<PC遠隔操作>クリック直後襲撃予告 通販犯罪と同様手口

毎日新聞 10月20日



 ウイルス感染したパソコン(PC)などから犯罪予告が書き込まれた事件で、神奈川県警に逮捕された男性(19)がインターネット掲示板のURL(アドレス)をクリックしてわずか数秒後、横浜市ホームページ(HP)に小学校襲撃予告が書き込まれていたことが県警の調べで分かった。同様の手口は業界では以前から知られており、ネット犯罪捜査の見直しを迫られている警察当局は新たな対策の確立が求められる。【宗岡敬介、山下俊輔、山田麻未】
 県警によると、男性のPCデータなどの解析の結果、男性がネット掲示板「2ちゃんねる」にあったURLをクリックした時刻と、市HPの投稿欄に予告が書き込まれた時刻との差は、わずか数秒だったことが分かった。

 URLは「小ネタですが」などとした表題の下にあり、クリックを誘導する形。クリックすると米国など海外の複数国のサーバーを経由し再び男性のPCに戻る仕組みだった。その後、市HPに予告が書き込まれた。

 県警は、市のサーバーの記録などを調べて男性のPCのIPアドレス(端末の識別番号)にたどりつき、男性を逮捕していた。

 犯行声明では、この手口をクロスサイト・リクエスト・フォージェリ(CSRF)と記載。専門家らによるとCSRFは以前からあるネット上の攻撃の一つで、ネット通販サイトをクリックしただけで、知らぬ間に買い物をしたことにされるなどの犯罪に利用されているという。

 また、真犯人が2ちゃんねるにURLを掲載した際には、発信元が特定されないようにする匿名化ソフト「Tor」が使われ、海外サーバーを経由して書き込まれていたことも県警の解析で分かった。

 一方、県警はこの男性について誤認逮捕だったと判断し、20日午後に男性や家族に謝罪することを決めた。横浜地検も近く家裁に保護観察処分の取り消しを求めるとみられる。

 県警は取り調べが適切だったかどうか捜査員らから聞き取りを進め、地検も取り調べの経緯を検証している。

 ◇福岡は大阪、三重と同じ手口で感染

 この事件で、福岡市の男性は、大阪、三重の男性2人と同じ手口でウイルスに感染したことが判明した。「2ちゃんねる」の書き込みから誘導され、無料ソフトをダウンロードして感染したとみられ、横浜の事件の男性とは別の手口だった。

 捜査関係者によると、福岡の男性は8月26日、掲示板に記されたアドレスをクリックしてソフトをダウンロード。翌27日に男性のPCから幼稚園などに4通の脅迫メールが送信されていた。男性は「2日後に見るとなくなっていた」と話し、ウイルスを仕掛けた人物が痕跡を消すために削除したとみられる。

 
<PC遠隔操作>ネット犯罪捜査 迫られる見直し

毎日新聞 10月19日

PC遠隔操作の構図


 遠隔操作されたパソコン(PC)からの犯罪予告を巡って誤認逮捕とみられるケースが相次いだことから、警察当局は、インターネットに絡む犯罪捜査の見直しを迫られている。IPアドレスによる発信元PCの特定では犯人にたどりつけない手口が明らかになったからだ。海外サーバーを経由した通信や未知のウイルスへの対応など困難な問題をはらんでいるだけに、警察当局の危機感は強い。
 警察庁の片桐裕長官は19日の全国警察本部長会議で「容疑者の特定を慎重に行わなければならない」と述べ、過去のネット上の犯罪予告事件についての調査・検証の徹底を指示した。

 これまでの捜査は、PCに割り当てられた住所に当たる「IPアドレス」から発信元のPCを特定することに重点が置かれてきた。PCから予告文や送信の形跡が確認されることが、容疑者割り出しの決め手とされてきた。

 しかし、この手法だけでは、海外サーバーなどを利用した遠隔操作による「成り済まし」には対抗できないことが、警視庁、大阪府警、三重・神奈川の両県警で相次いだ問題で示された。捜査関係者は「想定していなかった手口だ」と対応の遅れを認める。

 警視庁と神奈川県警は2人の男性を逮捕する前に、PCのウイルス検査を実施していなかった。ウイルス検査が検討課題として浮上しているが、全事件での実施は困難との見方が強い。

 証拠品となるPCに検査用のソフトを導入することはできないため、保存されているデータをコピーする必要がある。捜査に与えられる時間や設備には制約があり、すべての事件で検査を実施するのは容易でないのが実情だ。

 また検査で検知できるのは、すでに認知されているウイルスで、未知のウイルスには効果がない。ウイルスを自動消去するプログラムへの対応も困難だ。

 警察幹部は「ウイルス検査が欠かせないケースもあるが、すべての事件への適用が妥当かは慎重に検討すべきだ。単純な対策ひとつを打ち出すだけでは解決できないことに、問題の難しさがある」と話している。


 
有識者交えた協議会設置=捜査手法見直し検討へ―PC遠隔操作事件・警視庁

時事通信 10月19日



 遠隔操作ウイルスに感染したパソコンから犯罪予告が書き込まれた事件を受け、警視庁は19日、インターネット犯罪に詳しい有識者や情報セキュリティー企業などをメンバーとする協議会を設置した。23日に1回目の会議を開き、ウイルスの現状などについて情報共有を進めるとともに、捜査手法の見直しなどを検討するという。
 同庁刑事総務課によると、協議会にはネット犯罪に詳しい大学教授や情報セキュリティー企業数社が参加する。同課は「遠隔操作ウイルスが発覚し、今後もこうした事件が増えることが予想されるので、対応を考えたい」としている。 
.
 

「なりすましウイルス」被害者の明大生に退学説 ネット上では「かわいそうだ」の大合唱

J-CASTニュース 10月19日



 遠隔操作ウイルスでなりすましの犯行予告が行われた事件で、「明治大学2年の19歳の男子学生」と報じられていたえん罪の被害者が「大学を辞めていた」説が浮上した。

 インターネット上では学生に同情する声、警察を責める声の大合唱が起こっている。ところが大学側は、この事件について「何もわかっていない」というのだ。

■「人生狂わされたな」「警察はごめんで済まないだろ」

 明大生の逮捕が報じられたのは2012年7月だ。神奈川県横浜市のサイトに、小学校を襲撃して皆殺しにするなどと自宅のパソコンから書き込んだとされたが、報道当時、学生は神奈川県警の取り調べに対し「やっていません」と否認していた。

 しかしこの犯行予告は、10月10日に真犯人とみられる人物からTBSに送りつけられたメールによって、「遠隔操作ウイルス」によるなりすましであることがわかった。学生は逮捕後に「楽しそうな小学生を見て、困らせてやろうと思った」と供述を一転させており、保護観察処分になったと報じられている。

 そして10月17日、日本テレビ系のNNNが「神奈川県警が改めて事情聴取した」と報じたのだが、この中で学生を「元大学生」と表記していた。

 「元大学生」と報じられているのを知った人は「学生は逮捕がきっかけで大学を辞める羽目になったのでは」と推測し、インターネット上で「かわいそすぎる」「これは可哀想 なんとかならないの」と同情する声、「悲惨すぎるな ポリ公に人生狂わされたじゃん…」「どうやって落とし前をつけるの?警察は ごめんで済まないだろ」と警察を責める声が上がった。また、「こういうのって、復学できないの?」と学生の復学を望む声などもあった。

■明大「本学の学生かどうかもわからない」

 学生が誤認逮捕のために大学を辞めざるを得なかった、もしくは退学処分などを受けてしまったのだとしたら、かなりかわいそうに思える。明治大学に「元大学生」という報道について問い合わせてみた。

 しかし大学側からは「この事件で誤認逮捕されたのが明大生かどうかもまだわかっていない」という意外な答えが返ってきた。

 大学は7月の「明大生逮捕」の報道を受けて警察に出向いたが、学生が未成年ということで全く情報を提供されなかったという。今も確認はできておらず、調査中という状況らしい。「明大生」から「元大学生」という報道になったことについては、「マスコミがどこから情報を得たのかわからない」と困惑している様子だった。

 10月19日現在、日本テレビのニュースサイトに掲載されているこの事件についての記事では、「元大学生」ではなく「19歳の少年」と表記されている。「元大学生」は間違っていたのか。日本テレビに問い合わせたが、担当者がいないとのことで確認できなかった。
.
 
なりすましウイルス 「真犯人と捜査機関に強い憤り」アニメ演出家

産経新聞 10月19日



 遠隔操作ウイルスに感染したパソコン(PC)から犯行予告・脅迫のメールの書き込みが繰り返されていた事件で、大阪地検は19日、殺人予告の書き込みをしたとして大阪府警に逮捕されたアニメ演出家、北村真咲(まさき)さん(43)=同=について、起訴の取り消しを請求。府警は誤認逮捕だったと認め、謝罪する方針を発表した。

 北村さんの弁護人は「北村さんは真犯人に大きな憤りを感じている。逮捕前から捜査に協力していたのに逮捕され、言い分を聞かれることなく連日取り調べを受けた。冤罪を誘発しかねない事態で、捜査機関には強い憤りを覚えている」とコメントした。
 
なりすましウイルス アニメ演出家の公訴棄却を決定 三重県警謝罪

産経新聞 10月19日



 遠隔操作ウイルスに感染したパソコンから犯行予告・脅迫のメールの書き込みが繰り返されていた事件で、大阪地裁は19日、殺人予告の書き込みをしたとして偽計業務妨害罪で起訴された大阪のアニメ演出家、北村真咲(まさき)さん(43)=釈放=について、公訴棄却を決定した。

 北村さんをめぐっては、大阪地検が同日、起訴を取り消していた。北村さんを逮捕した大阪府警は、誤認逮捕だったと認め、謝罪する方針。

 また、三重県警伊勢署の栃木新一署長も同日、伊勢神宮の破壊予告事件で逮捕した男性(28)=釈放=の自宅を訪れ、誤認逮捕だったことを認めて「多大なご迷惑をおかけし、おわび申し上げます」と謝罪した。

 
なりすましウイルス 三重県警、誤認逮捕を謝罪 大阪地検は起訴取り消し

産経新聞 10月19日



 遠隔操作ウイルスに感染したパソコン(PC)から犯行予告・脅迫のメールの書き込みが繰り返されていた事件で、三重県警伊勢署の栃木新一署長が19日朝、伊勢神宮の破壊予告事件で逮捕した男性(28)=釈放=の自宅を訪れ、誤認逮捕だったことを認めて「多大なご迷惑をおかけし、おわび申し上げます」と謝罪した。

 また、大阪地検は同日、殺人予告の書き込みをしたとして大阪府警に逮捕されたアニメ演出家、北村真咲(まさき)さん(43)=同=について、起訴を取り消した。府警は誤認逮捕だったと認め、謝罪する方針を発表した。

 伊勢署の栃木署長は、午前7時ごろ、男性宅を訪問。謝罪を受けた男性は、「逮捕されたことはショックだが、真犯人を逮捕してください」と話したという。

 一方、北村さんの起訴取り消しについては今後、大阪地裁が最終的に公訴棄却を決定する。

 北村さんの弁護人は「北村さんは真犯人に大きな憤りを感じている。逮捕前から捜査に協力していたのに逮捕され、言い分を聞かれることなく連日取り調べを受けた。冤罪(えんざい)を誘発しかねない事態で、捜査機関には強い憤りを覚えている」とコメントした。

 
“なりすまし”犯行声明メールは米国を経由

テレビ朝日系(ANN) 10月19日


 遠隔操作ウイルスによる犯行予告事件で、東京の弁護士に送られた犯行声明メールはアメリカを経由して送信されていたことが分かりました。

 真犯人を名乗るメールは、9日に東京都内の弁護士に、翌日の10日にはTBSに送られていました。TBSへのメールはヨーロッパのサーバーを経由して送信されたことが分かっていますが、捜査関係者への取材で、弁護士へのメールはアメリカを経由していたことが新たに分かりました。また、TBSへのメールについては、送信元を隠す暗号化ソフトが使われた形跡があったということです。警視庁は、真犯人が海外の複数の国のサーバーを経由させるなど送信元を隠すための工作をしていたとみて調べています。.

 
パッケージがVシネっぽい 警察庁のセキュリティ対策ビデオが話題に

ねとらぼ 10月19日


 遠隔操作ウイルスに感染したPCから犯罪予告が送られた事件が世間を騒がせる一方、ネットでは警察庁の情報セキュリティ対策ビデオがにわかに注目を集めている。なぜならパッケージがVシネマっぽいから!

 タイトルは「見えない悪意」「ココロノスキマ」「仕掛けられた罠」「危険なアクセス」などサスペンスっぽい雰囲気。ネット民からは「ツタヤでレンタルしてそう」「サイト間違えたかと思った」といった声が挙がっていた。そのほか「AVのパッケージっぽい」との声も……こらこら!

 警察庁のサイバー犯罪対策に関するページで8本公開されており、無料でダウンロードできる。萬田久子さん、安田美沙子さんなど出演者が割と豪華なところにも注目だ。
.
 
なりすましウイルス 「真犯人」特定へ合同捜査本部 4都道府県警

産経新聞 10月19日


 遠隔操作ウイルスに感染したパソコン(PC)から犯行予告・脅迫のメールの書き込みが繰り返されていた事件で、誤認逮捕をした可能性が高い警視庁、神奈川、大阪、三重の4都府県警は19日、警視庁麹町署に合同捜査本部を設置し、初の会議を開いた。4都府県警は連携して、TBSやテレビコメンテーターとして知られる落合洋司弁護士(48)に届いた犯行声明メールを解析し、「真犯人」の特定を進める。

 また、お茶の水女子大付属幼稚園や女性タレントに襲撃予告・脅迫メールを送ったとして威力業務妨害容疑などで逮捕され、その後釈放された福岡市の無職男性(28)のパソコンを警視庁が解析した結果、遠隔操作ウイルスを復元できなかったことが判明。警視庁は真犯人が消去したとみており、同日中にも男性から再度事情を聴いて感染経路を調べるとともに、捜査の経緯について説明する。

 男性は警視庁の任意の事情聴取で容疑を否認していたが、パソコンに女性タレントへの脅迫メールが残っていたことから容疑を認める上申書を提出。逮捕後、「同居女性がやったと思い、かばっただけだ」と否認したが、その後再び容疑を認めていた。

 一連の事件では、犯行声明に犯人しか知り得ない「秘密の暴露」が多数掲含まれ、警察当局は声明文通り13件の犯行予告・脅迫のメールや書き込みがあったことを確認。福岡市の男性ら4人を誤認逮捕していたことを事実上認め、4都府県警は事件の捜査過程の検証を進めている。

 
三重県警、誤認逮捕認め謝罪=大阪地検も起訴取り消し請求―PC遠隔操作ウイルス

時事通信 10月19日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件をめぐり、ネット掲示板に犯罪予告を書き込んだとして逮捕後に釈放された津市の無職男性(28)に対し、三重県警は19日、誤認逮捕を認め、謝罪した。
 一方、大阪地検も同日、大阪市のホームページに殺人予告が書き込まれた事件で、偽計業務妨害罪で起訴されたアニメ演出家北村真咲さん(43)が事件に無関係だったとして、起訴の取り消しを大阪地裁に請求した。これを受け、地裁が職権で公訴棄却を決定するとみられる。検察当局が誤りを認め、起訴を取り消すのは極めて異例。
 小平忠正国家公安委員長は同日の閣議後記者会見で「結果的に誤認逮捕という残念なことになった」と述べ、警視庁などに逮捕された他の3人についても、誤認逮捕と断定されれば、関係都府県警が謝罪するとの見通しを示した。 
.
 
なりすましウイルス アニメ演出家の起訴取り消しへ 大阪地検

産経新聞 10月19日


 遠隔操作ウイルスに感染したパソコン(PC)から犯行予告・脅迫のメールや書き込みが繰り返されていた事件で、偽計業務妨害罪で起訴された大阪府吹田市のアニメ演出家、北村真咲(まさき)さん(43)=釈放=について、大阪地検は18日、起訴を取り消す方針を固めた。関係者への取材で分かった。早ければ19日にも起訴を取り消す手続きに入る見通し。

 事件をめぐっては、TBSなどに「犯行声明」のメールが送られ、「秘密の暴露」が多数含まれていたとされる。一方、北村さんは任意聴取の段階から関与を否定していた。

 関係者によると、地検は、ウイルスに感染したPCを第三者が遠隔操作したとの見方を強め、北村さんが殺人予告などを書き込んだことは立証できないと判断。大阪高検ともすでに協議を済ませていたという。別人の犯行の可能性が高まったとして起訴を取り消すのは異例。

 北村さんの初公判は11月に大阪地裁で開かれることが決まっていた。起訴の取り消しは刑事訴訟法で規定され、1審判決が出るまでにできるが、地検は、早期に起訴を取り消して名誉回復を図るべきだとの結論に達したとみられる。

 北村さんは7月29日、大阪市のホームページにある相談窓口に「来週の日曜ヲタロードで大量殺人する」などとメールを送信。市職員や大阪府警の警察官の業務を妨害したとして8月26日に逮捕、9月14日に起訴された。

 ところが起訴後にPCがウイルスに感染していることが分かり、別人による犯行の疑いがあるとして、地検が同21日に釈放した。


ネット殺人予告:PC遠隔操作 少年、改めて否定 横浜市、セキュリティー強化 /神奈川

毎日新聞 10月19日


 ウイルスに感染したパソコンなどから犯罪予告が書き込まれた事件を巡り、横浜市ホームページ(HP)に小学校襲撃予告をしたとして県警が威力業務妨害容疑で逮捕した少年(19)について、警察庁長官が18日、誤認逮捕の可能性が高いと認めた。少年は身柄拘束後、保護観察処分を受けている。県警や横浜地検は捜査の検証を進めているが、少年は容疑を一旦認めており、取り調べの在り方も問われることになる。
.

