遠隔操作ウイルス、犯人素人説も～ラックの西本氏が主催して私的勉強会

　西本逸郎氏（株式会社ラック専務理事／セキュリティ事業本部セキュリティ技術統括）の主催による私的勉強会「プライベート セキュリティ時事ワークショップ～遠隔操作事件～」が28日、東京都内で開催された。いわゆる“遠隔操作ウイルス”の手口や技術的特徴、対策や課題などについて参加者が情報・意見交換し、同様の犯罪・被害の再発抑止や社会的な啓発につなげるのが狙いだ。日曜日の開催だったにもかかわらず、セキュリティ業界／IT業界関係者をはじめ、メディアなども含めて約120人が集まった。

　なお、今回の勉強会はあくまでも西本氏がプライベートな時間を使って私的に開催したもので、西本氏が語った見解は、ラックの会社としてのものではないとしている。

西本逸郎氏（株式会社ラック専務理事／セキュリティ事業本部セキュリティ技術統括）

　ワークショップはまず、遠隔操作ウイルスについて明らかになっている概要を西本氏が説明した後、中津留勇氏（株式会社ラック・サイバーセキュリティ研究所）が２ちゃんねるなどを悪用して配布されていた遠隔操作ウイルス（Iesys.exe）について、入手した検体の解析結果を解説。同ウイルスを実行したPCの挙動や、実際に遠隔操作するデモも行ってみせた。続いてワークショップの参加者数名から、遠隔操作ウイルスでの誤認逮捕から感じたセキュリティ調査手法上の問題点や、遠隔操作ウイルス以外にも脆弱な無線LANネットワークを悪用してなりすまし犯罪が行われる危険性を指摘するプレゼンテーションなどが行われた。

　その後、西本氏がIesys.exeから感じた疑問点などのテーマを提示し、参加者を交えての議論に移行。感染範囲や、犯人が事前に行っていたはずのデバッグの方法などについて、考察・意見が交換された。なお、遠隔操作ウイルスへの指令を出したり、遠隔操作ウイルスからの情報を受け取るC&C（コマンド＆コントロール）サーバーとして悪用されていた「したらば掲示板」の書き込み内容を追跡することで、感染数などの状況が分かるのではないかとの指摘もあったが、ワークショップの参加者で同掲示板の調査結果を持ち寄った人はいなかった。

●コードの特徴から犯人像を絞り込む“デジタルプロファイリング”は困難か

　犯人像についても話題となった。西本氏は以前、自身もメンバーに名を連ねる特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）が17日に開催した説明会の中で、Iesys.exeのコードの特徴などから犯人像を絞り込む“デジタルプロファイリング”という方法を提案。そうして割り出した犯人像を公表して、２ちゃんねらーなどネットの住人から広く情報を求める“デジタル指名手配”というアイデアについて、制度面の課題はあるが、技術面でIT業界が貢献できるのではないかと述べていた。

　今回のワークショップで西本氏は、これまでに解析されているIesys.exeの特徴から、日本人によってC#で一から作成されたプログラムであり、既存ウイルスの亜種ではないこと、自身を感染させる仕組みがない点や難読化が行われていない点、自身を隠匿する技術が用いられていない点などから、ウイルスの作成については素人である普通のプログラマーが作成したとみられること、Iesys.exeを投入する前段階で横浜市のホームページのメールフォームから行なわれたなりすまし犯行予告でCSRFの脆弱性を使っている点から、ウェブ系プログラマーとしては最低限の知識は持っていること――といった項目を整理。そのほかにIesys.exeのコードから見えてくる犯人像についての考察を参加者から求めた。

　しかし今回の場合、分析対象となるコードが少ないことなどが指摘された。Iesys.exeでは、プログラミングに関する日本語情報サイトで紹介されているサンプルコードを、そのままコピー＆ペーストして使っている部分があることが判明している。しかもこのサイトは、プログラマーがC#のプログラミングで何か分からないことがあって検索した際に常に上位にヒットするような、よく参照されているサイトのため、同じサンプルコードを流用しているプログラムは数多く存在することが考えられるという。一方、そうした流用部分を除いた作者ならではの記述から変数の命名規則などの特徴を導き出すことは考えられるが、それだけを元に、他に出回っているプログラムとの類似性を検証するのは難しいらしい。

