 可 視 化 PC 利 用 に 関 する 説 明 責 任 2. PCの 安 全 利 用 のための 対 策 の 明 確 化 1ウイルス 対 策 ソフトウェアの 最 新 化 と 実 行 - ウイルス 対 策 ソフトウェアの 実 行 履 歴 - ウイルス 定 義 ファイルの 最 新 化 の 履 歴 など ( 実 行 記 録 も 含 めた 記 録 ) 2ソフトウェアのセキュリティ 対 策 のための 最 新 化 - セキュリティパッチの 実 施 履 歴 7
4.D-Case 適 用 時 の 有 効 性 ( 発 生 事 象 を100%カバーする 場 合 分 けの 支 援 ) 2-1 システムとし ての 自 動 防 御 は 説 明 できるように 実 施 する 1 自 動 防 御 では 防 ぎきれない 脅 威 については 予 兆 検 出 影 響 の 最 小 化 など 自 分 の 行 動 を 説 明 できる 記 録 の 収 集 を 行 う 2-2システ ムとしての 自 動 防 御 は 定 期 的 に 確 認 し 説 明 できる ように 実 施 する 8
4.D-Case 適 用 時 の 有 効 性 (システムと 人 間 が 連 携 し ディペンダビリティを 改 善 できる 最 終 ゴールとエビデンスの 展 開 ) 1- 最 終 ゴール1 日 常 的 な 行 動 とPCの 動 作 と 判 断 する 基 準 (モニター)と 通 知 (アクション)の 設 定 と 確 認 エビデンス 1- 最 終 ゴール2 準 日 常 的 な 行 動 とPCの 動 作 と 判 断 する 基 準 の 設 定 と 確 認 エビデンス 1- 最 終 ゴール3 非 日 常 的 な 行 動 につい ての 判 断 基 準 の 設 定 と 確 認 エビデンス 定 期 的 確 認 定 期 的 閾 値 越 え 確 認 システムで 判 断 できない 場 合 は 人 間 に 判 断 をゆだねる 流 れ 人 間 の 判 断 結 果 をシステムが 自 動 的 に 処 理 可 能 とするシステム 化 の 流 れ PC 安 全 利 用 支 援 ツール( 説 明 責 任 支 援 ) 抜 き 打 ち 予 行 演 習 9
5.D-Case 適 用 時 のまとめ D-Case 適 用 により 網 羅 性 の 可 視 化 : システムによる 自 動 防 御 だけでは 対 応 することがで きない 脅 威 を 含 めて 説 明 責 任 を 果 たすためのケースを 可 視 化 できる ( 適 用 事 例 での 例 ) PCの 所 有 者 は 自 分 の 意 図 しない 振 る 舞 いを 証 明 する ケースを 分 析 判 断 基 準 の 設 定 とエビデンス 確 認 : 日 常 準 日 常 非 日 常 に 応 じた 判 断 基 準 の 設 定 と 対 応 するエビデンスによる 説 明 責 任 の 容 易 化 を 図 ることが できる ( 適 用 事 例 での 例 ) 行 動 とPCの 動 作 のログ 情 報 が 日 常 準 日 常 の 行 動 動 作 と 比 較 対 比 し 非 日 常 的 領 域 とシステムが 判 断 した 場 合 は 注 意 喚 起 ( 影 響 最 小 化 行 動 ) その 結 果 自 分 の 意 図 しない 振 る 舞 いに 対 する 説 明 責 任 の 実 現 (PC 安 全 利 用 支 援 ツール( 説 明 責 任 支 援 )の 利 用 ) システムによる 自 動 防 御 では 防 ぎきれない 脅 威 に 対 する 予 兆 検 出 や 影 響 の 最 小 化 の 実 現 10