 少年は17日、訪ねて来た県警捜査員に、事件への関与を否定したという。捜査関係者によると、逮捕直後は「何もやっていない」と容疑を否認し、横浜地検に「楽しそうな小学生を見て困らせてやろうと思った」と認めたとされる。対象の小学校を選んだ理由を「インターネットで検索して最初に出てきたから」などとも説明していたという。
 少年の付添人弁護士側は取材に「クライアント(少年)からの要望がない限り答えられない。少年事件であり守秘義務やクライアント保護を第一に考えている」としている。
 一方、東京の弁護士などに真犯人を名乗る人物から届いたメールは、遠隔操作ウイルスでなく、クロスサイト・リクエスト・フォージェリ(CSRF)を仕掛け、少年が掲示板のURL(アドレス)をクリックしたことにより犯罪予告が送られたと記載していた。
 横浜市などによると、CSRFはネット上の攻撃の一つで、仕掛けられたウェブサイトにアクセスした人のパソコンを通じ、攻撃側が意図した書き込みなどが自動的に送信される。ネット通販サイトで勝手に買い物をさせられるケースが一例だ。
 県警サイバー犯罪対策センターが少年のパソコンデータを解析したところ、横浜市のHPに襲撃予告が書き込まれる数秒前、少年はインターネット掲示板「2ちゃんねる」の「小ネタですが」という書き込みの下のURLをクリックしていたことが判明した。2ちゃんねるの書き込みは匿名化ソフトTorが使われ、海外のサーバーを経由していた。少年がクリックした後、米国のサーバーなどを経由して市HPに書き込まれたとみられる。
 襲撃予告は横浜市HPの投稿欄に書き込まれていた。市によると、書き込みは区役所区政推進課の職員8人にメールで送られ、警察などに届け出たが、第三者が内容を見ることはできないという。
 事件を受け横浜市は17日、ホームページのプログラムを修正し、セキュリティー対策を強化した。正しい手順での書き込み以外は受け付けないように変更したという。IT活用推進課によると、CSRF対策は通販サイトなどでは一般的だが投稿フォームへの攻撃は想定しておらず、「今回を機に全庁的なセキュリティー対策を行いたい」としている。【宗岡敬介、山田麻未、松倉佑輔、山下俊輔】
………………………………………………………………………………………………………
 ◇弁護士に犯人を名乗る人物から届いたメールの一部
.

 ●6/29
横浜市ウェブサイトでの、保土ケ谷区○○小学校へ無差別殺人予告事件です。
7月はじめに19歳明大生逮捕の報道がありました。
この件は話題のトロイではなく、単なるJavascriptのクロスサイトリクエストフォージェリを仕掛けただけです。
明大生は、掲示板に貼ったURLをたまたま踏んだだけです。
以下がその内容の全文です。(この事件の報道では断片しか発表されていません)
 ※○○はメールでは実名
 
ウイルス復元できず、犯人消去か=福岡の男性再聴取―PC遠隔操作・警視庁

時事通信 10月19日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、幼稚園に脅迫メールを送ったなどとして逮捕された福岡市の男性(28)=釈放=のパソコンを警視庁が解析した結果、ウイルスを復元できなかったことが19日、捜査関係者への取材で分かった。
 同庁捜査1課などは、遠隔操作に関与した犯人が消去したとみており、同日中にも男性から再度事情を聴いて感染経路を調べるとともに、誤認逮捕の疑いが強まったとして、捜査の経緯について説明する。
 警視庁は同日、同様に誤認逮捕の疑いがある大阪、三重、神奈川各府県警とともに合同捜査本部を設置。声明メールの解析などを急ぎ、犯人の特定を進める。 

 
警視庁、ウイルス検査せず…発信元特定で逮捕

読売新聞 10月19日



 インターネット上でなりすましの犯行予告が相次いで書き込まれた事件で、警視庁が今年9月、福岡市の無職男性(28)を逮捕する際、送信元のIPアドレスが一致することなどを理由に、パソコンのウイルス検査など必要な捜査をしていなかったことが同庁幹部への取材でわかった。

 遠隔操作型ウイルスの存在を想定していなかったためで、9月下旬に大阪、三重両府県警の事件でウイルス感染による遠隔操作の疑いが発覚して初めて実施したという。IPアドレスによる容疑者割り出しを重視してきたハイテク犯罪捜査の限界が浮き彫りになった形だ。同庁は釈放した男性から19日に再度、事情聴取し、誤認逮捕だったと確認されれば、男性に謝罪する。

 捜査関係者によると、8月27日夕、お茶の水女子大付属幼稚園に脅迫メールが届き、同庁捜査1課が送信元を調べて、IPアドレスから男性のパソコンを割り出した。当初、男性は否認したが、捜査員から「このパソコンから送信されたのは間違いない」などと迫られると容疑を認め、9月1日に威力業務妨害容疑で逮捕された。

 同庁はこの際、脅迫メールが送られた時間帯に男性が自宅にいたことは確認したが、パソコンがウイルスで遠隔操作される可能性は想定していなかったため、ウイルス対策ソフトでのチェックは行わなかった。
 
トレンドマイクロ、なりすまし犯罪予告を行なうウイルスの駆除ツール公開

マイナビニュース 10月18日

トレンドマイクロは18日、このところ流行しているマルウェア「BKDR_SYSIE.A」の専用駆除ツールを公開した。同社のWebサイトから入手できる。このマルウェアは、「iesys.exe」というファイル名で、遠隔操作でなりすましの犯罪予告を行なうものとして最近話題になっているもの。

無償公開された駆除ツールは、「BKDR_SYSIE.A」を検出して駆除するための専用ツール。使い方はダウンロードページを参照のこと。「ウイルスバスター」シリーズなど、同社のアンチウイルス製品を利用している場合は、最新パターンファイルを適用することで同マルウェアの検出・処理が可能という。

このウイルスの被害としては、7月に大阪市のホームページに無差別殺人を予告する書き込みを行なったとされた男性など4人が逮捕に至っている。その後、TBSが同ウイルスの作者と思われる人物からの犯行声明と思われるメールが届いたとの報道をしており、警察も逮捕された男性らを釈放している。


“遠隔操作ウイルス”専用駆除ソフト、トレンドマイクロが無償公開

Impress Watch 10月18日


 トレンドマイクロ株式会社は18日、“遠隔操作ウイルス”や“なりすましウイルス”と呼ばれているマルウェアの専用駆除ソフトを無償で公開した。Windows 7/Vista/XPに対応しており、64bit版と32bit版が用意されている。

 検出対象は、トレンドマイクロで「BKDR_SYSIE.A」と呼んでいるマルウェア。駆除ソフトは実行ファイル形式で提供されており、同社サイトからダウンロード後、ファイルをダブルクリックして実行することでスキャンが始まる。BKDR_SYSIE.Aが検出されれば、削除ボタンにより駆除まで行えるという。

 遠隔操作ウイルスに感染させたPCを使い、他人になりすまして犯行予告の書き込みなどを行った事件が複数判明したことが連日報道され、世間に不安をもたらしている状況を踏まえて提供することにした。トレンドマイクロによれば、18日夕方現在、大規模な感染拡大は確認していないというが、この駆除ソフトを使うことで感染の有無をチェックできるとしている。

 なお、トレンドマイクロのウイルス対策ソフト「ウイルスバスター」を使用している場合は、最新パターンファイルでスキャンすることで、BKDR_SYSIE.Aの検出が可能。



“遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感?

Impress Watch 10月18日


 不正プログラムを仕掛けた他人のPCを使って犯行予告の書き込みなどが行われた一連の事件が明るみになってきたことを受け、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)が17日、報道関係者向けの緊急説明会を開催した。その手口や、使われた不正プログラムの特徴などを説明するとともに、社会的に取り組むべき施策の方向性も提言した。

【拡大画像や他の画像】

 PCの持ち主の気付かぬうちに遠隔操作され、なりすまし犯罪が実行されたとみられる事例が複数判明してきたことから、“遠隔操作ウイルス”“なりすましウイルス”などと呼ばれて連日報道されているが、JNSAによれば、従来より使われているバックドア型不正プログラムのたぐいであり、手口として目新しいわけではないという。しかし今回の一連の事件では、身に覚えのない罪を着せられ、逮捕・起訴までされた被害者が実際に現れていることから、個人における情報セキュリティ対策のあり方やネット犯罪捜査のやり方に課題を投げかける結果になったという。

 説明会に参加したのは、JNSAのメンバーである二木真明氏(アルテア・セキュリティ・コンサルティング)、西本逸郎氏(株式会社ラック)、下村正洋氏(株式会社ディアイティ)、勝見勉氏(株式会社情報経済研究所)、小屋晋吾氏(トレンドマイクロ株式会社)、米澤一樹氏(株式会社シマンテック)。

 説明会では、二木氏がまず事件の概要や手口、課題などを一通り説明し、これに対してメンバー各人が考察結果や見解を補足した。

● “遠隔操作ウイルス”は犯人の手製

 一連の事件で使われた不正プログラムは、「IEsys.exe」という実行ファイルで、なりすましの被害者は、2ちゃんねるのあるスレッド上に掲載されたリンクから無償ソフトをダウンロードしたことで感染したとみられている。

 これに感染すると、外部からさまざまな遠隔操作が可能になるが、犯人とIEsys.exeとのコマンドのやり取りを、ある掲示板のスレッドを経由して行っていたのが特徴だという。

 このような方法をとったのは、C&C(コマンド&コントロール)サーバーを自前で設置する必要がない分、証拠が残りにくいからとみている。犯人が掲示板にアクセスする時だけ慎重に行えば、アクセス元の犯人まで追跡される心配がないというのだ。実際に、コマンド用掲示板へのアクセスには、多数のノードを経由することで接続経路を匿名化するP2Pツールを利用し、通信経路を隠ぺいしているという。

 一方で、不正プログラム自体は、存在を隠ぺいしようという意図が感じられず、ルートキットなどは用いられておらず、コードの難読化も行われていなかったとしている。

 さらにIEsys.exeの特徴として、開発にはC#や.NET Frameworkが使われており、犯人の“手製”のプログラムだったとされる点も挙げた。小屋氏によると、一般的なウイルスは、こうした不正プログラムを作成するためのツールキットを用いて、既製のコンポーネントや感染ルーチンなどを組み合わせて作成されるのが主流だという。しかし、IEsys.exeはそうしたツールキットを使わず、作成者が一からプログラムしたとみられる。TBSなどに届いた犯行声明メールでも本人が自作したと述べているという。

● 手製ウイルスは、セキュリティソフトでの初期検出が困難?

 二木氏は、今回の事件が提起する情報セキュリティ上の課題として、以下の4項目を挙げた。

気付かれないマルウェア大量感染の危険性

事後解析と立証の難しさ

コンシューマー向け対策の難しさ

社会全体としての取り組みの必要性

 まず、「気付かれないマルウェア大量感染の危険性」については、IEsys.exeのような手製のマルウェアに対して、特に拡散の初期段階においては、ウイルス対策ソフトは無力だと指摘する。

 ウイルス対策ベンダーがIEsys.exeの検出に対応したのは10月に入ってからで、なりすまし被害者のPCに感染してから数カ月は対応していなかったことになる。小屋氏によると、既製ツールキットで作成されたものであれば、組み込まれている既存のコンポーネントなどで検出できた可能性があるというが、この手製ウイルスは、“えん罪”の可能性が浮上して調査がなされたことで存在が判明、ようやく対応できたかたちだ。

 さらに二木氏は、今回のIEsys.exeの感染者は比較的少ないとしながらも、検出されない状況の中でマルウェアが目立った行動をせず静かに拡散すれば、PCの利用者は気付きにくく、知らない間に数万台規模に感染が拡大することもありうると指摘する。その後、実際に踏み台にするのは数台のPCで事足りるため、他の感染PCに潜り込ませたマルウェアを別のものに入れ換えておけば、たとえ犯行に使った数台のPCからマルウェアが捕捉されても、残りの感染PCが温存されたままとなり、別の目的で使用される恐れがある。根絶は難しくなるという。

● 痕跡が残っていなければ無実の立証は困難

 次に「事後解析と立証の難しさ」は、コンピューターフォレンジックの限界などを指摘したものだ。不正プログラムで遠隔操作した痕跡を消す手法は確立しているといい、それは犯罪者にも知られているため、犯行後に完全に痕跡を消されてしまえば、証拠が得られない可能性もあるという。「今回はたまたま痕跡が残っていたが、犯人が痕跡を完全に消していたら、釈放された人たちが犯人とされていたかもしれず、無実の立証はさらに難しくなる」(二木氏)。

 仮に企業であれば専門企業に解析してもらうなどの方法が考えられるが、今回は個人が狙われており、相談する窓口がないことも問題という。また、今回は警察が動ける事件だったが、単純な中傷の書き込みやストーカー行為など、事件性がなく、警察が対応できないような事例であれば、なりすまされても泣き寝入りするしかない可能性もあるとした。

 なお、三重県警が担当した事件でIEsys.exeが発見されたのは、「警察の反応を見るために、犯人がわざと消さなかったのではないか」(西本氏)ととらえる見解もあった。

● セキュリティ対策をしない/できないコンシューマーの存在

 「コンシューマー向け対策の難しさ」としては、個人ユーザーの「危機感のなさ」を指摘する。これは、ボット感染PCの持ち主への通知活動などを通じてすでにわかっていた問題であり、マルウェアに感染していることを伝えても、いつまでたっても対応しない/対応できないということが実際に起きていたという。

 同時に、ユーザーがセキュリティ面で何か不審な点を感じても、相談する窓口がないことも指摘した。一般的なPCのトラブル相談窓口では、こうしたセキュリティのスキルを持った人がおらず、対応は困難ではないかという。

 企業におけるセキュリティ対策と異なり、コンシューマー向けではビジネス化のしにくさもある。ユーザーにとってウイルス対策ベンダーに年間数千円払うのが「高い」という感覚もあり、「儲からないから企業はあまり積極的にやらない。OSベンダー、PCメーカー頼みになっている」のが現状だとした。

 なお、二木氏は、今回のIEsys.exeは初期の段階で検出はできなかったものの、「ウイルス対策ソフトの導入と最新版の利用は無意味ではない」と補足する。最初は検出できなかったとしても、拡散する段階で検出できるようになり、ロジック変更により対応することもある。「ウイルス対策ソフトは必ず入れておいていただきたい」と訴えた。

● ビジネスになりにくい、個人向けの情報セキュリティ対策

 最後の「社会全体で取り組む必要性」については、情報セキュリティを担っているのは民間企業であるため、前述のようにビジネスになりにくい面もあることから、受益者負担という形ではなく、社会基盤の安全という視点で国・自治体などの公共施策として予算措置が必要だと、二木氏は説く。コンシューマー向け相談窓口を拡充し、そこに専門家を配置できるような仕組みも必要となる。

 また、OSベンダーとセキュリティベンダーにおいても、利用者保護にさらに踏み込んでほしいと呼び掛ける。ソフトに利用履歴の保全機能を組み込み、改ざんできないようにすることで無実の証明にもなるとし、こうした取り組みへの公的補助や支援の拡充が必要だとした。

● 遠隔操作ウイルスに感染したのは、ユーザーの不注意なのか

 説明会に参加した専門家らは、今回の事件で使われていたのはバックドア型不正プログラムであり、手口そのものは普通だとみる一方で、PCへの侵入経路が脆弱性を突いたものではなく、ユーザーにアプリケーションソフトの実行ファイルを実行させる方法だったことに注目する発言がいくつかあった。

 米澤氏は、出所不詳の実行ファイルを実行するということは、「セキュリティ関係者ではありえないと思うが、世の中には普及していない。一連の流れから感じる」と述べた。

 西本氏も「専門家からすると、不審なものをダウンロードして実行するのはおかしい」とコメント。これに対して二木氏は「不審だと思わないのではないか」と回答し、実行ファイルを実行させるのにアイコンや拡張子を偽装する古典的な方法がいまだにいちばん効率がいいという話も聞くとして、セキュリティ専門家とコンシューマーとのギャップを指摘した。

 ところで、IEsys.exeは、パターンファイル以外の方法で検知することはできなかったのだろうか? この疑問に対して米澤氏は、検体を入手した後に後追いで確認した結果ではあるが、シマンテック製品のふるまい検知では検出できたとしている。

 ただし、IEsys.exeは、アプリケーションソフトとしてユーザー自身がインストールするよう仕向けられていた点が厄介だ。リモートアクセスソフトなど正規の目的で使用しているソフトなのか、それとも不正プログラムなのか、その使い方に悪意があるかどうかウイルス対策ソフトが判断するのは難しいのではないかとの見解もあった。

● IPアドレスだけでの容疑者特定に警鐘、デジタルプロファイリングも

 いずれにせよ、IEsys.exeをインストールしてしまった被害者は、セキュリティ専門家の常識からすれば確かに注意が足りなかったかもしれないが、現実問題として一般ユーザーにはそこまでの意識が浸透しているとは言いがたい。実際、同様のことは、アドレス帳情報などを裏で収集するAndroidアプリが今年春ごろから複数確認され、けして少なくないユーザーがこれをインストールして被害に遭っている状況にも顕著に表れている。

 しかし、そうして自ら不正プログラムをインストールしてしまったからといって、当然ながら誤認逮捕が許されるわけではない。報道などによると、今回の事件で逮捕の証拠となったのは犯行予告の書き込み元IPアドレスだった模様だが、容疑者の特定をIPアドレスだけで行うことに警鐘が鳴らされたかたちだ。

 西本氏によると、IPアドレスとは、自動車事故に例えるなら、事故を起こした車両を特定するための情報であり、その車両の所有者が運転していたとは限らない。事故を起こしたのが誰かを突き止めるには、車両に残された指紋を調査するなどして、その時に実際に運転していた人を突き止める必要がある。

 それがコンピューターフォレンジックというわけだが、前述のように限界があるほか、「1台のPCをフォレンジックするのに、最低3日、下手すれば10日かかる」(西本氏)。こうした調査を個々の事件で行うのは難しいという。また、フォレンジックを行う担当者の技術しだいという面もあり、警察でもトレーニングを進めているとはいえ、全国規模でやるのは難しいのではないかと指摘する。

 一方で、不正プログラムにコマンドを出すために使われていた掲示板へのアクセス経路は匿名化されていたため、ここから犯人にたどり着くことは、まず難しいという。

 そこで西本氏は捜査当局に対して、デジタル上のプロファイリングをすることで犯人を絞り込んでいく方法があるのではないかと提案する。

 今回の事件では、実際にIEsys.exeという犯人手製のプログラムがある。例えば、プログラムのくせや、それぞれの会社流のコーディング方法、文言の使い方、あるいは掲示板上での行動などから犯人像を絞り込める可能性があると説明。こうした手法に対してはIT業界も貢献できると訴えた。