　また、C&C掲示板への情報送信の際に文字列を暗号化するコード部分もサンプルコードのコピー＆ペーストだったとしており、その部分に「saltは必ず8バイト以上」という記述が残っていたことが着目されている。プログラム開発者に対してそこに任意のsalt文字列を入れるよう意図している説明文だが、Iesys.exeではコピー＆ペーストしたままになっていたため、Iesys.exeの作者は暗号化におけるsaltの意味を理解していない素人だろうとの見解もあった。

　議論ではこのほか、なりすましをされた被害者の責任の有無（自分のクルマを盗まれて犯罪に使われた場合の責任との比較）、CSRFが悪用された場合のウェブサイト運営者側の責任・対応、CSRFに対するユーザーの対策およびセキュリティベンダー側が取り得る対策の有無、今後の模倣犯への技術的な対策は可能なのか、さらにはウイルス対策というセキュリティ面だけではない社会全体としての対応などについても、西本氏から問いかけがあったが、こうした課題について積極的な意見交換や提案が行われるまでには至らなかった。西本氏は今後、さまざまなテーマについて必要に応じて今回のようなワークショップを開催して情報交換していきたいとした。

●「Visual Studio 2010」で作成→プロの犯行説報道に、西本氏が“釈明”

　なお、西本氏は今回のワークショップを開催するきっかけとして、18日付の一部報道の存在があることを冒頭に説明している。これは、遠隔操作ウイルスがプロの開発者によって作成されたものではないかとの見方を紹介した記事のこと。西本氏への取材に基づき、遠隔操作ウイルスが「Visual Studio 2010」を使って作成されたことを説明した上で、同ツールが数万円～数十万円以上する専門的なツールであるとして、素人が購入することは考えにくいと伝えていた。その結果、西本氏あるいは同氏が所属するラックの見識を疑う反応が当初ネットで起こり、話題になった。今回のワークショップで指摘されているような“素人説”とは全く反対の印象も受ける。

　西本氏によると、同記事の取材は、17日に開催したJNSAの説明会の翌日に電話取材で受けたもの。回答内容はおおむね以下の通りだったとしている。

　「確認できたウイルスを弊社研究所で調査したところ、『Visual Studio 2010』が使われた可能性があることが分かった。ただし、有償版か無償版か、具体的な種類、誰にライセンスされているものかなどは、今のところ判別できない。有償版でも海賊版も多く出回っている。Visual Studioはウイルスを作成するための道具ではなく、Windows上で動作するプログラム開発で幅広く使用されている。高価な有償版は、（ウイルスを作成する人が購入するのではなく）プログラム開発を生業としている会社などプロはよく使用している。個人でも勉強や趣味のために使用している人は多いが、素人の人がいきなり高価な有償版を購入するとは考えにくいのではないか。今回のウイルスは、日常的にプログラムを作成している人が開発している可能性は高いと思う。」

　取材当事者の一方の発言だけからはなんとも判断できないが、仮に西本氏の説明が事実だとすれば、前述の一部報道は間違いとは言い切れないものの、抜粋した個所があまりにも断片的だったために、同ツールのベンダーに別途取材したと思われる価格の情報も相まって、妙な印象を与える結果になってしまったと言えそうだ。西本氏はこれまでもメディアから多くの取材を受けてきた経験から、ある意味、こうしたリスクは十分に認識しており、この記事に関して非難するつもりはないという。しかし、こうした記事に対して訂正記事が出されることはないため、今回のワークショップで“釈明”したかたちだ。

　一方で西本氏は、今回の一連の遠隔操作ウイルス事件の結果、IT技術者の社会的な信用低下につながる懸念を示した。冗談混じりではあるが、Visual Studioを使うIT技術者があたかもウイルスを作成する人であるかのような目で見られるようになったとすれば、その責任の一端は自身にもあるとし、そのようなことは食い止めなければならないと訴えた。