“遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感?


 不正プログラムを仕掛けた他人のPCを使って犯行予告の書き込みなどが行われた一連の事件が明るみになってきたことを受け、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が17日、報道関係者向けの緊急説明会を開催した。その手口や、使われた不正プログラムの特徴などを説明するとともに、社会的に取り組むべき施策の方向性も提言した。

 PCの持ち主の気付かぬうちに遠隔操作され、なりすまし犯罪が実行されたとみられる事例が複数判明してきたことから、“遠隔操作ウイルス”“なりすましウイルス”などと呼ばれて連日報道されているが、JNSAによれば、従来より使われているバックドア型不正プログラムのたぐいであり、手口として目新しいわけではないという。しかし今回の一連の事件では、身に覚えのない罪を着せられ、逮捕・起訴までされた被害者が実際に現れていることから、個人における情報セキュリティ対策のあり方やネット犯罪捜査のやり方に課題を投げかける結果になったという。

 説明会に参加したのは、JNSAのメンバーである二木真明氏(アルテア・セキュリティ・コンサルティング)、西本逸郎氏(株式会社ラック)、下村正洋氏(株式会社ディアイティ)、勝見勉氏(株式会社情報経済研究所)、小屋晋吾氏(トレンドマイクロ株式会社)、米澤一樹氏(株式会社シマンテック)。

 説明会では、二木氏がまず事件の概要や手口、課題などを一通り説明し、これに対してメンバー各人が考察結果や見解を補足した。

アルテア・セキュリティ・コンサルティングの二木真明氏

“遠隔操作ウイルス”は犯人の手製

 一連の事件で使われた不正プログラムは、「IEsys.exe」という実行ファイルで、なりすましの被害者は、2ちゃんねるのあるスレッド上に掲載されたリンクから無償ソフトをダウンロードしたことで感染したとみられている。

 これに感染すると、外部からさまざまな遠隔操作が可能になるが、犯人とIEsys.exeとのコマンドのやり取りを、ある掲示板のスレッドを経由して行っていたのが特徴だという。

 このような方法をとったのは、C&C(コマンド&コントロール)サーバーを自前で設置する必要がない分、証拠が残りにくいからとみている。犯人が掲示板にアクセスする時だけ慎重に行えば、アクセス元の犯人まで追跡される心配がないというのだ。実際に、コマンド用掲示板へのアクセスには、多数のノードを経由することで接続経路を匿名化するP2Pツールを利用し、通信経路を隠ぺいしているという。

 一方で、不正プログラム自体は、存在を隠ぺいしようという意図が感じられず、ルートキットなどは用いられておらず、コードの難読化も行われていなかったとしている。

 さらにIEsys.exeの特徴として、開発にはC#や.NET Frameworkが使われており、犯人の“手製”のプログラムだったとされる点も挙げた。小屋氏によると、一般的なウイルスは、こうした不正プログラムを作成するためのツールキットを用いて、既製のコンポーネントや感染ルーチンなどを組み合わせて作成されるのが主流だという。しかし、IEsys.exeはそうしたツールキットを使わず、作成者が一からプログラムしたとみられる。TBSなどに届いた犯行声明メールでも本人が自作したと述べているという。

手製ウイルスは、セキュリティソフトでの初期検出が困難?

 二木氏は、今回の事件が提起する情報セキュリティ上の課題として、以下の4項目を挙げた。


  1. 気付かれないマルウェア大量感染の危険性

  2. 事後解析と立証の難しさ

  3. コンシューマー向け対策の難しさ

  4. 社会全体としての取り組みの必要性


 まず、「気付かれないマルウェア大量感染の危険性」については、IEsys.exeのような手製のマルウェアに対して、特に拡散の初期段階においては、ウイルス対策ソフトは無力だと指摘する。

 ウイルス対策ベンダーがIEsys.exeの検出に対応したのは10月に入ってからで、なりすまし被害者のPCに感染してから数カ月は対応していなかったことになる。小屋氏によると、既製ツールキットで作成されたものであれば、組み込まれている既存のコンポーネントなどで検出できた可能性があるというが、この手製ウイルスは、“えん罪”の可能性が浮上して調査がなされたことで存在が判明、ようやく対応できたかたちだ。

 さらに二木氏は、今回のIEsys.exeの感染者は比較的少ないとしながらも、検出されない状況の中でマルウェアが目立った行動をせず静かに拡散すれば、PCの利用者は気付きにくく、知らない間に数万台規模に感染が拡大することもありうると指摘する。その後、実際に踏み台にするのは数台のPCで事足りるため、他の感染PCに潜り込ませたマルウェアを別のものに入れ換えておけば、たとえ犯行に使った数台のPCからマルウェアが捕捉されても、残りの感染PCが温存されたままとなり、別の目的で使用される恐れがある。根絶は難しくなるという。