 なお、西本氏は推測・憶測の域を出ないとしながらも、IEsys.exeの作成者について、プログラマーとしてこなれており、細かいプログラムを開発する経験を重ねてきた人物とみている。プログラムにテキストエディターが組み込まれていた点に着目。かつてプログラマーが“練習問題”としてテキストエディターをよく開発していたような年代だとみて、年齢は40歳以上ではないかという。西本氏によれば、今の若い世代のプログラマーは、コンポーネントを組み合わせることで簡単にプログラムを開発できる環境にあるため、一からプログラムを作るようなイメージではないという。

● 標的型攻撃と仕組みは同じ、企業にとって対岸の火事ではない

 今回の事件では個人のPCが狙われたわけだが、「標的型攻撃と仕組みは全く同じ。企業にとって対岸の火事ではない。逆に、企業内から(なりすまし行為が)行われるとインパクトも大きい」(二木氏)と警鐘を鳴らす。例えば、上場企業の社内PCから掲示板などに他社を誹謗中傷する書き込みがなされたとなれば信用問題にかかわり、場合によっては株価操作のために悪用される恐れもある。

 大企業や国家が狙われる標的型攻撃の不安が高まる昨今の状況の中、普通の企業の中には、狙われるような情報資産は持っていないとして、適切な情報セキュリティ対策をとっていないところもまだ多いという。しかし、企業における従来の情報セキュリティ対策が自社の情報資産を守る目的で行うものだったのに対して、「遠隔操作ウイルス事件は、自社が踏み台になって他社に何か危害を与えてしまう事態が現実に起こりうることを示した。今回の事件にヒントを得て、企業を陥れる行為も考えられる」(下村氏)。中小の企業でも早急に情報セキュリティ対策にきちんと取り組む必要性を強調した。

 遠隔操作ウイルス事件は、明るみに出ていた事件のほか、企業内のPCに感染し、そこからネットへの書き込みを行った事例もあったことがわかったと報じられている。西本氏は、そもそも大手企業ならば社内からネットの掲示板に書き込めないようウェブフィルタリングをかけているため、企業がこうした普通の対策をしていたならば、社内の感染PCからなりすましで犯行予告が書き込まれる段階までは行かなかったと指摘する。

 また、個人のPCであっても、仮に遠隔操作ウイルスの被害者の中に企業の社長などがいたとすれば、犯行声明の踏み台に使われるだけでなく、機密情報の窃取など別の展開になっていた可能性もある。「企業の幹部は、個人としての行動もよほど注意しないといけない」(西本氏)とした。

● 遠隔操作ウイルス事件を受け、JNSAが提言

 JNSAでは説明会の最後、以下のように3つの提言を発表した。

出所不詳のソフトやアプリをダウンロードしない!
おいしい話には罠がある。

ウイルス対策ソフトを入れて、最新に保ちましょう!
使っていると勘違いしている人は意外に多い。

企業は他人事ではないので改めて見直しましょう。
社内のパソコン、役員など個人のパソコン。


【INTERNET Watch,永沢 茂】

若者?関東圏とゆかり?…PC遠隔操作の犯人像

読売新聞 10月18日




 インターネット上になりすましの犯行予告が書き込まれていた事件で、犯行に使われたウイルスには、2000年頃に登場したコンピューター言語が用いられていたことが情報セキュリティー会社の解析でわかった。

 解析者は「比較的若く、一定レベルの技術を持った人物が作ったのでは」と推測する。プログラムにJR東日本のICカード乗車券「Suica(スイカ)」という言葉が埋め込まれていたことも判明。「関東に居住か?」「複数犯では?」など様々な「犯人像」が取りざたされている。

 情報セキュリティー会社「シマンテック」によると、今回のウイルスに使用されたのは「C#(シー・シャープ)」と呼ばれるコンピューター言語。2000年頃からパソコンのソフトウエア製作などに用いられるようになったという。

 今月9、10日に弁護士などに届いた犯行声明とみられるメールでは、〈(ウイルスは)私が一から開発したものです〉と書かれていたが、同社の解析でも、ほかのウイルスのプログラムを流用したり、簡単にウイルスを作成できるツールを使用したりした形跡はなかったという。

 また、コマンドの一つに「suica」という言葉を使用。JR東で使われるICカード乗車券「Suica」と一緒で、「関東圏とゆかりがある」とみる。

 解析にあたったシマンテックの浜田譲治主任研究員は「ウイルスに難しい技術は使われていないが、一定程度のプログラミングの知識はあるようだ」と指摘した上で、「コンピューター言語を使用する年代層は20代後半から30代前半ぐらいが多い」と、「若者」説をとる。

 これに対し、「40歳以上だろう」とみるのは、情報セキュリティー会社「ラック」の西本逸郎・最高技術責任者。今回のウイルスは自作とみられるが、「最近は簡単にプログラミングできるツールが増え、若い人は一からプログラムを作らない。練習問題のようなプログラムをいくつもこなした一昔前のプログラマーでは」としている。

 一方、同社の新井悠主席研究員は「複数犯」説を唱える。犯行声明とみられるメールに書かれた内容と、実際のウイルスの機能に相違があり、「ウイルスと声明の作成は、別々の人物が分担した可能性もある」と推測。また、神奈川県警の事件を除く12件は7月末から9月上旬に集中しており、多くのパソコンを遠隔操作する必要があったことも、複数による犯行をうかがわせる、という。
.

標的型攻撃、スイッチを利用した内部対策の有効性

RBB TODAY 10月18日



「”社内ネットワークは安全” という思い込みが、感染拡大と機密情報窃取を容易にしている」 PIOLINK, Inc. 日本支社 支社長 バク チャンウク氏


 標的型サイバー攻撃は、対象組織を綿密に調査し、個別にカスタマイズし、時間と資金をかけて、成功するまで行われる。その対策として、仮想環境によりパターンファイルの無いマルウェアを検知する入口対策や、感染端末の外部通信をブロックする出口対策が2011年秋頃から脚光を浴びはじめた。

他の写真を見る

 しかし、社内ネットワークに潜伏したマルウェアによる、攻撃基盤構築や、システム調査、重要情報検索等の通信を検知して遮断する、内部対策の重要性はあまり語られていない。そもそも社内ネットワークは適切に管理されている前提があり、その前提こそが攻撃者が乗じるポイントになっている。

 社内ネットワークを制御するアクセススイッチを用いた標的型攻撃の内部対策を提供する、韓国のスイッチベンダー PIOLINK, Inc. の日本支社 支社長 バク チャンウク氏に、標的型サイバー攻撃における内部対策のポイントについて話を聞いた。


――標的型サイバー攻撃は、既存の攻撃と本質的にどこが異なるのでしょうか?

 従来の攻撃に比べて、明確な政治的または金銭的な目的があり、その達成のために、組織的な戦略や戦術を駆使し、目的を達するまで攻撃をしかけてくる点が異なると考えます。このような標的型サイバー攻撃は、もはやサイバーテロ、サイバー戦争と見るべきであり、防衛の観点、そして軍事的な戦略として国際的に捉えられている状況であると言えます。

――昨年、韓国の大手金融機関が標的型サイバー攻撃の対象となり、サービス停止など損害が出ました

 2011年4月、韓国の大手金融機関がサイバー攻撃を受けて、約300台に及びサーバが破壊され、窓口やATMでの取引や、クレジットカードのサービスなどの金融システムが完全に停止し、完全復旧までに1ヶ月もかかったという事件が起こりました。検察当局の発表によると、金融機関から依頼を受けていたシステム管理会社のノートパソコンがマルウェアに感染し、約7ヶ月間にわたり調査や情報摂取が行われたあげく、最後にサーバのデータを完全削除する攻撃が実行されたそうです。韓国は、このような標的型サイバー攻撃が後を絶たず、IT先進国であると同時に、標的型攻撃の被害先進国でもあり、極めて現実的な脅威として受け止められています。

――サイバー攻撃を受けたその金融機関は対策として事件後に、パイオリンク社のスイッチ導入を進めているそうですが、次世代ファイアウォールでもIDS/IPSでもないネットワークスイッチが、サイバー攻撃対策に一体どのような役目を果たすのですか?

 同金融機関は事件後に、従来の入口・出口対策の抜本的な見直しを行い、システム運用管理のための内部統制もこれまで以上に厳格に行っています。その上で、更なる対策としてセキュリティスイッチの導入を進めています。

 社内にマルウェアが潜入すると、まず最初に行うことは社内ネットワークの情報取得です。何台PCやサーバがあって、管理者権限のあるIDはいったいどれなのか、アクティブディレクトリやファイルサーバはどこにあるのかを調査します。ここで重要なのは、こうした攻撃基盤構築時の物色の多くが、あくまで社内ネットワーク内で行われることにより、従来の入口・出口対策では検知できないことです。内部ネットワーク内の通信を制御するスイッチが、内部対策に有効な理由がここにあります。

 当社のレイヤ2スイッチTiFRONTには、(1)スイッチ単独での攻撃検知と即時遮断及び自動解除、(2)他社セキュリティ製品と連動した攻撃検知と即時遮断、(3)内部ネットワークの可視化と不審通信のアラート機能、などのセキュリティ機能があります。

 まず、スイッチ単独での攻撃検知と即時遮断ですが、ポート単位で細かく通信内容を判断して、IP Scannning 、Port Scannnig 、ARP Spoofing、 IP Spoofing などの、マルウェアが調査段階で利用する通信を自動検知して、自動で遮断し、攻撃がなくなったら自動解除することができます。

 他社セキュリティ製品との連動とは、IDS/IPSやUTM、フィルタリングなどの製品が不審な通信を検知すると、TiFRONTが連動し、即時に発生元のPCをネットワークから遮断する機能です。セキュリティ機器からアラートが上がってから管理者が状況を判断して対処する必要がなく、タイムラグもありません。マカフィー社のIDS/IPS「Network Security Platform(NSP)」などの製品と連動して「ネットワークインフラで実現する多階層セキュリティ」として提供するパートナーもいます。その他、FireEye社のMPS、Fortinet社のUTMとも連動しています。

 ネットワークの可視化は、TiFRONT統合管理システムであるTiManagerに、TiFRONTを経由した通信の情報が集約され、ここで全体像を把握できます。実際に導入してみて、ARPによるDoS攻撃のような、新たな攻撃が発見されたこともあります。このような内部ネットワークのログはサイバー攻撃や被害発覚後の調査にも不可欠です。疑わしい通信を行った端末は、TiFRONTおよびTiManagerにより、ユーザおよび管理者双方に、アラートが表示されます。

――TiFRONTはどのくらい実績があるのですか

 2010年4月のリリース以来TiFRONTは、累計15,000台が導入されています。韓国の各市道の教育庁や地方自治体などに1,000台規模で導入されるなど、大規模事例もあります。価格は1台24万円から、IP電話機へ電源供給を行うためのPoE+対応機は38万円からです。

 日本では2012年4月にリリースしておりますが、昨今の標的型サイバー攻撃が注目されていることから大学と大企業、そして製造業から多くのお問合せをいただいております。

――TiFRONTの今後の機能拡張計画を教えて下さい

 まず、IDS/IPSとの連携ソリューションを強化し、より総合力を高めたいと考えています。また、TiFRONT同士のスタック機能を新たに開発中で、これによって、アクセスレイヤのみならず、ディストリビューションレイヤにも導入が可能になります。

 特に日本市場での要求が高いMAC認証、WEB認証などの統合認証機能の開発も進めております。最後に、今後増えるだろうと予想しているIPv6でのサイバー攻撃に対する対応を含む、新たな未知の攻撃に対する対策強化を引き続き行っていきます。

――ありがとうございました。


真犯人像「周囲からばかにされ反発エスカレート」 専門家指摘

産経新聞 10月18日



 遠隔操作ウイルスに感染したパソコンからインターネットに犯罪予告が書き込まれた事件は、報道機関や弁護士に具体的な「犯行声明」のメールが送られ、同一犯が仕掛けた疑いが強まっている。「警察・検察をはめてやりたかった」と捜査機関への挑戦を動機に挙げた「真犯人」。メールの文面や犯行時間からは、捜査機関への反抗心や自己顕示欲の強い人物像が浮かぶ。

 「新しい手法でもなく、卓越した技能も不要だ」

 今回のウイルスについて、神戸大大学院の森井昌克教授(情報通信工学)は「専門学校や大学、あるいは仕事で数年間プログラムの勉強をすれば、簡単に作成できる」と分析する。

 発信元の特定を困難にするために使われた匿名化技術も「パソコンに詳しい人ならソフトを知っている」という。

 ネットに接続した時間帯も、人物像を絞り込むヒントになる。

 犯人の痕跡が残るのは、ネット掲示板「2ちゃんねる」の代行板と呼ばれるスレッド。海外サーバー経由で犯人自身が書き込んだ時間は(1)7月27日金曜日の午後1時台(2)8月24日金曜日の午後7時台(3)9月10日月曜日の午後2時台−とばらばらだ。

 犯行声明のメールがTBSに送りつけられたのは、10月10日水曜日の午後10時台。ちょうどこの時間帯にTBSラジオの番組でウイルスの問題が特集されており、犯人が放送を聞いて送信先に選んだとみられる。

 甲南女子大学の岡本英生准教授(犯罪心理学)は「ずっと自宅にいて、自由にパソコンを使える人物の疑いが強い」とみる。会社員の可能性もあるが、最近は私的利用を厳しく制限する企業が多いからだ。

 犯人の輪郭を知る最大の手がかりは、犯行声明の文面。犯罪心理学に詳しい影山任佐・東工大名誉教授は、感情描写が少ない▽事実関係についてくどいほど説明的▽犯行時に「鬼殺銃蔵(おにごろしじゅうぞう)」と名乗るなど幼稚な表現もある−ことから「年齢はそれほど高くない。10代後半から20代の可能性もある。理数系の人物だろう」と推測する。

 そのうえで「IT系の能力は高いが他のことはだめ。周囲からばかにされ、反発がエスカレートしたのかもしれない。自分の力を確認するための犯罪だったのでは」と話す。

 声明で関与を明らかにした犯罪予告の中には「皇居ランナーを無差別に殺人」「天皇制を終わりにしてやる」と皇室を逆恨みするような記述もあったが、「警察が大騒ぎしそうな対象を選んでいるだけで、政治的意図、思想信条は読み取れない」と分析している。


ハッキングされたペースメーカーに致命的ショックが送られる恐れ

TechCrunch Japan 10月18日


次のコンピューター・ハッキング最先端は、人命救助医療機器かもしれない。最近のあるデベロッパー・カンファレンスで、ペースメーカーがワイアレスでハックされ、致命的な830ボルトのショックが送られた。さらに悪いことに、IOActiveの研究員、Barnaby Jackによると、ウィルスを他のデバイスに伝染させて「大量殺人」を起こすことは「100%可能」である。この明らかに限度を超えたシナリオは、カンファレンスの都合よく制御された環境で行われたものだが、米国標準技術局のカンファレンスでパネリストたちが、一般的パソコンマルウェアによる病院機器の感染を警告した直後のことだった。

GoogleはGmailのユーザアカウントから本当に音楽ファイルを削除したのか

Jackはメルボルンで行われたBreakPointカンファレンスで、ペースメーカーを解析して9メートル以内から致命的ショックを送れることや、デバイスのオンボードソフトウェア(ファームウェア)を書き換えるところを実演してみせた。さらにこのペースメーカーには、半径9メートル強以内にある他の心臓補助機器を起動するための「秘密の機能」も含まれていた。

「私の思いつく最悪のシナリオ、それはこれらの機器を使えば100%実現可能なのだが、感染したファームウェアアップデートをプログラマーに送り込み・・・その感染したプログラマーが次のペースメーカーやICD[植込型除細動器]を感染させ、そこから次々と範囲内にある別の機器が感染していくことだ」

Jackは、以前彼が「Electric Feel」というグラフィカルプラットフォームを開発していて、それを使えば右クリック一つで、致命的プロトコルを起動できたとも言った。ペースメーカーのハッキングに対する脆弱性が暴露されたのはこれが初めてではない。2008年、ワシントン大学とマサチューセット大学の研究者は、ペースメーカーを支配してデータを盗んでだ。

実世界で機器をハッキングすることは、これよりはるかに困難であろうが、これは医療の世界でセキュリティーの必要性が見過ごされていることに焦点を当てるものだ。

「Windowsが走る自分の心臓モニターが、コンピューター・ウィルスに侵されて動きが遅くなったところを想像してほしい」とミシガン大学コンピューター科学科のKevin FuがBBCで警告する。Fuはある医療学会で、食品医薬品局には安全基準だけでなく、セキュリティー規定が必要であると話した。

今のところ侵入を試みた犯罪の記録はないが、予防措置が急務であるとパネリストたちは一致した。

(翻訳:Nob Takahashi)

IPA、2012年第3四半期のコンピュータウイルス届出状況を公開

マイナビニュース 10月18日


情報処理推進機構(IPA)は10月17日、2012年第3四半期におけるコンピュータウイルスの届出状況を公開した。発表によると、第3四半期に同機構が受けたウイルス届出件数は2595個で、第2四半期から65件減少した。

【拡大画像や他の画像】

ウイルス別の届出件数は、W32/Mydoomが591件と最も多く、W32/Netskyが463件、W32/Autorunが175件となっている。W32/Autorunの届出件数は2011年第2四半期から比べて1/3まで減少しており、これは、W32/Autorunが感染するために悪用する自動実行機能の設定が、Windowsの更新プログラムによって無効化されたためと見られる。

2012年第3四半期のウイルス検出数は6万9738個と、2012年第2四半期から1万7173個の増加。検出ウイルスはW32/Mydoomが全体の半数以上を占め、W32/Netskyの割合も高い。W32/MydoomとW32/Netskyは、自分の複製をメールの添付ファイルに付けてばら撒き、感染拡大するタイプのウイルスで、このウイルスに感染しているサーバーやPCが未だに多く存在していることがわかる。

また、ウイルスの定義に当てはまらない不正なプログラムの上位10個の検出数は7万7345個と、2012年第2四半期から9630個増加した。特に、海外の宅配会社等の伝票情報を装って感染を試みるInvoと、広告表示プログラムの総称であるAdware、オンラインバンキングのID / パスワードを窃取するBancosの検出数が多い。

これらウイルスや不正プログラムのほとんどはメールを感染経路としていることから、IPAは、ウイルス対策ソフトなどを適切に利用することでほぼ確実に感染を防げるとしている。

