遠隔操作事件「どんな些細なことでも」、CSRFのリンク踏んだ人は情報提供を

 いわゆる"遠隔操作ウイルス"事件を捜査している警視庁や三重県警察などで構成する合同捜査本部が12日、報償金300万円を設定して一般からの情報提供の受付を開始したのにともない、警視庁のサイトに事件の経緯や犯人の特徴などを説明するページを開設。犯人が同ウイルスの遠隔操作のために使っていた掲示板のURLなども掲載し、「どんな些細なことでも結構です。情報をお寄せください」と協力を呼び掛けている。

 一連の事件で、他人になりすまして犯行予告の投稿などを行うのに使われた遠隔操作ウイルス「iesys.exe」は、被害者のPCに侵入した後、「livedoorしたらば掲示板」の書き込みを介して攻撃者と通信する仕組みだったことがわかっている。警視庁のサイトでは、判明している3つの板のURLを掲載。それらのウェブページを保存した人からの情報を求めている。

 また、横浜市のサイトに犯行声明が投稿された事件では、iesys.exeではなく、クロスサイトリクエストフォージェリ(CSRF)という攻撃手法が使われており、それを仕掛けたリンクが「2ちゃんねる」掲示板に書かれていた。警視庁のサイトではそのリンクのURLも掲載しており、これをクリックした人や画面を保存した人からの情報を求めている。

 livedoorしたらば掲示板のサービスを運営しているNHN Japan株式会社によると、ユーザーが板を閉鎖すると、それから一定期間後に、その板のデザインや記述、投稿などの内容はサーバーから削除されるという(具体的な期間は開示していない)。

 また、3つの板以外に、iesys.exeの遠隔操作のために犯人が使用していたと思われる板がなかったのかどうかについては、「(ユーザーが開設した板が)利用規約で定めている禁止行為に抵触していないかということは、弊社のカスタマーセンターで常にチェックをしている。現在、そのような疑いのある掲示板の存在は確認されていない」としている。

 警察が広く情報提供を求めている3つの板のデータがNHN Japan側に残っているかどうかについては回答は得られなかったが、「捜査機関からの正当な要請があれば、ログを開示するなど粛々と対応していく」としている。
 
 遠隔操作ウイルスの犯人は掲示板への書き込みの際、通信経路を匿名化するツール「Tor」を使用していたとされており、通信元IPアドレスから特定していくアプローチは困難ではないかとみられている。実際、報償金を出して情報提供を求めることになったのも、そうしたアプローチでは捜査が手詰まりになったからだとも考えられる。

 しかし、株式会社ラック専務理事の西本逸郎氏は、「(犯人が)自分の身だけ隠していれば捕まらないということは全くない」と強調する。今回の一連の事件では、通信元IPアドレスにはたどり着けないまでも、ネット上の各所に活動の跡が残されている。2ちゃんねるへの書き込みを代行する「シベリア郵便局」を使用していたことなどもわかっており、合同捜査本部でも犯人の特徴としてそれを公表している。

 また、犯人の手製とされるiesys.exeというプログラムの検体も残っており、プログラミング言語「C#」で開発された点も犯人の特徴とされている。

 「どのような情報を公表するかは難しい面もあり、警察も苦労していると思うが、iesys.exeの検体の一部を公開することで、広く情報を求める方法もあるのではないか。(ソースコードの特徴など)何か別の情報から犯人に近づくすべが出てくることも考えられる。」(西本氏)

 警察は今回、特別報償金制度の要綱を改定までして、サイバー犯罪の捜査において同制度を適用した情報提供の呼び掛けを行うに至った。西本氏は国の動きとしては迅速だったと評価しており、「ネットユーザーやさまざまなサービス提供者が『ひょっとしてあの人ではないか』といった情報を提供してくるなどして、少なくとも、何か犯人につながるヒントが出てくれば一歩前進だ」と述べている。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20121214_578876.html