遠隔操作ウイルスの冤罪から防衛、ソフトイーサが無償ソフト「パケット警察」

　ソフトイーサ株式会社は22日、Windows PCの通信内容とプロセスの起動を記録するソフト「パケット警察 for Windows」をリリースした。Windows 8/7/Vista/XP/Me/98 SE/98、Windows 2000/NT 4.0、Windows Server 2012/2008 R2/2008/2003に対応しており、同社サイトより無償でダウンロードできる。

　いわゆる“遠隔操作ウイルス”“なりすましウイルス”により、PCの持ち主の知らない間にそのPCを踏み台として犯行予告の書き込みなどの犯罪が遠隔操作で行われ、本来は被害者であるPCの持ち主が誤認逮捕されてしまった事例が複数確認されている。インターネットユーザーに不安が起きていることを受け、冤罪防止に役立てるために緊急リリースしたという。VPNソフト「PacketiX VPN」などを手がけるソフトイーサが、同ソフトで使用しているパケット解析モジュールなどを活用して開発した。

パケット警察 for Windows

　パケット警察 for WindowsをPCにインストールして初期設定すると、以降、Ethernetの通信内容とプロセスの起動・終了を常時監視し、日時（ミリ秒単位）とともにそれぞれCSV形式のログファイルに記録し続ける仕組み。

　通信内容のパケットログには、デフォルト設定では、TCP/IPパケットの重要なヘッダー情報を記録する。通常、遠隔操作ウイルスの挙動を記録するためには十分と考えられるとしているが、ペイロードまで記録したり、TCP/IP以外のパケットも記録するよう設定することも可能。一方、プロセスのログは、そのプロセスの実行ファイルが消去されてしまった後も残るため、ウイルスなどが消去された後でもそのウイルスの活動記録は残るとしている。

パケットログの記録設定画面

　ログファイルはハードディスク上に保存されるが、パケット警察 for Windowsは、Windowsのシステムサービス権限で動作するため、通常の一般ユーザー権限では消去できない設定になっているという。また、Windows 8/7/Vistaではユーザーアカウント制御（UAC）に対応しており、一般的な遠隔操作ウイルスの手口では、動作を止めたりログファイルを消去・改ざんすることを困難にできるとしている。

　ただし、遠隔操作ウイルスがシステム管理者権限で何らかの作業を行うことをPCのユーザーが許可してしまった場合、ハードディスクのパーティションがNTFSではなくFAT32などセキュリティ機能のないフォーマットを用いている場合、OSがWindows 98系のようにセキュリティ機能のない場合など、遠隔操作を行う者がシステム管理者権限を取得してしまう場合がある。こうした場合、ログファイルが消去・改ざんされる可能性はあるが、ソフトイーサによれば、プロバイダーやサーバー側に保存されているログまで含めてすべて改ざんし、矛盾のない状況をねつ造することは極めて困難だと説明。ログファイルがねつ造された痕跡を消去することはほぼ不可能だとしている。

パケットログの例

プロセス起動・終了ログの例（「iesys.exe」というファイル名のプロセスの動作を捕捉している様子）

　ソフトイーサでは、ユーザーが万一、遠隔操作ウイルスに感染し、犯罪の踏み台になった場合に、ウイルスの通信記録や起動記録がすべてログに残るため、自身の無実を証明する際の有力な証拠になるほか、真犯人を追跡するための重要な証拠としても利用できるとしている。

　なお、パケット警察 for Windowsは、“キーロガー”のようにキーボードやマウスのログは記録しない。また、保存されたログファイルをソフトイーサや警察に送信・提供する機能もないとしている。ただし、PCが押収された場合や紛失した場合などに備えてプライバシー保護を行いたい場合には、ハードディスクの暗号化ソフトなどとの併用を検討するよう求めている。