(Sherpa)

遠隔操作、同一犯と断定 13件 犯行声明と一致

産経新聞 10月18日



 遠隔操作ウイルスに感染したパソコン(PC)から犯行予告・脅迫のメールや書き込みが繰り返されていた事件で、TBSなどに届いた「犯行声明」のメールで列挙されていた13件の犯行予告・脅迫がすべて実際に行われていた事実が、警視庁捜査1課など警察当局によって確認されたことが17日、捜査関係者への取材で分かった。警察当局は、犯行声明の送信者が福岡や三重などの5人のパソコンを遠隔操作して13件を実行したものと断定。逮捕された4人は、すべて誤認逮捕だったとみられる。

 捜査関係者によると、13件のうち、6件は声明以前には公表されていなかったが、大阪のアニメ演出家のパソコンから首相官邸に無差別殺人予告のメールが送られていたほか、福岡の男性のパソコンから学習院初等科や部落解放同盟、人気アイドルグループへの襲撃・殺人予告が行われていたことが確認された。

 また、逮捕された4人以外に、愛知の会社員のパソコンからネット掲示板に2件の殺人予告が書き込まれていた。警察当局は、6件の犯行予告が「秘密の暴露」にあたるとして、声明の送信者と遠隔操作の実行者が同一と断定した。

 一方、福岡の男性のパソコンからも、声明通りに女性タレントの所属事務所へ送られた脅迫メールと同じ文面が見つかっていたことも判明。声明では、警察に誤認させるために残したとの趣旨の説明をしていた。

 捜査関係者によると、男性は任意の事情聴取では容疑を否認していたが、パソコンに女性タレントへの脅迫メールの文面が残っていたことを指摘されて、容疑を認めたという。

PC遠隔操作事件:自動書き込み手口か、横浜の襲撃予告で学生から再度事情聴く/神奈川

カナロコ 10月18日



 遠隔操作ウイルスによる犯罪予告事件で、横浜市立小学校の襲撃予告の書き込みについて、東京の弁護士に届いた犯行声明とみられるメールには、ウェブサイトを閲覧しようとクリックすると自動的に襲撃予告を書き込む手口を用いたと記されていた。県警は威力業務妨害容疑で逮捕した、当時都内の大学に通っていた男子学生(19)=保護観察処分=からあらためて事情を聴いている。

 県警によると、同市の小学校への襲撃予告は、6月29日午後3時15分ごろ、市ホームページ(HP)内の投稿欄「市民からの提案」に書き込まれた。県警は2日後の7月1日、同容疑で男子大学生を逮捕。大学生は8月、保護観察処分になった。

 一方、東京の弁護士に今月9日に届いた犯行声明メールでは「真犯人」を名乗る人物が横浜の事件について、大阪府や三重県のようなウイルスによる遠隔操作ではなく、クロスサイト・リクエスト・フォージェリ(CSRF)という手口を用いたと説明。「(大学生は)掲示板に貼った(自動書き込みのプログラム設置サイトの)URL(ネット上の住所)をたまたま踏んだ(クリックした)だけ」と記されていた。

 ネットセキュリティー会社「トレンドマイクロ」によると、CSRFは、パソコン利用者が仕掛けの施された特定のURLをクリックすると、事前に内容が用意された書き込みを強制的に実行するようになっている。大学生は、自分のパソコンから横浜市のHPに襲撃予告を送りつけるよう攻撃者が仕組んだURLをクリックした可能性がある。

 同社は「専門的な知識があれば、外部からでもHPの弱点が分かる」と指摘。市IT活用推進課によると、市ではこれまでCSRF対策を取っておらず、こうした弱点が悪用された可能性が高いとみられる。

 市は、CSRFで攻撃された場合に投稿を受け付けないようプログラムを修正した。同課は「もともと投稿欄は誰でも匿名で書き込みができる仕組みなので、なりすまし対策は想定していなかった。今後は新手の攻撃への情報収集をしていく」と話した。


もはや取り調べの全面可視化しかない


田中 良紹 | ジャーナリスト2012年10月18日




遠隔操作ウィルスなどを使って他人のパソコンから犯罪予告を行った事件が波紋を広げている。現代では知らないうちに自分のパソコンが「乗っ取られ」、他人の犯行に利用される恐れがある。誰でもが犯人に仕立て上げられてしまうのである。

その犯行の犠牲者が5人いる。そのうち4人は逮捕され、1人は大阪地検によって起訴までされた。全員が身に覚えのあるはずもなく、犯行を否認したが、その中の2人は後に捜査機関に犯行を認める供述をした。

「就職試験を落ちたのでむしゃくしゃしていた。不採用の知らせを受けた当日にやった」とか、「楽しそうな小学生を見て、自分にはない生き生きさがあり、困らせてやろうと思ってやった」とか犯罪予告の動機を語ったとされる。それは取り調べを担当した捜査機関の見事な空想の産物である。



なぜなら真犯人と見られる人物からTBSや弁護士にメールが送られ、4人の犯行でない事が分かってきたからである。真犯人の狙いは日本の捜査機関を誤認逮捕に誘導する事にあったとメールには記されている。逮捕された4人にとって誠に許しがたい事件ではあるが、これによって日本の捜査機関のサイバー犯罪に対する能力と、取り調べの悪弊が露呈された。

捜査機関は犯罪予告の発信元のパソコンを特定したところで強制捜査に踏み切った。しかしそのパソコンが遠隔操作されていた事を見破ることは出来なかった。パソコンを有力な物証とみて、あとは自供させる事に力を入れた。被疑者が否認すればするほど自供を迫る取り調べは厳しくなる。

日本の捜査機関は頑強に否認を続ける被疑者に対し、自分たちが考えたシナリオを無理矢理に押し付けて認めさせる手法を使ってきた。被疑者がいくら違うと言っても聞く耳を持たず、シナリオを認めなければ、本人の将来はもちろん、家族や周辺にも害が及ぶと脅して認めさせるのである。被疑者はよほどの精神力がない限り精根尽き果てて嘘を認めるようになる。

今回も捜査機関はその悪弊を繰り返し、無実の人間を嘘の供述に追い込んだものとみられる。問題は現在の検察が根本的な「改革」を迫られており、その中心は「供述調書至上主義からの脱却」にある事である。そのさなかにこの事件は起きた。

政権交代がかかった2009年の総選挙前に東京地検特捜部と大阪地検特捜部は民主党の小沢一郎代表と石井一副代表を標的に強制捜査に着手した。総選挙前の政界捜査など世界の民主主義国では絶対に許されない事だが、この国の新聞とテレビは誰もそれを指摘せず、杜撰な見込捜査が始まった。

その結果が大阪地検特捜部の証拠改ざんと東京地検特捜部の捜査報告書ねつ造という検事による犯罪行為の露見である。普通の民主主義国なら国民的議論が起きて特捜部は廃止される運命になったと思うが、この国は普通ではない。「国民の代表」よりも「巨悪を捕まえる検察」を大事にするおめでたい国民が多く、それを新聞とテレビが後押ししている。

その結果、自前で捜査し自前で起訴するという世界でも珍しい特捜部の制度は生き残り、「検察改革」の一環として「供述調書至上主義からの脱却」が叫ばれた。意味するところは検事が作成する供述調書を批判的に検討し、自供に任意性があるかをきちんと確認する事である。それが今回のパソコン遠隔操作犯罪によって「改革」の実が上がっていない事が浮き彫りになった。

「改革」が道遠しである事は最近発刊された産経新聞の石塚健司著『四〇〇万企業が哭いている』(講談社)を読んでもわかる。これは笠間前検事総長が「改革」の一環として特捜部の体制を変えようとした2011年9月に摘発された詐欺事件のドキュメントである。

笠間前検事総長は独自捜査を行う「直告1班」と「直告2班」を一つに減らし、外部機関と連携して捜査を行う「財政経済班」を拡充しようとした。「直告2班」は消滅する直前に中小企業向けコンサルタントら3人を、東日本大震災復興保障制度を悪用し粉飾決算で融資を得た詐欺容疑で逮捕した。メディアは「震災詐欺」として大きく報じた。

しかし逮捕前にコンサルタントから相談を受けていた石塚記者はその逮捕に怒りを覚える。日本の中小企業の8割は粉飾をしないと銀行から融資を受けられない。粉飾企業をすべて詐欺罪で捕まえれば日本経済は成り立たない。問題は粉飾をしながら再生のために努力して返済し続ける企業と、粉飾して受けた融資で私腹を肥やす悪質業者を見極める事ではないか。

石塚記者が相談を受けたのは必死になって企業を再生させようと努力していた中小企業コンサルタントと衣料品会社社長の2人であった。そして石塚氏は中小企業の粉飾決算を常態化させたのは竹中平蔵氏らの金融政策が銀行の貸し渋り、貸し剥がしを促した結果だと知る。特捜部が踏み込む領域ではなく政治の領域の問題なのである。

しかし消滅寸前の「直告2班」はこれを大事件に仕立て上げたかった。コンサルタントを悪役に仕立てたシナリオが描かれる。ところが捜査を進めても思惑通りの証拠が出てこない。公判廷に出される供述調書は検事が被疑者の発言を都合よく切り貼りをした作文になった。取り調べの最初と最後に形ばかりの部分録画と録音がなされた。「改革」がなされたとはとても思えない特捜部の捜査であった。

相談を受けていた2人の被告には2年4か月の実刑判決が下った。検察の受け売りに終始した判決だと石塚氏は思う。そしてこの事件を法廷で裁いた事がそもそもの間違いだと考える。日本の社会にとってどんな益があるというのか。長年特捜検察を取材してきた石塚氏は、検察権力が力ずくで事実を捻じ曲げていくプロセスをこれほど見せつけられたことはないと書いた。

誰でもが犯人に仕立て上げられる現代に特捜部はいらない。「それでは政治の巨悪を捕まえられない」と言う人がいるが、政治家を生かすか殺すかを委ねられているのは国民である。検察が出てくる幕ではない。百歩譲って特捜部が必要だと言うのなら取り調べの全面可視化をやるべきだ。取り調べの内容を国民が監視できない限りこの国の捜査機関を信用する事は出来ない。


<PC遠隔操作>13件、告白者が実行 4人誤認逮捕か

毎日新聞 10月17日



 パソコン(PC)の遠隔操作ウイルス事件に絡み、東京放送(TBS)などに送り付けられた「犯行声明」メールの送信者が関与を告白していた13件の犯罪予告について、警察当局は送信者がすべて実行していたとの見方を固めた。これまで逮捕された4人は誤認逮捕だった可能性が高まり、警視庁、大阪府警、神奈川、三重両県警は連携を強化し、送信者の特定に向けた捜査を本格化する。
 TBSなどに今月9日と10日に送られた「犯行声明」では、送信者は「私が本物の犯人であることの証明になるはずです」と記述していた。警視庁などが調べたところ、13件の犯罪予告が、すべて記載された内容通りに行われていたことが確認された。さらに一部の事件では、脅迫文のうち一般に公開されていない部分まで明らかにされているなど、「信ぴょう性を疑う余地が見当たらない」(捜査幹部)として、警察当局は送信者が「真犯人」とほぼ断定した。

 この13件のうち、(1)神奈川県警が少年(19)を逮捕した横浜市の小学校襲撃予告事件(2)大阪府警がアニメ演出家男性(43)を逮捕した大量殺人予告事件(3)警視庁が福岡県の無職男性(28)を逮捕した幼稚園襲撃予告事件(4)警視庁が同じ男性を再逮捕した有名子役タレント事務所への脅迫メール送付事件(5)三重県警が無職男性(28)を逮捕した伊勢神宮爆破予告事件−−の計5件で、計4人が逮捕されていた。少年は保護観察中で、演出家の男性は起訴後に、他の2人は処分保留でそれぞれ釈放されている。

 警視庁などは福岡県の無職男性のPCを解析中で、近く改めて男性から経緯を聴く方針。神奈川県警は既に少年から話を聴いているが、「そっとしておいてほしい」と話しているという。

JNSAが緊急提言、「遠隔操作ウイルス被害は企業も対岸の火事ではない」

Computerworld 10月17日



 日本ネットワークセキュリティ協会(以下、JNSA)は10月17日、一連の遠隔操作ウイルスによる犯罪予告事件について、セキュリティ専門家の立場から見解を示した。遠隔操作という手口としては決して新しくない攻撃手法だが、誤認逮捕を招くまでに発展。JNSAメンバーは、「企業も対岸の火事とは思わず、今一度、自社のセキュリティ対策を確認してほしい」と呼びかけている。

 今回の事件は、インターネット掲示板に犯罪予告の書き込みをしたとして逮捕された複数の男性が、のちにPCが遠隔操作ウイルスに感染しており、犯罪予告の書き込みは別の人物が行った可能性が高いとして釈放されたというもの。誤認逮捕の“証拠”となったのは、IPアドレスだった。


 警察がIPアドレスを証拠としたことについて、ラックの西本逸郎氏は、「事故車両のナンバープレートの持ち主が(事故の)犯人だというようなもの。遠隔操作ウイルス自体は以前から存在している。サイバー攻撃は捜査を慎重に進める必要がある」と指摘する。

 JNSAによると、今回のウイルスは、ツールキットを利用して作成されたものではなく、自作された可能性が高いという。プログラミング言語はC♯で一部にテキストエディタで書かれたソースコードが組み込まれていることから、「ある程度プログラムの知識と経験を持つ人物である可能性が高い」(西本氏)

 とはいえ、同ウイルスはStuxnetのような高レベルなものでも、特定システムの脆弱性を攻撃するようなものでもない。感染経路も、掲示板に誘導URLを貼り付け、ユーザーに実行ファイルを実行させるという“古典的”なものだ。

 JNSAのメンバーでアルテア・セキュリティ・コンサルティング代表の二木真明氏は犯人像について、「誤認逮捕のあと犯行声明をメディアに送りつけるなど、自己顕示欲が高い。こうした傾向も過去の事件と類似性がある」と指摘する。

 二木氏は今回の事件で、1. 気づかれないマルウェアの大量感染、2.事後解析の立証とその難しさ、3.企業に与えるインパクトが浮き彫りになったと指摘する。

 特に事後解析の立証とその難しさでは、「犯人はわざと(遠隔操作の)痕跡を消さなかったと思われる部分がある。技術的には証拠を偽装することは難しくない。もし、犯人がすべての痕跡を消し、犯行声明を公開しなければ、誤認逮捕されたままだった可能性もある」と語った。

 実際、事後解析には時間も手間もかかる。感染したPCのデータ記録を収集/分析するフォレンジックを用いた調査をPC1台に行うだけで、3日~10日を要するという。100台単位で感染していれば、すべてのPCにフォレンジックによる調査をするのは事実上不可能だ。

 今回の犯人の目的は、金銭目当てでも特定企業/個人の攻撃でもない。強いて言うなら、警察の誤認逮捕と事後検証の難しさを白日の下に晒したことだろう。しかしJNSAのメンバーは、「今回のような攻撃が企業ユーザーのPCから行われた場合、その被害は計り知れない」と警鐘を鳴らす。

 「仮に特定企業から株価に関する虚偽情報が公開された場合、株価を操作することも可能。今回の事件で注意しなければならないことは、今後模倣犯が登場することだ。ある程度犯罪の手口が公開されているため、同様の事件が発生する可能性は高い」(JNSAメンバー)

 今回の事件を受け、JNSAは以下のような提言を公開している。

1 出所不詳のソフトやアプリをダウンロードしない

2 ウイルス対策ソフトを入れて、最新の状態にする

3 企業も他人事ではない。改めて(自社のセキュリティ環境を)見直す
(鈴木恭子/Computerworld.jp)


領土問題の影響か、Web改ざん被害が急増--四半期ウイルス届出状況(IPA)

ScanNetSecurity 10月17日



独立行政法人情報処理推進機構(IPA)技術本部 セキュリティセンターは10月17日、2012年第3四半期(7月〜9月)の「コンピュータウイルス・不正アクセスの届出状況および相談受付状況」を発表した。ウイルス検出数では、「W32/Mydoom」が全体の半数以上を占め、増加傾向にある。一方「W32/Netsky」は減少傾向にあり、2012年第2四半期以降は届出件数、検出数ともW32/Mydoomに逆転された形となっている。ウイルス感染による被害届出は「W32/Downad」が1件、「W32/Fujacks」が1件の合計2件であった。感染経路は、外部からの媒体が1件、不明が1件となっている。感染原因は、対策ソフトのパターンファイルが古かったためが1件、不明が1件。

他の写真を見る

2012年第3四半期のウイルス届出件数は2,595件となり、前四半期の2,660件から65件の微減となった。コンピュータ不正アクセス届出状況では、Web改ざん被害の届出件数の増加が際立った。これは今年特有の、一部島しょの領有権に関する、近隣国からの抗議行動の一環によるものと推測している。不正アクセス届出件数は38件で、そのうち36件に何らかの被害があった。相談件数は2,819件で、被害届出の内訳は、「ワンクリック請求に関する相談」が717件(前四半期は693件)、「偽セキュリティソフトに関する相談」が95件(前四半期は57件)、「Winnyに関連する相談」が19件(前四半期は13件)、「情報詐取を目的として特定の組織に送られる不審なメールに関する相談」が6件(前四半期は7件)などとなっている。

「遠隔操作ウイルス」事件で露見したセキュリティ対策事情――専門家らが見解

ITmedia エンタープライズ 10月17日


基本的なセキュリティ対策をまず徹底してほしいと呼び掛けるJNSAの西本逸郎理事


 セキュリティ関連の企業や組織で構成する「日本ネットワークセキュリティ協会(JNSA)」は10月17日、記者会見を開いて「遠隔操作ウイルス」事件に対する見解を表明した。JNSA理事の西本逸郎氏は、「不審なソフトやアプリに手を出さない、ウイルス対策ソフトを最新にするなどのセキュリティの基本的な対策行動がまだまだ浸透していない」と指摘した。

●手口に目新しい点は「無い」

 会見ではJNSAに参加するウイルス対策ソフトベンダーやセキュリティサービス企業などの担当者が、今回の攻撃手法やサイバー犯罪の特徴、警察によるサイバー事件捜査、社会全体からみたセキュリティ対策などの点で意見を述べた。