痕跡が残っていなければ無実の立証は困難

 次に「事後解析と立証の難しさ」は、コンピューターフォレンジックの限界などを指摘したものだ。不正プログラムで遠隔操作した痕跡を消す手法は確立しているといい、それは犯罪者にも知られているため、犯行後に完全に痕跡を消されてしまえば、証拠が得られない可能性もあるという。「今回はたまたま痕跡が残っていたが、犯人が痕跡を完全に消していたら、釈放された人たちが犯人とされていたかもしれず、無実の立証はさらに難しくなる」(二木氏)。

 仮に企業であれば専門企業に解析してもらうなどの方法が考えられるが、今回は個人が狙われており、相談する窓口がないことも問題という。また、今回は警察が動ける事件だったが、単純な中傷の書き込みやストーカー行為など、事件性がなく、警察が対応できないような事例であれば、なりすまされても泣き寝入りするしかない可能性もあるとした。

 なお、三重県警が担当した事件でIEsys.exeが発見されたのは、「警察の反応を見るために、犯人がわざと消さなかったのではないか」(西本氏)ととらえる見解もあった。

セキュリティ対策をしない/できないコンシューマーの存在

 「コンシューマー向け対策の難しさ」としては、個人ユーザーの「危機感のなさ」を指摘する。これは、ボット感染PCの持ち主への通知活動などを通じてすでにわかっていた問題であり、マルウェアに感染していることを伝えても、いつまでたっても対応しない/対応できないということが実際に起きていたという。

 同時に、ユーザーがセキュリティ面で何か不審な点を感じても、相談する窓口がないことも指摘した。一般的なPCのトラブル相談窓口では、こうしたセキュリティのスキルを持った人がおらず、対応は困難ではないかという。

 企業におけるセキュリティ対策と異なり、コンシューマー向けではビジネス化のしにくさもある。ユーザーにとってウイルス対策ベンダーに年間数千円払うのが「高い」という感覚もあり、「儲からないから企業はあまり積極的にやらない。OSベンダー、PCメーカー頼みになっている」のが現状だとした。

 なお、二木氏は、今回のIEsys.exeは初期の段階で検出はできなかったものの、「ウイルス対策ソフトの導入と最新版の利用は無意味ではない」と補足する。最初は検出できなかったとしても、拡散する段階で検出できるようになり、ロジック変更により対応することもある。「ウイルス対策ソフトは必ず入れておいていただきたい」と訴えた。

ビジネスになりにくい、個人向けの情報セキュリティ対策

 最後の「社会全体で取り組む必要性」については、情報セキュリティを担っているのは民間企業であるため、前述のようにビジネスになりにくい面もあることから、受益者負担という形ではなく、社会基盤の安全という視点で国・自治体などの公共施策として予算措置が必要だと、二木氏は説く。コンシューマー向け相談窓口を拡充し、そこに専門家を配置できるような仕組みも必要となる。

 また、OSベンダーとセキュリティベンダーにおいても、利用者保護にさらに踏み込んでほしいと呼び掛ける。ソフトに利用履歴の保全機能を組み込み、改ざんできないようにすることで無実の証明にもなるとし、こうした取り組みへの公的補助や支援の拡充が必要だとした。

株式会社ディアイティの下村正洋氏(左)、株式会社情報経済研究所の勝見勉氏(右)

遠隔操作ウイルスに感染したのは、ユーザーの不注意なのか

 説明会に参加した専門家らは、今回の事件で使われていたのはバックドア型不正プログラムであり、手口そのものは普通だとみる一方で、PCへの侵入経路が脆弱性を突いたものではなく、ユーザーにアプリケーションソフトの実行ファイルを実行させる方法だったことに注目する発言がいくつかあった。

 米澤氏は、出所不詳の実行ファイルを実行するということは、「セキュリティ関係者ではありえないと思うが、世の中には普及していない。一連の流れから感じる」と述べた。

 西本氏も「専門家からすると、不審なものをダウンロードして実行するのはおかしい」とコメント。これに対して二木氏は「不審だと思わないのではないか」と回答し、実行ファイルを実行させるのにアイコンや拡張子を偽装する古典的な方法がいまだにいちばん効率がいいという話も聞くとして、セキュリティ専門家とコンシューマーとのギャップを指摘した。

 ところで、IEsys.exeは、パターンファイル以外の方法で検知することはできなかったのだろうか? この疑問に対して米澤氏は、検体を入手した後に後追いで確認した結果ではあるが、シマンテック製品のふるまい検知では検出できたとしている。

 ただし、IEsys.exeは、アプリケーションソフトとしてユーザー自身がインストールするよう仕向けられていた点が厄介だ。リモートアクセスソフトなど正規の目的で使用しているソフトなのか、それとも不正プログラムなのか、その使い方に悪意があるかどうかウイルス対策ソフトが判断するのは難しいのではないかとの見解もあった。

IPアドレスだけでの容疑者特定に警鐘、デジタルプロファイリングも

 いずれにせよ、IEsys.exeをインストールしてしまった被害者は、セキュリティ専門家の常識からすれば確かに注意が足りなかったかもしれないが、現実問題として一般ユーザーにはそこまでの意識が浸透しているとは言いがたい。実際、同様のことは、アドレス帳情報などを裏で収集するAndroidアプリが今年春ごろから複数確認され、けして少なくないユーザーがこれをインストールして被害に遭っている状況にも顕著に表れている。