 まず、手口では2ちゃんねるの掲示板に「無料の便利ツール」と称した実行形式のファイルをダウンロードさせるリンクが書き込まれ、これをダウンロードしたユーザーのPCに不正プログラム(IEsys.exe)が送り込まれた。ユーザーが「IEsys.exe」を実行するとバックドアが作られ、サイバー攻撃者がPCを不正に遠隔操作できる状態になる。

 不正操作は、攻撃者が掲示板サイトにコマンドを書き込み、IEsys.exeに感染したPCがこのコマンドを把握することで行われたという。これにより、攻撃者はPCのユーザーになりすまして、犯罪予告を掲示板サイトに書き込むなどの行為をした。また、不正操作を行う際には、「Tor」と呼ばれるP2Pでの通信経路のデータを改ざんして追跡をできなくさせるツールが利用されていることも判明している。

 「IEsys.exe」自体は比較的新しいマルウェアだが、不正プログラムの種類としては「トロイの木馬」に分類されるという。サイバー攻撃者がコンピュータをトロイの木馬に感染させて不正に操作する手口は昔から存在しており、JNSAは今回の事件で初めて登場した手口では無いと解説する。

 一方で通常のトロイの木馬とは異なる点もみられるという。通常のトロイの木馬には、サイバー攻撃者がプログラムの存在や不正操作の痕跡をユーザーに知られないよう隠ぺい工作を行う。今回の不正プログラムを解析したトレンドマイクロやシマンテックによれば、不正プログラムには隠ぺい工作がなされておらず、正規プログラムの脆弱性を悪用するような機能も見つからなかった。また、攻撃者がマルウェア開発ツールなどを使わずにプログラムの大部分を自作した可能性もみられるという。不正プログラムにはC#や.NETなどのWindowsアプリケーションで多用される開発環境や、HTML処理などWebアプリケーションに関係する技術が使われていた。

 これらの事実から読み取れる点は、手口自体に目新しいところがみられないものの、不正プログラムの存在や不正操作の痕跡を部分的ながら知られてしまうようにしていることだという。また、最近では標的型攻撃など企業や組織を狙う高度なサイバー犯罪が多いが、今回はかつてみられた個人のユーザーが巻き込まれる事件だという。

 一部報道では「実行犯」と称する人物がTBSなどに送り付けたメールで、動機を「警察への挑戦」としていた。JNSA幹事の二木真明氏は、今回の事件の犯人像として「ある程度のプログラミングスキルを持っていること、自己顕示欲が強いことなどがうかがえる」とコメント。西本氏は、「トロイの木馬を使う攻撃ではコマンド・コントロール・サーバが使われことが多いものの、今回の事件では用いられていないので、新しい攻撃テクニックを試していた可能性もある」と話す。攻撃者の狙いの真偽は不明なままだ。

 このほか、今回の事件では攻撃者に乗っ取られたPCの所有者の何人かが誤認逮捕されるという問題も起きている。「IPアドレスアドレスの追跡だけに頼った捜査手法に問題」とした報道も散見される。

 この点について西本氏は、サイバー攻撃では刑事事件に至らなければ警察による対応が難しいこと、事件に関与したコンピュータを事件時の状態を保全して分析する「デジタルフォレンジック」の難しさを指摘する。

 「自動車事故に例えると、IPアドレスの特定は事故を起こした車の所有者を割り出すようなもので、実際には誰がどのような運転をしていたかを調べるように、サイバー攻撃でも警察は詳しい調査を慎重に進めている」

 また、デジタルフォレンジックでは1台のコンピュータを調べるだけでも数日を要するといい、わずかな痕跡を見つけて証拠とするまでにも、担当者には高度な技術力や判断能力が要求される。「日々膨大な数のサイバー攻撃が発生している現状では対応能力に限界がある」(西本氏)

 今回の事件でウイルス対策ソフトが「IEsys.exe」を定義ファイルで検知できるようになったのは、10月に入ってからのこと。出現したばかりのマルウェアの検知が、現在のウイルス対策ソフトでは難しいという現状も露見した。なお、一部製品ではプログラムの挙動解析から、定義ファイルより先にこのマルウェアを検知できたという。

 二木氏は、「ウイルス対策ソフトの性能には限界があるが、そもそもユーザーが対策ソフトを導入していない、導入しても更新していないなどの問題が改めて顕在化した」と指摘する。

 ウイルス対策ソフトの導入率にはさまざまな調査結果があるが、総務省の2010年末時点における調査では家庭での導入率が46.5%、企業が80.9%だった。なお、家庭の導入率を8〜9割程度とする調査結果もあるが、二木氏は、「ウイルス対策ソフトを適切に利用していれば、いずれかのタイミングでマルウェアを高い確率で検知できるようになる。ウイルス対策ソフトの必ず利用してほしい」と呼び掛けた。

社会全体での対応を

 セキュリティ会社や専門家は、日常的にサイバー攻撃に対処している立場で長くセキュリティ対策の必要性を提起し続けてきた。今回の事件発生を受けて、あるセキュリティソフト会社の関係者は「こちらが思っていた以上に、われわれの声がユーザーに届いていなかった」と悔やむ。

 会見ではJNSAのメンバー各氏が、社会全体としてセキュリティ対策を推進する必要性を改めて提起した。

 現在のセキュリティ対策は、民間企業がビジネスとして限られた範囲でユーザーを保護しているケースが大半であり、セキュリティ対策コストへの抵抗感から積極的になれないユーザーが少なくないという。また、サイバー攻撃に巻き込まれた可能性があるユーザーの相談に対応できる機関や人材も少ない。

 「ユーザーが『何かがおかしい』と感じてメーカーや販売店に相談を持ちかけても、セキュリティの専門家ではないので対応できない場合がほとんど。セキュリティ専門家の育成を始め、より積極的なセキュリティ対策を提供できる仕組み作りに官民を挙げて取り組まなければいけない」(二木氏)。また西本氏は、「恐怖感をあおることなく、サイバー攻撃の現実をユーザーが正しく理解できる啓発が必要」と述べている。

 最後に西本氏は、今回の事件で判明した事実を基に推奨すべき対策として、(1)出所不詳のソフトやアプリをダウンロードしない、おいしい話には罠がある、(2)ウイルス対策ソフトを入れて最新に保つ、(3)企業も他人事ではないので改めて社内のPCや役員の個人PCなどを見直す――を紹介した。

 「特に企業は、今回の事件を『対岸の火事』と思ってほしくはない。自社のコンピュータが乗っ取られてサイバー攻撃に意図せずに加担させられたり、機密情報が盗まれる標的型攻撃に巻き込まれたりする可能性はいつでもある」(西本氏)
.

笑いと涙が脳のリセットボタンになる!

@DIME 10月17日


過度なストレスを感じると大脳が神経系、内分泌系、免疫系に情報を送り続け、バランスがくずれる。笑いや涙で大脳をリセットすることで、3系統のバランスが通常の状態に戻る。


●笑うことや泣くことがリセットボタンを押す役目

 リウマチ整形外科医の吉野槇一氏は「脳内リセット」は、コンピュータのリセットシステムと同じように、ストレスを生む思考の働きを一時的に無にすることだと提唱する。

「そのリセットボタンを押す役割となるのが、楽しく笑う、涙を流して泣く、楽しいことに熱中する、深い眠りなど。私たちの身体は心臓や肺臓など意思に関係なく働いている臓器を支配する自律神経系、ホルモン分泌を司る内分泌系、細菌やウイルスなどに対応する免疫系の3つの系がスクラムを組み、密接に情報交換を行なうことで、よりよい状態に保たれています。しかし過度のストレスが加わると、この3つの系の働きが乱れて眠れなくなったり、免疫力が落ちたりして体調がくずれ、病気を引き起こすことがあります」

 思いきり笑ったり、号泣している時は頭の中が無の状態になって、ストレス刺激がなくなったり、極端に減少することが医学的に証明されている。その結果、3つの系のバランスが戻り、再びストレスに対応できる力が出てくるのだ。

「笑いと涙による脳内リセットは海外でも注目されています。ぜひ積極的に取り入れましょう」

■医学博士・吉野槇一氏
リウマチ整形外科医で笑いや涙によって脳内リセットすることを学術的に証明。社会福祉法人白十字会理事、日本医科大学名誉教授。


IPA、2012年第3四半期のウイルス・不正アクセスの状況を発表……届出減ながら検出数は増加

RBB TODAY 10月17日


届出件数の四半期毎推移


 情報処理推進機構(IPA)は17日、2012年第3四半期(7月〜9月)のコンピュータウイルス・不正アクセスの届出状況および相談受付状況を公表した。

【グラフ】その他の詳細グラフ

 2012年第3四半期のウイルス・不正アクセスに関連する届出件数は2,595件で、そのうち感染被害届出は2件だった。前期(4月〜6月)の2,660件と比較すると、65件の微減となっているが、検出数は69,738個と前期(52,565個)より増加している。ウイルス別届出件数では、W32/Mydoomの届出が最多だった。また、マクロウイルスの一種であるXM/Larouxは、2012年第2四半期より減少しているものの、2011年第2四半期から比べると少しずつだが増加傾向にある。XM/Larouxの亜種によって感染被害が拡大しているためとIPAでは推測している。

 検出された不正プログラム上位10種類では、合計検出数が77,345個となり、前期の67,715個から9,630個の増加。アドウェア以外では、海外の宅配会社等の伝票情報を装って感染を試みる「Invo」、オンラインバンキングのID/パスワードを窃取する「Bancos」が多く検出されたという。

 またコンピュータ不正アクセスの届出件数は合計38件(前四半期21件)で、そのうち被害があった件数は36件(前四半期15件)だった。原因としては、古いバージョン使用・パッチ未導入が7件、ID・パスワード管理不備が3件、設定不備が3件などとなっている。

 ウイルス・不正アクセス関連の相談総件数は2,819件。そのうち「ワンクリック請求」に関する相談が717件、「偽セキュリティソフト」に関する相談が95件、Winnyに関連する相談が19件、「情報詐取を目的として特定の組織に送られる不審なメール」に関する相談が6件などとなっている。ウイルス・不正アクセス関連の相談のうち、ワンクリック請求に関する相談は、2012年第1四半期以降横ばいとのこと。


<PC遠隔操作>真犯人とほぼ断定…「声明」送信者 警視庁

毎日新聞 10月17日



 パソコン(PC)の遠隔操作ウイルス事件に絡み、東京放送(TBS)と東京都内の弁護士に送り付けられた「犯行声明」メールについて、「真犯人」だけが知りうる情報が含まれていたことから警察当局が一連の事件の容疑者が書いたものとほぼ断定したことが捜査関係者への取材で分かった。
 TBSなどに「犯行声明」が送られたのは今月9日と10日。送信者は「私が本物の犯人であることの証明になるはずです」と記述し、犯罪予告の手口などを詳細に明らかにしていた。警視庁などがメールを分析したところ、秋篠宮ご夫妻の長男悠仁さま(6)が通う幼稚園に送られた脅迫文が、公開されていない部分まで掲載されていたことなどが判明。「犯行声明」の信ぴょう性が高まったことで、メールの送信者が「真犯人」の疑いが強まったとしている。

 捜査関係者はメールについて「犯人でなければ書けない内容が多く、信ぴょう性を疑う余地が見当たらない」と話している。

 「犯行声明」とほぼ断定されたことで、幼稚園に襲撃予告メールを送り付けたとして逮捕された福岡市の男性(28)=9月下旬に釈放=は事件と無関係だった可能性が浮上した。警視庁は現在、第三者に遠隔操作された可能性があるとして男性のPCを解析中で、その結果を待って、男性から改めて経緯を聴く。男性はこれまで容疑を認めていたとされるため、警視庁は取り調べについての検証も進める。

 捜査関係者によると、男性のPCには別の事件の犯行予告文がテキストファイルとして残されていたことが新たに判明。「犯行声明」ではこのファイルについて「警察が発見したら犯人で間違いないと誤認すると思ったので(残した)」などと記されていた。送信者が意図的に男性のパソコンに保存させた疑いがあるとみて警視庁が調べている。

警察の誤認狙う?脅迫メール、男性のPCに残す

読売新聞 10月17日



 インターネット上でなりすましの犯行予告が書き込まれた事件で、お茶の水女子大付属幼稚園に脅迫メールを送ったとして逮捕された福岡市の無職男性(28)(釈放)のパソコンから、遠隔操作型ウイルスが実際に起動した形跡が確認されていたことが捜査関係者への取材でわかった。

 パソコンには、脅迫メールと同内容の文書が保存されており、警視庁は、男性のパソコンを遠隔操作した犯人が、捜査当局に男性の犯行だと誤認させるため、意図的に文書を残したとみている。

 男性は当時、同居していた女性がやったと思い込み、女性をかばうため容疑を認めたとみられる。同庁は、男性が事件とは無関係だった可能性があるとして、改めて事情を聞く方針だ。

 捜査関係者によると、男性のパソコンを同庁がその後詳しく解析したところ、「iesys(アイシス).exe」というファイル名のウイルスのプログラムが起動していた形跡が確認されたという。

 このウイルスがパソコン内で起動すると、外部から遠隔操作が可能で、同幼稚園や子役タレントの芦田愛菜さんの所属事務所などに脅迫メールが送信されていた。同庁が9月1日に男性宅を捜索した際、男性のパソコンには、芦田さんの事務所に届いた脅迫メールと同一の内容の文書ファイルが保存されていたという。同庁はこれらを根拠に、男性を威力業務妨害容疑などで逮捕していた。
.

声明メールも匿名化ソフト=海外経由、送信元隠す意図か―PC遠隔操作・警視庁

時事通信 10月18日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、東京都内の弁護士らに届いた犯行声明とみられるメールは、送信元の痕跡を隠す匿名化ソフトを使って送信されていたことが18日、捜査関係者への取材で分かった。
 パソコンが遠隔操作された際にも同様のソフトが使われており、警視庁捜査1課などは通信記録の追跡を困難にするのが目的とみて、メールの解析を進めている。
 犯行声明メールは9日に都内の弁護士に、10日にTBSに送られた。犯人しか知り得ない内容が書かれていることなどから、同課は遠隔操作に関与した人物が送付したとみている。
 捜査関係者によると、同課がメールを調べたところ、欧州など複数のサーバーを経由しており、発信者のIPアドレス(インターネット上の住所)を変更したり、暗号化したりする「Tor」という匿名化ソフトが使われていた。このソフトを使うと世界中の中継地点を無作為に選び出すため通信記録の解析が難しくなるという。 

「悠仁さま襲う」脅迫メールで逮捕男性は無関係か

テレビ朝日系(ANN) 10月17日

 遠隔操作ウイルスによる犯行予告事件で、東京都内の幼稚園に脅迫メールを送ったなどとして逮捕され、その後、釈放された男性が事件とは無関係だった可能性が高まりました。警視庁が改めて事情を聴く方針です。

 福岡市に住む28歳の男性は、先月、都内の幼稚園に「悠仁さまと友達を襲う」という脅迫メールを送ったとして逮捕されました。男性は逮捕前の事情聴取に容疑を認めていましたが、その後、パソコンから遠隔操作プログラムのようなものが見つかり、釈放されています。この男性が逮捕後の調べで、「同居する女性をかばっていた」と否認に転じていたことが分かりました。警視庁は、この男性が事件に無関係だった可能性があるとして、供述が変わった経緯などについて改めて事情を聴く方針です。この事件を巡っては、先週、犯行声明メールが都内の弁護士などに送られています。

サイト閲覧させPC遠隔操作 犯行メールで“真犯人”調査は難航

産経新聞 10月17日



 遠隔操作ウイルスに感染したパソコンなどから犯行予告・脅迫のメールや書き込みが繰り返されている事件で、「真犯人」を名乗る人物による犯行声明とみられるメールに、横浜市の小学校襲撃予告の書き込みについて、ウェブサイトを閲覧させることで他人のパソコンを操作したと記述されていることが16日、分かった。神奈川県警は同日、インターネットを使った犯行予告事件のうち、容疑者が否認していた事件の調査を開始した。ただ、解析の結果、第三者が関与した痕跡が発見されない可能性もあり調査は難航しそうだ。

 声明では、横浜市のホームページに小学校の襲撃予告を書き込んだとして、7月に明治大学の男子学生(19)が逮捕された事件への関与を詳述し、その方法として、遠隔操作ウイルスは使用せず「クロスサイト・リクエスト・フォージェリ(CSRF)を仕掛けた」と明かしている。

 ネットセキュリティー会社「トレンドマイクロ」によると、CSRFは、あらかじめ不正プログラムを仕込んだホームページを自ら作成し、アクセスしてきたパソコンに自動的に書き込みをさせるという。

 この事件では当初、男子学生が県警の調べに否認していたが、送検後の横浜地検の調べで容疑を認め、保護観察処分となった。県警はこの事件について捜査経過の検証を始めており、第三者が関与した痕跡について精査している。

 トレンドマイクロは「書き込みの実行前に男子学生がアクセスしていたウェブサイトの履歴を見て、そのサイトのプログラムを見れば、第三者によるものかどうかが分かるかもしれない」と指摘。ただ、「アクセス後に閲覧記録を消すようなプログラムが仕掛けられていた場合、発見できるかどうかは分からない」という。

 一方、「CSRFは受信側のサーバーのセキュリティーのプログラム更新などで対策が取れる可能性もある」(同社)という。横浜市では、CSRFのような“攻撃”へのセキュリティー対策が取られていなかったとして、今後、プログラムを変更するなどして対策強化に乗り出す方針だ。

 また、声明の文面では「逮捕報道の2日後ぐらいに横浜市サイトに告白文を送った」とも記載。同市でメールの受信履歴などを確認したが、そうした内容のメールは現在のところ見つかっていないという。

 県警は警察庁からの指示を受け、この事件だけでなく、平成20年4月以降のネットを使った犯行予告事件のうち、容疑者が否認した事件についても調査を始めた。小学校襲撃予告事件についても、男子学生が事件に関与していないことを明らかにする新たな証拠が見つかれば、家裁は男子学生などからの申し立てにより、保護観察処分を取り消すことは可能だという。

 IT企業・ネットビジネスの法律問題に詳しい藤井総弁護士は一連の事件について、「遠隔操作によって他人を容疑者にしてしまう点で非常に悪質」と指摘。「取り締まりを厳しくするとともに、取り締まることができるだけの人員、専門的な知識が求められる」と話している。

サイト閲覧させPC遠隔操作 犯行メールで“真犯人”調査は難航

産経新聞 10月17日



 遠隔操作ウイルスに感染したパソコンなどから犯行予告・脅迫のメールや書き込みが繰り返されている事件で、「真犯人」を名乗る人物による犯行声明とみられるメールに、横浜市の小学校襲撃予告の書き込みについて、ウェブサイトを閲覧させることで他人のパソコンを操作したと記述されていることが16日、分かった。神奈川県警は同日、インターネットを使った犯行予告事件のうち、容疑者が否認していた事件の調査を開始した。ただ、解析の結果、第三者が関与した痕跡が発見されない可能性もあり調査は難航しそうだ。

 声明では、横浜市のホームページに小学校の襲撃予告を書き込んだとして、7月に明治大学の男子学生(19)が逮捕された事件への関与を詳述し、その方法として、遠隔操作ウイルスは使用せず「クロスサイト・リクエスト・フォージェリ(CSRF)を仕掛けた」と明かしている。

 ネットセキュリティー会社「トレンドマイクロ」によると、CSRFは、あらかじめ不正プログラムを仕込んだホームページを自ら作成し、アクセスしてきたパソコンに自動的に書き込みをさせるという。

 この事件では当初、男子学生が県警の調べに否認していたが、送検後の横浜地検の調べで容疑を認め、保護観察処分となった。県警はこの事件について捜査経過の検証を始めており、第三者が関与した痕跡について精査している。

 トレンドマイクロは「書き込みの実行前に男子学生がアクセスしていたウェブサイトの履歴を見て、そのサイトのプログラムを見れば、第三者によるものかどうかが分かるかもしれない」と指摘。ただ、「アクセス後に閲覧記録を消すようなプログラムが仕掛けられていた場合、発見できるかどうかは分からない」という。

 一方、「CSRFは受信側のサーバーのセキュリティーのプログラム更新などで対策が取れる可能性もある」(同社)という。横浜市では、CSRFのような“攻撃”へのセキュリティー対策が取られていなかったとして、今後、プログラムを変更するなどして対策強化に乗り出す方針だ。

 また、声明の文面では「逮捕報道の2日後ぐらいに横浜市サイトに告白文を送った」とも記載。同市でメールの受信履歴などを確認したが、そうした内容のメールは現在のところ見つかっていないという。

 県警は警察庁からの指示を受け、この事件だけでなく、平成20年4月以降のネットを使った犯行予告事件のうち、容疑者が否認した事件についても調査を始めた。小学校襲撃予告事件についても、男子学生が事件に関与していないことを明らかにする新たな証拠が見つかれば、家裁は男子学生などからの申し立てにより、保護観察処分を取り消すことは可能だという。

 IT企業・ネットビジネスの法律問題に詳しい藤井総弁護士は一連の事件について、「遠隔操作によって他人を容疑者にしてしまう点で非常に悪質」と指摘。「取り締まりを厳しくするとともに、取り締まることができるだけの人員、専門的な知識が求められる」と話している。



別のPCも操作示唆 「犯行声明」被害者5人に

産経新聞 10月17日



 遠隔操作ウイルスに感染したパソコン(PC)から、犯行予告・脅迫のメールや書き込みが繰り返されている事件で、TBSや、テレビコメンテーターとして知られる落合洋司弁護士(48)にメールで届いた「犯行声明」の中で、逮捕された4人とは別人のパソコンも遠隔操作し犯行予告したと示唆していたことが16日、分かった。「被害者」は5人となった。

 犯行声明で関与を示唆したのは、すでに判明していた7件を含む計13件で、警視庁捜査1課などが発信者の特定を進めている。

 関係者によると、新たな1人は、愛知県内の自動車部品製造会社に勤務する社員とされる。社員の社内パソコンからインターネット掲示板に8月9日、「コミケ(コミックマーケット)で大量殺人」「天皇をライフルで殺す」と書き込まれた。

 一方、TBSへの犯行声明メールは、発信者の特定を困難にするため欧州のサーバーを経由、発信者は複数のメールアドレスを使用していた。アドレスは誰でも無料で匿名のまま取得できるものだった。

1.5秒に1つ新種ウイルス発生 ネット犯罪複雑化〈AERA〉

dot. 10月17日



 インターネット犯罪の捜査を撹乱する遠隔操作ウイルスが出現した。「なりすまし」犯行で、知らぬ間に、あなたも「容疑者」になりかねない。

 インターネット上で犯罪予告を書き込んだとして犯罪者扱いされた2人は、「身に覚えがない」 と一貫して「冤罪」を訴えていた。

 別の人間による「なりすまし」とわかり、容疑者から一転、被害者となったのはアニメ演出家の北村真咲さん(43)と、三重県に住む28歳の男性。北村さんは、大阪市のホームページに殺人予告を書き込んだとして大阪府警に逮捕、起訴された。男性は、掲示板サイト「2ちゃんねる」に伊勢神宮を爆破すると予告する書き込みをしたと疑われ、三重県警に逮捕された。

 2人のパソコンはいずれも「iesys.exe」(アイシス)というファイル名の遠隔操作ウイルスに感染していたことが、後にわかった。

 とんだ濡れ衣だったわけだが、警察が逮捕に踏み切ったのは「ネット上の住所」と呼ばれるIPアドレスから、書き込みの発信元が2人のパソコンだったことを割り出したためだ。

「IPアドレスという確証がある」

 府警や大阪地検は北村さんにそう迫ったという。

 だが2人のパソコンは、単に「踏み台」にされただけだった。ある捜査関係者は、拙速な逮捕だったと指摘する。

「容疑者が否認していたにもかかわらず、IPアドレスだけで逮捕や起訴に踏み切るのは、非常に危ない橋だ。府警はなぜそこまでしてしまったのか」

 詰めの甘い捜査だったことは間違いない。とはいえ、IPアドレスからの容疑者絞り込みは、これまではネット犯罪における有力な捜査手法の一つだった。今後はIPアドレス頼みが通じない。遠隔操作ウイルスによる犯行は、複数のコンピューターを経由させるので、実際に書き込んだ真犯人を特定するには時間を要する。ネットセキュリティーに詳しい関係者が言う。

「新種のウイルスは1.5秒に一つ発生する時代。犯罪は複雑化する一方です」

釈放男性のPC画面添付か=警察未把握も犯行予告―乗っ取りウイルス・警視庁

時事通信 10月16日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、都内の弁護士に送られた犯行声明とみられるメールに、釈放された男性のパソコンにあった画像が添付されていた疑いが強いことが16日、分かった。
 警視庁捜査1課などはメールを送った人物が男性のパソコンの情報を盗み見た上で、遠隔操作したとみて送信元の特定を進めている。
 メールは9日に東京弁護士会所属の落合洋司弁護士に届いた。「自作の遠隔操作トロイ(ウイルス)を使用した。感染させた後、画面を観察した」と書かれており、大阪市のアニメ演出家北村真咲被告(43)=起訴後に釈放=のパソコン画面とみられる画像が添付されていた。
 北村さんについて「大阪に住んでいることも分かった」とし、「大阪・日本橋のオタロードを選定して(殺害)予告文を送信した」などと記載されていた。
 また、声明メールで関与したとしていた他の事件について、警察が把握していなかった分でも実際に脅迫メールが送付されていたことが分かった。
 8月27日には部落解放同盟中央本部(東京都中央区)と学習院初等科(新宿区)に脅迫メールを送付したと書かれていた。いずれも警視庁に届けていなかったが、実際に同内容のメールが届いていたことが確認されたという。

Androidアドウェア活性化、バンキング系トロイの木馬の進化など--脅威動向(フォーティネット)

ScanNetSecurity 10月16日



不必要な情報をリクエストするアプリには注意が必要


フォーティネットジャパン株式会社(フォーティネット)は10月16日、脅威動向調査の結果を発表した。これによると、この3カ月でAndroidベースのモバイルアドウェアが活性化している。これは過去最大のスパムジェネレーターのひとつである「Netsky.P」に匹敵する活動量を持つという。FortiGuardはアジア太平洋地域とEMEA地域に設置している全監視システムのほぼ1%、そして南北アメリカでは4%で、アドウェア亜種「Android/NewyearL」と「Android/Plankton」を検出した。

この2つのアドウェア亜種は携帯のステータスバーへの迷惑広告の表示、国際移動体装置識別番号(IMEI)を介したユーザ追跡、デバイスのデスクトップへのアイコンのドロップを行う共通のツールセットを組み込んでいるさまざまなアプリケーションに広まっている。これにより誰かが、あるいはグループが、おそらく詐欺的な広告アフィリエイトプログラムで金儲けをしているということだとしている。調査結果ではこのほか、バンキング系トロイの木馬「Zeus」のモバイルコンポーネント「Zitmo」が遠隔操作対応など進化していることや、ルーマニアのハッカーたちがphpMyAdminの脆弱性スキャンを実行していることなどを取り上げている。

<PC遠隔操作>名古屋でも感染 犯行声明で言及

毎日新聞 10月16日


 パソコン(PC)の遠隔操作事件で、犯行声明とみられるメールには、名古屋市内の自動車部品メーカー社員のPCもウイルスに感染して遠隔操作し、掲示板サイトに「コミケで大量殺人」などと書き込んだとする内容も含まれていたことが分かった。コミケは同人誌の即売イベント「コミックマーケット」の略称。
 メーカーは16日、取材に対し、「警察の接触は今のところなく、報道取材で初めて知った。聴取されている社員がいるとも聞いていない」と話し、遠隔操作の事実は把握していないという。

 同社は社員約1000人にPCを貸与しているが、仕事とは無関係の掲示板や交流サイトなどにはアクセスできないよう制限しているという。

「集中投入を」なりすましメール事件緊急捜査会議

テレビ朝日系(ANN) 10月16日

 ウイルスに感染したパソコンから遠隔操作で犯行予告メールが送られた事件を受け、警察庁は緊急の捜査会議を開き、捜査員を集中的に投入して全容解明を急ぐよう指示しました。

 警察庁での緊急会議には、いわゆる“なりすまし”メール事件が確認されている警視庁や大阪府警、三重県警の捜査幹部や技術部門の課長らが顔をそろえました。警察庁の舟本刑事局長は、サイバー関連の捜査に秀でた捜査員を集中的に投入したうえで、技術部門と捜査部門の連携を取り、犯人検挙に全力を挙げるよう指示しました。また、犯行予告メールを送ったなどとして逮捕された後に釈放された男性らについて、捜査の細かい経緯を確認するよう求めました。.

関係警察の密接な連携指示=乗っ取りウイルスで緊急会議―警察庁

時事通信 10月16日



 インターネット上に犯行予告を書き込んだ疑いで逮捕された男性3人が、パソコンの遠隔操作ウイルス感染が判明して釈放された事件で、警察庁は16日、東京都内で、警視庁、大阪府警、三重県警の捜査幹部を集めた緊急捜査会議を開催した。
 警察庁の舟本馨刑事局長は、一連の事件について「遠隔操作で他人に成り済ますことを可能とするウイルスが発見されるなど悪質、巧妙で、捜査の困難が予想される」と指摘した。
 その上で、サイバーに関する知識の豊富な捜査員を集中的に投入するなど「組織一体となった捜査態勢を構築するとともに、関係警察の連携を一層密にしてほしい」と指示した。 


PC遠隔操作、警察庁が緊急会議 「真犯人」メール受け

朝日新聞デジタル 10月16日



 ネット上に犯罪予告を書き込んだとして逮捕された男性3人のパソコンにウイルス感染が確認され、釈放された問題で、警察庁は16日午後、警視庁と大阪、三重両府県警の幹部を集めた緊急会議を開いた。

 会議には刑事、生活安全の両部長ら幹部が参加し、捜査情報の共有や今後の捜査態勢などについて話し合った。

 一連の事件をめぐっては、弁護士や民放のTBSに「私が真犯人です」と書かれたメールが届き、警視庁が捜査。警察庁は2008年4月以降に摘発したネット上の犯罪を予告する事件のうち、容疑者が否認した事件について調べ直すよう各都道府県警に指示した。

<PC遠隔操作>犯行声明、欧州サーバーから

毎日新聞 10月16日



 パソコン(PC)の遠隔操作ウイルス事件で、東京放送(TBS)に送り付けられた犯行声明とみられるメールは、欧州のサーバーを経由していたことが16日、捜査関係者への取材で分かった。送信者を特定する追跡捜査を困難にするための工作とみられ、警視庁は他国への協力要請も検討している。【小泉大士、喜浦遊、松本惇】
 警視庁などによると、「犯行声明」は今月10日にTBSに届き、捜査1課などが調べたところ、メールはTBSに届く直前、欧州のサーバーが利用されていたことが判明。同課はサーバーの特定を進めるとともに、複数の国を経由したとみて確認を急いでいる。

 海外サーバーを経由した場合、発信元を調査するにはその国の捜査機関の協力が不可欠で、手続きに時間がかかることが多い。捜査協力を得にくい国もあり、発信元が特定できない一因となることもあるという。

 インターネット上で犯罪予告をしたとして大阪府警に逮捕された男性のPCは何者かに遠隔操作された可能性が高いとされるが、PCはスイスやリヒテンシュタインなど5カ国以上のサーバーを通じて操作されていたことが分かっている。

 また、同様の「犯行声明」は東京の弁護士にも送信されたが、匿名性が高く無料で取得できるフリーメールが使われていたことも新たに判明した。

 一方「犯行声明」は、警視庁や大阪府警などが扱った7件以外にも、脅迫的な書き込みなどが6件行われたことを明かしている。うち1件は9月2日に開かれた人気アイドルグループの握手会に対する襲撃予告とみられ、既に東京湾岸署の要請に基づき削除された。

 また、部落解放同盟に対しても8月下旬、「本部を襲撃する」などと記したメールを送信したとしている。

 同署は威力業務妨害事件として調べており、同署幹部は「一連の事件の関係部局と連携して捜査を進める」としている。

釈放男性、容疑を一時否認=「同居女性かばった」―乗っ取りウイルス事件・警視庁

時事通信 10月16日



 都内の幼稚園に脅迫メールを送ったとして逮捕され、パソコンが遠隔操作された可能性が浮上し釈放された福岡市の男性(28)が、警視庁の調べに対し、一時容疑を否認していたことが16日、捜査関係者への取材で分かった。
 一方で、男性は容疑を認める上申書を提出しており、同庁捜査1課は経緯を詳しく調べている。
 捜査関係者によると、男性は逮捕前に捜査員が自宅を訪れた際、脅迫メールの送信を否定。しかし、捜査員がパソコンを起動し、メールの送信履歴を発見して問いただしたところ、一転して容疑を認め、3通の上申書を提出した。
 しかし、その後は「同居している女性が送信したと思い、かばおうとして認めた」などと説明することがあったという


“犯行声明”メールは海外サーバー経由で送信

テレビ朝日系(ANN) 10月16日

 遠隔操作ウイルスに感染したパソコンから犯行予告のメールが送られていた事件で、「真犯人」を名乗るメールが、海外のサーバーを経由して送信されていたことが分かりました。

 「大阪・三重の遠隔操作ウイルス事件について、私が犯人です」などと書かれたメールは、都内の弁護士とTBSに送られたことが確認されています。公表されていない事件を含め、12件について言及していて、警視庁は犯行声明とみて送信元を調べています。その後の捜査関係者への取材で、TBSへ送られたメールがヨーロッパのサーバーを経由して送信されていたことが新たに分かりました。大阪の事件についても複数の海外サーバーを経由させたことが分かっていて、警察当局は、送信元を隠す狙いがあったとみて、ICPO=国際刑事警察機構を通じて海外の捜査機関に協力を要請する方針です。.

なりすましウイルス 愛知県の会社員のパソコンも遠隔操作か

産経新聞 10月16日



 遠隔操作ウイルスに感染したパソコンから犯行予告などが繰り返されている事件で、TBSなどにメールで届いた「犯行声明」で、大阪や三重などの事件で逮捕された4人とは別の1人のパソコンを遠隔操作して犯行予告したことを示唆していたことが16日、関係者への取材で分かった。TBSへのメールは海外サーバーを経由して送られていたことも判明。大阪や三重の事件でも海外サーバー経由で犯行予告が書き込まれていたことから、警視庁捜査1課が関連を調べている。

 関係者によると、声明で遠隔操作したとしているのは、愛知県内に本社がある自動車部品製造会社の社員とみられる。8月9日、社員の社内パソコンからインターネット掲示板に「コミケで大量殺人」「天皇をライフルで殺す」などと書き込んだという。同社は「担当者がいないので対応できない」としている。

 声明で関与が示唆されているのは、すでに判明している7件を含む計12件。

 警察当局などから公表されていない「秘密の暴露」として、大阪府警に威力業務妨害容疑で逮捕され、その後釈放されたアニメ演出家、北村真咲さん(43)のパソコンから「桜田門前で皇居ランナーを無差別殺人」とするメールを首相官邸のホームページに送ったことを挙げている。

 また、秋篠宮ご夫妻の長男、悠仁さま(6)が通われる「お茶の水女子大付属幼稚園」に襲撃予告したとして同容疑で警視庁に逮捕された福岡市の無職男性(28)のパソコンからは、皇太子ご夫妻の長女、敬宮愛子さま(10)が通われる「学習院初等科」や、部落解放同盟にそれぞれ襲撃予告を送ったとしている。

 声明では「本当に凶行に及ぶつもりはありませんでしたのでご安心ください」と説明。福岡市の男性については「かわいそうだから早く助けてあげてください」とし、「北村氏らに、犯人が『巻き込んですみませんでした』と言っていたと伝えてください」と書かれていた。

遠隔操作型マルウェアは種類が多い マカフィー

RBB TODAY 10月16日

マカフィーのホームページ


 ちかごろパソコンの遠隔操作による不正な行為が発覚した。マカフィーMcAfee Labs東京の本城信輔主任研究員が、15日付のMcAfee Blogで最近の事件をうけて「遠隔操作の機能をもつマルウェアは種類が多い」と警告している。

他の写真を見る

 マカフィーでは、これらのバックドアをDAT 6861でBackDoor-FITと検知した。いくつか亜種も見つかっており、それらもBackDoor-FITとして検知されている。本城主任研究員によると、バックドア型のマルウェアは、マルウェアの中でももっとも種類の多いタイプだという。

 本城主任研究員は、今回話題になったマルウェアは、.NETで書かれており、またコーディングに日本語の習得者によるものと思われる特徴が見られ、珍しいケースだという。

 本城主任研究員は、バックドアの危険性について「一度、感染してしまえば、どんな被害に遭ってもおかしくない」、「可能な限り感染を秘匿した方が攻撃者の利益になる」と指摘する。今回話題になったバックドアだけではなく、遠隔操作の機能をもつマルウェアが非常に多いことを念頭に置き、対策を講じるよう警告している。

ネット殺人予告:PC遠隔操作 県警、捜査を検証 「小学校襲撃」メール、関与認める /神奈川

毎日新聞 10月16日



 遠隔操作ウイルスに感染したパソコンから犯罪予告が書き込まれた事件は、県内に波及する可能性が出てきた。TBSに犯行声明とみられるメールが届き、横浜市ホームページ(HP)に小学校襲撃予告が書き込まれた事件への関与も認めていた。この事件は少年が逮捕されて保護観察処分となったが、県警少年捜査課は捜査の検証を始めている。
.