 しかし、そうして自ら不正プログラムをインストールしてしまったからといって、当然ながら誤認逮捕が許されるわけではない。報道などによると、今回の事件で逮捕の証拠となったのは犯行予告の書き込み元IPアドレスだった模様だが、容疑者の特定をIPアドレスだけで行うことに警鐘が鳴らされたかたちだ。

 西本氏によると、IPアドレスとは、自動車事故に例えるなら、事故を起こした車両を特定するための情報であり、その車両の所有者が運転していたとは限らない。事故を起こしたのが誰かを突き止めるには、車両に残された指紋を調査するなどして、その時に実際に運転していた人を突き止める必要がある。

 それがコンピューターフォレンジックというわけだが、前述のように限界があるほか、「1台のPCをフォレンジックするのに、最低3日、下手すれば10日かかる」(西本氏)。こうした調査を個々の事件で行うのは難しいという。また、フォレンジックを行う担当者の技術しだいという面もあり、警察でもトレーニングを進めているとはいえ、全国規模でやるのは難しいのではないかと指摘する。

 一方で、不正プログラムにコマンドを出すために使われていた掲示板へのアクセス経路は匿名化されていたため、ここから犯人にたどり着くことは、まず難しいという。

 そこで西本氏は捜査当局に対して、デジタル上のプロファイリングをすることで犯人を絞り込んでいく方法があるのではないかと提案する。

 今回の事件では、実際にIEsys.exeという犯人手製のプログラムがある。例えば、プログラムのくせや、それぞれの会社流のコーディング方法、文言の使い方、あるいは掲示板上での行動などから犯人像を絞り込める可能性があると説明。こうした手法に対してはIT業界も貢献できると訴えた。

 なお、西本氏は推測・憶測の域を出ないとしながらも、IEsys.exeの作成者について、プログラマーとしてこなれており、細かいプログラムを開発する経験を重ねてきた人物とみている。プログラムにテキストエディターが組み込まれていた点に着目。かつてプログラマーが“練習問題”としてテキストエディターをよく開発していたような年代だとみて、年齢は40歳以上ではないかという。西本氏によれば、今の若い世代のプログラマーは、コンポーネントを組み合わせることで簡単にプログラムを開発できる環境にあるため、一からプログラムを作るようなイメージではないという。

トレンドマイクロ株式会社の小屋晋吾氏(左)、株式会社シマンテックの米澤一樹氏(右)

標的型攻撃と仕組みは同じ、企業にとって対岸の火事ではない

 今回の事件では個人のPCが狙われたわけだが、「標的型攻撃と仕組みは全く同じ。企業にとって対岸の火事ではない。逆に、企業内から(なりすまし行為が)行われるとインパクトも大きい」(二木氏)と警鐘を鳴らす。例えば、上場企業の社内PCから掲示板などに他社を誹謗中傷する書き込みがなされたとなれば信用問題にかかわり、場合によっては株価操作のために悪用される恐れもある。

 大企業や国家が狙われる標的型攻撃の不安が高まる昨今の状況の中、普通の企業の中には、狙われるような情報資産は持っていないとして、適切な情報セキュリティ対策をとっていないところもまだ多いという。しかし、企業における従来の情報セキュリティ対策が自社の情報資産を守る目的で行うものだったのに対して、「遠隔操作ウイルス事件は、自社が踏み台になって他社に何か危害を与えてしまう事態が現実に起こりうることを示した。今回の事件にヒントを得て、企業を陥れる行為も考えられる」(下村氏)。中小の企業でも早急に情報セキュリティ対策にきちんと取り組む必要性を強調した。

 遠隔操作ウイルス事件は、明るみに出ていた事件のほか、企業内のPCに感染し、そこからネットへの書き込みを行った事例もあったことがわかったと報じられている。西本氏は、そもそも大手企業ならば社内からネットの掲示板に書き込めないようウェブフィルタリングをかけているため、企業がこうした普通の対策をしていたならば、社内の感染PCからなりすましで犯行予告が書き込まれる段階までは行かなかったと指摘する。

 また、個人のPCであっても、仮に遠隔操作ウイルスの被害者の中に企業の社長などがいたとすれば、犯行声明の踏み台に使われるだけでなく、機密情報の窃取など別の展開になっていた可能性もある。「企業の幹部は、個人としての行動もよほど注意しないといけない」(西本氏)とした。

遠隔操作ウイルス事件を受け、JNSAが提言

 JNSAでは説明会の最後、以下のように3つの提言を発表した。


  1. 出所不詳のソフトやアプリをダウンロードしない!
    おいしい話には罠がある。

  2. ウイルス対策ソフトを入れて、最新に保ちましょう!
    使っていると勘違いしている人は意外に多い。

  3. 企業は他人事ではないので改めて見直しましょう。
    社内のパソコン、役員など個人のパソコン。

提言を掲げる株式会社ラックの西本逸郎氏




関連情報


(永沢 茂)

2012/10/18 18:00