 6月29日、横浜市HPの投稿欄に、同市保土ケ谷区の小学校を挙げ「襲撃してガキ共皆殺しにしてやる」「猟銃と包丁で完全武装しておじゃまします」と書き込まれ、翌日の授業参観が中止された。
 保土ケ谷署は7月1日、東京都内の明治大2年の少年(19)を威力業務妨害容疑で逮捕した。捜査関係者によると、少年は同署に「何もやっていない。不当逮捕だ」と否認したが、横浜地検に「楽しそうな小学生を見て困らせてやろうと思った」との趣旨の話をしたという。地検は7月8日に家裁送致し、横浜家裁から事件を移送された静岡家裁浜松支部は8月15日付で保護観察処分の決定をした。
 その後、三重と大阪で犯罪予告したとして逮捕された男性が遠隔操作ウイルスの疑いが浮上して釈放された。県警は少年のパソコンデータを解析したが、同種のウイルスは検出されなかったという。
 犯行声明とみられるメールも「ウイルス以外の方法でやった」としている。保土ケ谷区役所によると、メールに記載された内容は市HPへの書き込みと一致している。メールが事実ならば少年は誤認逮捕され、保護処分まで受けたことになり、県警は調査を進める。

犯行声明メール、欧州経由=送信元隠す意図か―乗っ取りウイルス事件・警視庁

時事通信 10月16日



 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、犯人を名乗る人物からTBS(東京都港区)に送られた犯行声明とみられるメールはヨーロッパなど複数の海外サーバーを経由して送られたとみられることが16日、捜査関係者への取材で分かった。
 送信元の特定を困難にするのが目的とみられ、警視庁捜査1課などはメールの解析を進めている。同じ内容のメールは都内の弁護士にも送られている。
 捜査関係者などによると、メールは9日夜に弁護士に、10日夜にTBSに届いた。「私が真犯人です」などと書かれ、これまで報じられておらず、犯人しか知り得ない内容に言及されていることから遠隔操作に関与した人物が送付した可能性が高いという。

弁護士に遠隔操作認めるメール 別人逮捕「かわいそう」

朝日新聞デジタル 10月16日



 遠隔操作ウイルスに感染したパソコンからネット上に犯罪予告が書き込まれた事件で、TBS(東京都港区)に届いた犯行声明とみられるメールと同じ内容のメールが、インターネット上のトラブルに詳しい落合洋司弁護士(東京弁護士会)にも届いていたことがわかった。本人確認のいらないフリーメールとみられるアドレスから送信されていた。警視庁は、送信した人物が身元をたどられないようにフリーメールを利用したとみている。

 落合弁護士によると、メールが届いたのは今月9日の午後11時22分。「【遠隔操作事件】私が真犯人です」のタイトルで、冒頭には「現在報道されている大阪・三重の遠隔操作ウイルス事件について、私が犯人です」とあった。

 落合弁護士に送った理由については、「たまたまテレビに出ていたから。また事情に詳しそうだったから」としていた。落合弁護士によると、実際に7日夜のNHKニュースに出演して事件に関してコメントをしていたという。

犯行声明とみられるメール

時事通信 10月16日

乗っ取りウイルス事件の犯人を名乗る人物から落合洋司弁護士に届いた犯行声明とみられるメール

「トロイ消さず、警察試す」PC操作で犯行声明

読売新聞 10月16日



 遠隔操作型ウイルスに感染したパソコンから犯行予告が書き込まれるなどした事件で、TBSなどに届いた犯行声明とみられるメールには、4都府県警が捜査している7事件のほか、5件の脅迫メールを送ったなどと記されていたことが警視庁幹部などへの取材で分かった。

 また、三重県警の事件でパソコンに残されていたウイルスについて「わざと消さず、警察がどう出るか試した」と書き込んでいたことも判明。警察庁は16日、関係する警察幹部を集めた緊急会議を開き、一連の事件の解明を進める。

 警視庁幹部などによると、犯行声明とみられるメールはTBSのほか、9日に東京弁護士会に所属する落合洋司弁護士にも送られていた。

 メールでは、大阪市のホームページに大量殺人の予告メールを送った事件など大阪府警、三重、神奈川県警、警視庁が既に捜査している7事件のほか、「皇居ランナーを無差別殺人」や「コミケで大量殺人」など5件の脅迫メールなども送ったとしている。

 このうち、神奈川県警が19歳の少年を逮捕した事件では、非公表の脅迫メール全文やメールアドレスが掲載されていた。また、大阪府警の事件では、威力業務妨害容疑で逮捕され、その後釈放されたアニメ演出家・北村真咲さん(43)のパソコンに接続した結果、大阪に住んでいることが分かり、犯行予告の舞台として「(大阪の)オ(ヲ)タロードを対象に選定した」としている。

 動機については、「警察・検察をはめてやりたかった」と記載。さらに、ネット掲示板に伊勢神宮を脅迫する内容の書き込みをしたとして三重県警に逮捕された男性のパソコンから遠隔操作型ウイルスが見つかったことについては、「この時だけ、わざとトロイ(ウイルス)を消さないでおきました。彼らを釈放するのか、犯人扱いのままか、警察がどう出るか試す意図がありました」などとも記していた

なりすましウイルス「内向的な人物」「未成年の可能性」…専門家が犯人像分析

産経新聞 10月16日



 遠隔操作ウイルスに感染したパソコンなどから犯行予告・脅迫のメールや書き込みが繰り返されている事件で、TBS(東京都港区)やテレビコメンテーターとして知られる落合洋司弁護士(48)に「真犯人」を名乗って犯行内容を詳述するメールが送付されていたことが15日、分かった。メールが届いたのは今月9〜10日。7件の事件への関与を示唆した上で、警察当局が公表していない情報を複数記していることから、警視庁捜査1課は「犯行声明」と判断、送信者の割り出しに全力を挙げている。

 「犯人しか知り得ない事実、つまり“秘密の暴露”が多く含まれている」

 捜査関係者やTBSによると、犯行声明では、大阪と三重で4件起きた遠隔操作ウイルス事件について「私が犯人」とした後、こう記していたという。

 お茶の水女子大付属幼稚園への襲撃予告と女性タレント脅迫のメールが送られた事件の記述では、メールと声明の文面が一致。横浜市のホームページ(HP)に小学校の襲撃予告があった事件も関与を認め、書き込みの文面がそのまま記載されていた。

 声明を読んだ横浜市保土ケ谷区区政推進課の萩原健司課長は「文章の始まり方から締め方、襲撃する学校の名前など、メディアに発表していない部分も一字一句同じ」と証言している。

  ◆捜査に疑問の声

 幼稚園とタレントへの脅迫メールについては、警視庁が威力業務妨害容疑などで福岡市の男性(28)を逮捕。男性も容疑を認めたが、男性のパソコンにウイルス感染の疑いが浮上したため、東京地検が男性を釈放している。

 小学校への襲撃予告では、神奈川県警が威力業務妨害容疑で明治大の男子学生(19)を逮捕。県警の調べには容疑を否認していたが、横浜地検の調べには「楽しそうな小学生を見て、自分にはない生き生きさがあり、困らせてやろうと思った」と容疑を認め、保護観察処分となった。

 県警は捜査経過の検証を開始。7件で4人が逮捕・再逮捕されているが、最初の逮捕容疑は4人とも一度は否認したといい、捜査のあり方に疑問を呈する声も出てきている。

 声明の文面によれば、関与した事件は十数件に上る可能性もある。

  ◆ウイルス以外も

 一方、声明は小学校襲撃予告を「ウイルス以外の方法でやった」と記載。インターネットセキュリティー会社「マカフィー」の本城信輔主任研究員は「クリックするだけで犯行予告が送信されるメールを送りつけた可能性がある」とみる。

 声明は犯行目的を「警察・検察をはめてやりたかった」と明言。さらに「あそんでくれてありがとう。またあそびましょうね」という挑発的な文面もあった。

 犯罪心理学に詳しい影山任(じん)佐(すけ)東工大名誉教授は「捜査当局を挑発し、自分の優位性を誇示するためではないか」と分析。「非常に優秀だが、成功体験に恵まれていない内向的な人物の可能性がある」と語る。

 ◆未成年の可能性

 一連の犯行予告・脅迫の標的に、耳目をひく有名タレントや、「維新ブーム」発信源の大阪市などニュースの“主役”が並ぶ一方で、人気ゲーム機メーカーの任天堂が含まれ、犯行時に「鬼殺銃蔵」と名乗るなどの幼さも垣間見える。

 犯人像について影山名誉教授は「未成年の可能性はあるが、年齢層は40代ぐらいまで幅広くみた方がいい」と指摘する。一方、マカフィーの本城主任研究員は「ウイルスに使われている技術の内容から、10〜20代では」と推測している。

「遠隔操作ウィルス」でTBSと弁護士に犯行声明

スポーツ報知 10月16日



 遠隔操作ウイルスに感染したパソコンから犯罪予告が送られた事件で、「私が真犯人です」と名乗り、事件の詳細を記したメールがTBSに送り付けられていたことが15日、分かった。

 TBSによると、メールは10日夜に届き、計6件の犯罪予告に言及。〈1〉大阪市〈2〉伊勢神宮(三重)に予告を送ったとして、男性2人が逮捕、釈放された事件について、「遠隔操作ウイルス事件について、私が真犯人です」「ウイルスは自分が一から開発したもの」などと書かれていた。

 また「目的は世間を騒がすことではなく、警察・検察に醜態をさらさせたかったという動機が百%。(警察・検察に)遊んでくれてありがとう。またいつか遊びましょうね」と新たな犯行予告めいた記述もあったという。警視庁は「公にされておらず、犯人しか知り得ない『秘密の暴露』に当たる情報が多い」として、犯行声明の可能性が高いとみて捜査している。

 メールは、ほかに〈3〉日航への航空機爆破予告〈4〉秋篠宮家の長男・悠仁さまが通う幼稚園を襲撃するというメールを送ったとして福岡市の男性が逮捕された事件〈5〉有名子役の襲撃予告―にも関与したと記されていた。また〈6〉横浜市のホームページに小学校の襲撃予告を書き込んだとして男子大学生が逮捕された事件への関与も認めている。判明済みのこれら事件のほか、約10件の脅迫事件に関与した、とも記載されていたという。

 一方、ネット上のトラブルに詳しい落合洋司弁護士(東京弁護士会)にも同じ内容とみられるメールが、9日夜に送られていたことも、この日分かった。いずれの事件も同一人物やグループによる犯行の可能性がある。小学校襲撃予告事件で、家裁送致、保護観察処分となった大学生以外に、一連の事件で逮捕された男性3人は釈放されている。

 小学校襲撃予告については「ウイルス以外の方法でやった」と記されており、神奈川県警は捜査の検証を含めて、調べを進める。

「12件の事件関与」“なりすまし”犯行声明メール

テレビ朝日系(ANN) 10月16日

 遠隔操作ウイルスに感染したパソコンから犯行予告のメールが送られていた事件で、「真犯人」を名乗るメールに、12件の事件への関与を認める内容が書かれていることが分かりました。

 10日、TBSに「大阪・三重の遠隔操作ウイルス事件について、私が犯人です」などと書かれたメールが届きました。同じ内容とみられるメールは、この前日の9日に都内の弁護士にも送られていて、首相官邸のホームページに「桜田門前で皇居ランナーを無差別殺人という予告を送った」などと、公表されていないものを含む12件に関与したと書かれていたことが新たに分かりました。メールには犯人しか知り得ない内容も含まれていることから、警視庁は犯行声明とみて送信元の特定を進めています。.


遠隔操作ウイルス事件:容疑学生所有の押収パソコンからウイルス痕跡なく、県警がデータ再解析/神奈川

カナロコ 10月16日



 遠隔操作ウイルス事件に絡み、TBSに届いた犯行声明とみられるメールに、横浜市立小学校への襲撃予告事件への関与が記されていたことを受け、県警は15日、威力業務妨害容疑で逮捕した男子大学生(19)の自宅から押収したパソコン(PC)のデータの再解析を始めた。犯行声明メールは、横浜の事件はウイルス以外の方法を使ったと言及しており、県警は遠隔操作の可能性と、その手法について慎重に調べている。

 県警によると、学生を逮捕後、使っていたPCのデータを解析した結果、ウイルスは発見されなかった。また、インターネットの掲示板などに殺人や破壊の予告をしたとして逮捕された大阪府と三重県の男性が遠隔操作された可能性が浮上、釈放されたことを受け、あらためてデータを解析したが、見つからなかったという。

 県警は7月1日、同容疑で学生を逮捕した。

 逮捕容疑は、6月29日午後3時15分ごろ、自宅のPCを使い、横浜市のホームページ「市民からの提案」に、市立小学校を名指しして「襲撃してガキ共皆殺しにしてやる」などと書き込み、同小の業務を妨害した、とした。名指しされた学校は翌日に予定していた授業参観を急きょ中止したという。

 学生は当初、調べに対し「何もやっていない。不当逮捕だ」などと容疑を否認。その後の調べに容疑を認め、動機について、楽しそうな小学生を見て困らせてやろうと思ったという趣旨の供述をしたという。

 事件は横浜家裁から静岡家裁に移され、静岡家裁浜松支部は8月15日、保護観察処分とした。

 襲撃予告の書き込みが送られた横浜市保土ケ谷区の区政推進課は、神奈川新聞社の取材に、書き込みと、TBSに送られた犯行声明に記載された襲撃を予告する文章は「まったく同じだった」と話した。

アニメ演出家の起訴取り消しへ ネット殺人予告事件

朝日新聞デジタル 10月16日



 【石原孝、阿部峻介】遠隔操作ウイルスに感染したパソコン(PC)からインターネット上に犯行予告が書き込まれた事件で、大阪地検は、偽計業務妨害罪で起訴した後に釈放したアニメ演出家の北村真咲(まさき)さん(43)=大阪府吹田市=について、起訴を取り消す方針を固めた。今後、起訴に至る捜査の過程を検証する方針。

 関係者によると、第三者による操作の可能性が高く、北村さんが関わった証拠はないと判断したとみられる。上級庁と協議し、正式に決定する。別人の犯行の可能性が浮上し、起訴が取り消されるのは異例。


過去の書き込み、実態把握指示=遠隔操作ウイルス事件で―警察庁

時事通信 10月16日



 インターネット上に犯行予告を書き込んだとして逮捕された男性3人が、パソコンのウイルス感染が判明し、釈放された問題で、警察庁が全国の警察本部に対し、摘発した同様の事案について、2008年までさかのぼって、実態を調べるように指示したことが15日、分かった。
 同庁関係者によると、実態把握の対象は、ネット上の殺害予告などが増加し始めた08年4月以降、警察の捜査段階で容疑者が供述を否認したり、二転三転したりするなど、遠隔操作ウイルス感染などの可能性が疑われる事件。このうち、容疑者が起訴や罰金処分されたケースがどの程度あるのか把握するように指示した。
 同庁関係者は「件数を把握した上で、対応を検討したい」としている。ただ、再捜査をする場合、容疑者のパソコンが処分されていればウイルス感染の有無を調べることが難しい。ウイルス感染が判明しても、公判中の事件などの扱いについては、検察庁と対応を協議する必要もある。 

弁護士にも犯行声明メールか=十数件の事件列挙、未発表分も―乗っ取りウイルス事件

時事通信 10月16日



 インターネット上に犯行予告を書き込んだとして逮捕された男性らがパソコンのウイルス感染が判明し、釈放された事件で、犯人を名乗る人物の犯行声明とみられるメールが東京都内の弁護士に届いていたことが15日、分かった。同様のメールはTBS(港区)にも10日に届いたことが分かっているが、内容は同じとみられ、犯人しか知り得ない内容が含まれていることから、警視庁捜査1課などはメールがウイルスを使って犯行予告を書き込んだ人物から送られた可能性が高いとみて調べている。
 メールが送られたのは、東京弁護士会所属の落合洋司弁護士で、9日午後11時半ごろ届いた。同弁護士によると、メールは、この人物が関与した事件として、大阪市役所への大量殺人予告や日航機爆破予告など十数件を列挙。中には首相官邸宛てに皇居周辺でランナーの無差別襲撃を予告したなど、これまで明らかになっていない事件も含まれていた。
 ウイルスは「私が一から開発した」とし、操作マニュアルなども添付。感染させたパソコンの持ち主の個人情報や感染経路も記載し、「内容を警察に持って行けば自分が犯人だと証明できる」「(三重県の男性が釈放された事件では)わざとウイルスを消さないで、警察の出方を試した」などとも書かれていた。
 警察が一連の事件で複数の男性を逮捕したことにも言及。「タイミングをみて全てを明らかにする予定だった」とし、落合弁護士に「メールの内容を明らかにして、逮捕された人を助けてあげてほしい」などと依頼していた。落合弁護士を選んだ理由については「たまたまテレビで見て、詳しそうだったから」と説明されていたという。
 落合弁護士は15日夕にメールに気付き、警視庁に届け出たという。 

<PC遠隔操作>逮捕の2人一時否認…「声明」言及の事件

毎日新聞 10月15日



 パソコンの遠隔操作ウイルス事件で、秋篠宮ご夫妻の長男悠仁さま(6)が通う幼稚園や横浜市の小学校に襲撃予告のメールを送り付けたとして、威力業務妨害容疑で逮捕された男性2人が一時、捜査当局の取り調べに容疑を否認していたことが、捜査関係者への取材で分かった。2事件ともTBSに送り付けられた犯行声明で関与に言及している。
 神奈川県警によると、6月に横浜市のホームページに小学校への襲撃予告を書き込んだとして、男子大学生(19)を逮捕。当初は「やってない」と否認したが、その後、横浜地検に「楽しそうな小学生を見て困らせてやろうと思った」と容疑を認めたという。すでに保護観察処分が決定しているが、県警は一連の経緯について調査を始めた。

 一方、8月に秋篠宮ご夫妻の長男悠仁さまが通う幼稚園への襲撃予告を送信したとして、警視庁に逮捕された福岡市の無職男性(28)もいったんは「同居の女性がやった」と関与を否定していた。しかし、その後は容疑を認め「就職活動で不採用になったのでむしゃくしゃしてやった」と具体的に動機を説明。さらに有名子役タレント事務所への脅迫メールを送信したことも認め、再逮捕されていた。ただ、地検の調べには否認していたという。

 警視庁はこれまで「容疑を認めており、大阪などの事件とは異なる」と強調していた。ただ、今回の「犯行声明」は、犯人しか知り得ない詳細な内容で、実際に送り付けられたメールと全文が一致していた。捜査の見直しを迫られる可能性もあり、捜査幹部は「動機もきちんと供述していたのに」と困惑した様子で話した。【小泉大士、喜浦遊、松本惇】

 ◇警察庁が否認事件調査を指示

 警察庁は15日、過去4年間に立件した同様の事件について成り済ましの可能性がないか調べるため、否認事件などを洗い出すよう全国の警察本部に指示した。08年4月以降に偽計・威力業務妨害や脅迫容疑などで立件された事件が対象。容疑者が否認したまま起訴されたケースなどを洗い出し、供述の不審点の有無などを調べるとしている。

シマンテック、犯行予告に使われたマルウェアを特定、ユーザーに注意喚起

japan.internet.com 10月15日



シマンテック、犯行予告に使われたマルウェアを特定、ユーザーに注意喚起


先日、犯行予告を掲示板に投稿したり、電子メールで送信したとして、過去数か月で3人が誤って逮捕されたという事件がニュースで報道された。シマンテックによれば、その際に使用されたコンピュータはいずれも特定のマルウェアに感染していたという。

今回、シマンテックの解析により、このマルウェアは侵入先のコンピュータを遠隔操作する機能を持つことがわかった。また、作成者との暗号化通信の処理に使われる文字列が日本語、またコードは日本語の Web サイトに由来することから、作成者は日本語に精通している可能性が高いとしている。

今回の脅威に対して、Symantec 製品ユーザーは、Insight と呼ばれるレピュテーション技術や、Backdoor.Rabasheeta という検出定義を利用できるので、この脅威を検出できる。また、その他の類似の亜種に対しても、この検出定義により保護されるという。

もし利用しているコンピュータが感染しているかを確認したい場合は、「iesys.exe」というファイルを検索、最新の定義ファイルをダウンロードしてからスキャンする。

なお、シマンテックでは OS とソフトウェアが最新版かどうかの確認を促したり、不明なソースからソフトウェアをダウンロードしたり、電子メール中の疑わしいリンクや添付ファイル、Web 上の不審なリンクをクリックしないように、注意喚起している。

勝手に殺人予告メールを送信! “遠隔操作型ウイルス”恐怖の実態

週プレNEWS 10月15日


10月12日、今回の一連の事件を受け、警察庁ホームページのトップに「遠隔操作ウイルスの被害に遭わないために!」と題したメッセージが掲載された。一般のネットユーザーにとっては、「あやしいサイト」を特定することがかなりの難問なのだが……


大阪、東京、三重で発覚したパソコンの“遠隔操作事件”は、誰もが知らぬ間に犯罪者に仕立て上げられる可能性があるという恐ろしい現実を突きつけた―。

まずは7月、大阪府のアニメ演出家の男性(43歳)が大阪市のホームページに「(大阪・日本橋の)ヲタロードで大量殺人する」と書いたメールを送信し、業務妨害容疑で逮捕。

次に8月、秋篠宮悠仁(ひさひと)さまが通う東京都内の幼稚園に「始業式で園児を襲撃する」との脅迫メールを送った福岡市の男性(28歳)が捕まった。

さらに9月、三重県の男性(28歳)が伊勢神宮の爆破予告をネット掲示板に書き込んだ疑いで逮捕。だが、後にいずれの容疑者も釈放される。

「犯人が使ったとされるパソコンが遠隔操作可能な新種のウイルスに感染していた痕跡が見つかり、ネット掲示板などへの犯行予告はすべて第三者による犯行だった可能性が高いと判断されたためです」(三重県警・捜査員)

一連の事件で猛威を振るった“遠隔操作型ウイルス”とはいったいなんなのか? ネットセキュリティ会社「ネットエージェント」社長の杉浦隆幸氏はこう語る。

「これはパソコン内に進入してデータなどの破壊活動を行なう『トロイの木馬』の一種です。感染すると、そのパソコンは第三者に乗っ取られ、意のままに操られてしまいます。つまり、ネットの閲覧、メールの送信、データの改変・削除……パソコン上で行なえるすべてのことを、遠隔地にいる見知らぬ誰かに無断で操作されてしまうのです」

知らぬ間にPC内にあるプライベートな画像がフェイスブックにさらされる恐れもあるということか。

しかも、ウイルス作成に専門知識はいらないという。独立行政法人「情報処理推進機構」調査役の加賀谷伸一郎(かがやしんいちろう)氏は言う。

「この遠隔操作型ウイルスは、ネット上にある『ウイルス作成ツール』を使えば誰でも簡単に作れてしまいます。『感染方法』や『どんな悪事を働くのか』などを設定し、ボタンをクリックするだけ」

そこで入手されたウイルスは、こうやってばらまかれる。

「職場の上司を装ったメール文に添付されていたり、誰でもダウンロードできる無料ソフトに仕込まれるといったことは常套手段。今、一番脅威なのがサイトを開くだけで感染させる手法です。過去にはJR東日本、ローソン、ホンダなど名だたる企業の公式HPに埋め込まれ、ウイルス感染が広がったことがありました」(加賀谷氏)

スマホも格好の標的となる。

「今年に入り、ダウンロードしたアプリから感染するという、スマホを標的にしたウイルス被害が急増しています。感染したら電話帳や画像データが盗まれるばかりか、カメラを起動されて自宅の中を盗撮される恐れがある。さらに勝手に電話をかけられたり、悪意のこもったメール文を誰かに送信されるといった被害も想定できます。パソコンについても、気づかないうちに児童ポルノ画像を所持させられ、逮捕されたケースがありました」(加賀谷氏)

乗っ取りに遭い犯罪に巻き込まれたらどうなるか。

「遠隔操作型ウイルスの中には、侵入した痕跡を完全に消去できるタイプもあり、それを使われたら、警察の解析ですら見破ることは難しくなります。今回はぬれぎぬが明らかになりましたが、過去に逮捕され冤罪を晴らせないままの人もいるのではないか、と私は思っています」(杉浦氏)

では、遠隔操作型ウイルスからパソコンを守る方法はあるのだろうか。

「残念ながら、ウイルスは次々と新種のモノが作られますので完全に防御することはほぼ不可能です。常に基本ソフト(OS)を最新のものに更新し、ウイルス対策ソフトをアップデートしておくくらいの対策法しかありません」

遠隔操作で犯行声明?TBSに全文添付のメール

読売新聞 10月15日



 遠隔操作型ウイルスに感染したパソコンから犯行予告メールが送られるなどした事件で、TBS(東京都港区)に今月10日、犯行声明とみられるメールが届いていたことが警視庁幹部への取材でわかった。

 メールには、警察が詳細を公開していない犯行予告の全文も添付されており、真犯人の可能性が高いとみられる。また、今年7月、横浜市のホームページに小学校を襲撃するなどと書き込んだとして明治大学生が逮捕された事件についても、「自分がやった」としており、神奈川県警で検証を進めている。

 同庁幹部やTBSによると、メールは10日夜に届いた。大阪府と三重県の男性のパソコンからそれぞれ犯行予告メールが送られた事件や、お茶の水女子大付属幼稚園(文京区)などに脅迫メールが送られた事件について、「私が真犯人です」とし、「警察・検察をはめてやりたかった、醜態をさらさせたかったという動機が100%です」と書かれていた。

 「警察・検察のかたへ、あそんでくれてありがとう。またいつかあそびましょうね」とも書かれ、遠隔操作の作業手順を記載したとするホームページのアドレスも記されていたという。

 また、8月にお茶の水女子大付属幼稚園に脅迫メールが送られ、福岡市早良区の無職男性(28)が警視庁に逮捕され、その後、処分保留で釈放された事件では、メールの詳細は公表されていないにもかかわらず、TBSに送られたメールにはこの脅迫メールの全文も添付されていた。

“遠隔操作ウイルス”作者の犯行声明か、TBSに「私が真犯人です」とのメール

Impress Watch 10月15日



 TBSは15日のニュースで、“遠隔操作ウイルス”に感染したPCから他人になりすまして無差別殺人などの犯行予告がネットに書き込まれた事件に関して、「私が真犯人です」と題したメールが同社に届いたと報じた。

 TBSによると、メールは10日夜に送信されたもの。信ぴょう性を検討した結果、警察が公表していない詳細情報も含まれていたことなどから、犯人側から送信された可能性があると判断したとしている。このメールでは、大阪と三重で起きた遠隔操作ウイルスによる事件について自身が犯人であるとした上で、目的について「警察・検察をはめてやりたかった」などと述べているという。

 遠隔操作ウイルスについては、ソースコード内に日本語が使われていることがウイルス対策ベンダーの解析によってわかっており、作成者が日本語に精通していることなどが指摘されていた。

 トレンドマイクロによると、インターネットに書き込みをするという意味の「かきこ」が、ソースコード内部で変数文字列「kakiko」として使われていたほか、書き込みが完了したことを攻撃者が確認する目的で用意されたとみられる「書きこみが終わりました」という文字列もあったという。また、不正プログラムの自動作成用に出回っているツールではなく、作成者によって一から作り込まれたプログラムであることも指摘していた。

 このほかシマンテックでも、コードが日本語のウェブサイトから取られていることも判明したと伝えていた。

PC遠隔操作「私が真犯人」 TBSに犯行声明?メール

朝日新聞デジタル 10月15日



 遠隔操作ウイルスに感染したパソコンからネット上に犯罪予告が書き込まれた事件で、「私が真犯人です」と書かれたメールがTBS(東京都港区)に送られていたことが15日、警視庁への取材でわかった。メールには犯人しか知り得ない「秘密の暴露」にあたる内容が含まれているという。TBSから連絡を受けた警視庁は、犯人による犯行声明の可能性が高いとみて調べている。

 捜査関係者によると、同様のメールは9日に東京の弁護士にも送られていた。TBSニュースを見た弁護士が警視庁に連絡した。

 捜査1課などによると、TBSへのメールが届いたのは10日午後10時過ぎ。大阪と三重の事件について「私が犯人」と書かれ、8月にあった日本航空とお茶の水女子大付属幼稚園への襲撃予告、さらに、同じ日に有名タレントに送られた襲撃予告への関与も認めている。

TBSに「私が真犯人」と犯行声明 PC遠隔操作犯罪予告

産経新聞 10月15日



 遠隔操作ウイルスに感染したパソコンからインターネット上に犯罪予告が書き込まれた事件で、TBSテレビ(東京都港区)に「真犯人」を名乗り、犯行の詳細を記したメールが送付されていたことが15日、捜査関係者への取材で分かった。メールが届いたのは事件発覚後の今月10日夜で、警察当局が公表していない情報が含まれていることから、警視庁捜査1課は犯行声明の可能性が高いとみて捜査している。

 捜査関係者や同社によると、メールのタイトルに「私が真犯人です」とあり、本文には「大阪・三重の遠隔操作ウイルス事件について、私が犯人です」「犯人しか知り得ない事実、つまり“秘密の暴露”が多く含まれている」などと書かれていた。

 大阪府警にアニメ演出家の男性(43)が逮捕された事件については、「大阪市に(無差別殺人の)予告文を送信するようにしました。その後、日本航空にも送りました」とし、8月1日に日本航空に送られた爆破予告メールへの関与にも言及している。

 秋篠宮ご夫妻の長男、悠仁さま(6)が通われる「お茶の水女子大付属幼稚園」(東京都文京区)に襲撃予告や芸能プロダクションにタレントへの脅迫メールを送ったとして、福岡市の無職男性(28)が逮捕された事件についても、警視庁が公表していない情報が記載されていた。

 犯行動機としては「警察・検察をはめてやりたかった。醜態をさらさせたかった」という趣旨の文面がかかれていた。遠隔操作ウイルスに感染させる手順なども添付されており、警視

シマンテック、企業向けの組込み型ウイルススキャン2製品を発売

マイナビニュース 10月15日


シマンテックは10月12日、企業向けの組込み型ウイルススキャンソリューションの新製品として「Symantec Protection Engine For Cloud Services」および「Symantec Protection Engine For Network Attached Storage」の2製品を発売した。

両製品はウイルススキャンと感染修復をリアルタイムで行うソフトウェアで、メールスキャン、ファイルスキャンに加え、URLフィルタリングを用いたWebスキャン機能を搭載している。URLフィルタリングは、同社が買収したWebコンテンツ分類サービスプロバイダ「RuleSpace」のURL情報により強化されており、新規の感染リスクに即時対応が可能となる「Rapid Releaseファイル」にも対応している。

今回、マルチスレッドとインメモリスキャンに対応したことでウイルススキャンが高速化され、従来製品に比べパフォーマンスが約50%向上しているという。なお、インターネットサービスプロバイダを通過するメールを対象としたサンプリングでは、98%のファイルを1秒以内でスキャンできたとしている。

Symantec Protection Engine For Cloud Servicesは、クラウドサービスプロバイダなどの事業者やクラウドサービスを社内構築する企業を対象とした製品で、SMTPメールや携帯メール、Webアクセスやファイルダウンロード、オンラインストレージのファイル利用など、さまざまなアプリケーションを保護できる。単一製品で幅広いアプリケーション保護が可能で、多彩な状況に対応できるのが特徴。

一方のSymantec Protection Engine For Network Attached Storageは、ネットワーク接続ストレージ(NAS)の保護を対象とした製品。遠隔地に設置されたストレージなどに対しても脅威を迅速に検知・駆除し、社内のウイルス感染を防ぐことができる。

両製品は販売パートナーを介した間接販売となっており、価格は、Symantec Protection Engine For Cloud Servicesが最小構成(ユーザーサブスクリプション12ヵ月)で1160円(税別)、Symantec Protection Engine For Network Attached Storageが最小構成で2320円(税別)となっている。

サイバー犯罪者に迫る最新セキュリティ技術――トレンドマイクロ技術セミナー

ITmedia PC USER 10月15日




「Forward looking Threat Research」チーム(FTR)を紹介するマーティン・ルースラー氏。FTRは20余名のセキュリティエキスパートで構成され、世界各国に点在している


 トレンドマイクロがサイバー犯罪の実態を解説するセキュリティセミナーを実施。同社の「Forward looking Threat Research」チーム(FTR)に所属するトップリサーチャーが来日し、「Luckycat」と呼ばれる標的型攻撃と、オンラインバンキングを狙ったトロイの木馬「Tinba」の事例から、サイバー攻撃の背後にいる犯罪者自身を浮き彫りにしていくFTRの取り組みを紹介した。

【画像:標的型攻撃の段階、ほか】

 FTRは、Windows 8やNFC(Near Field Communication)といった最新技術のセキュリティ研究をはじめ、エンドユーザーのインターネット利用動向や、サイバー犯罪者の活動などを日々調査している専門組織だ。

 FTRを率いるマーティン・ルースラー氏(Martin Rosler)は「FTRはいわばトレンドマイクロの“スカウト”(斥候)」と表現し、「後に続く軍に先んじて、相手の規模や戦域の情報を収集するのに似ている。将来どのようなセキュリティリスクが起こりうるか、トレンドマイクロの今後の意思決定に影響するインテリジェンスをトップに提供することがミッションだ」と説明する。また、FTRは各国の警察組織とも積極的に連携しており、その活動はサイバー犯罪者の逮捕や起訴にも貢献している(ちなみに日本では警察庁と京都府警が関係しているそうだ)。

 その土台となっているのが、トレンドマイクロの中核を担うクラウドインフラ「Trend Micro Smart Protection Network」(SPN)と、そこで収拾したセキュリティ情報に基づくビッグデータ分析である。SPNでは1日に6Tバイトのデータ(160億のクエリ)を処理し、さまざまな脅威からエンドユーザーを保護しているが、この膨大な情報をもとにサイバー攻撃の傾向(利用されるツールやコンポーネント、C&Cサーバなど)を分析、その相関関係をマッピングすることに成功したという。

●攻撃の全体像を捉えることで効果的な対策を実現

 シニアスレットリサーチャーのナート・ヴェルヌーヴ氏によれば、特定の企業・組織を継続的に狙う標的型攻撃には大きく分けて6つの段階があるという。まず1つ目は情報収集の段階。ここではFacebookなどインターネット上の公開情報をもとに標的にカスタマイズした攻撃を準備する。

 続く第2段階では不正なファイルを添付したEメールなどを用いて、標的への侵入を試みる。これらのメールは第一段階で収集した情報が利用されるため、ターゲットとなった組織の従業員が興味を持つ内容となっている(例えば、日本の宇宙航空産業を狙ったとされる標的型攻撃「Luckycat」では、「福島」を題材にした標的型メールも使用されたという)。

 その第2段階で不正なプログラムにうまく感染させることができれば、外部サーバ(C&Cサーバ)を通じて感染端末をコントロール下に置く、これが第3段階だ。その後、侵入したネットワーク内で水平的に感染を広げて攻撃の可能性を増やし(第4段階)、価値のある情報が保管されているサーバを特定(第5段階)、目的の情報を窃取していく(第6段階)という流れになる。

 ヴェルヌーヴ氏は、「これらを個々の攻撃として見るのではなく、一連のキャンペーン(作戦)として捉えることが重要だ」と強調する。例えば、Luckycatでは「少なくとも5つ以上のマルウェアファミリーが使われていたことが分かっている」が、これらは相互に関係している。また、「攻撃には無料のホスティングサービスが多用されていたが、その一方で専用の仮想サーバ(VPS)も用いられていた。標的型攻撃は複雑な階層構造になっており、(攻撃の段階に応じて)人の手を介して修正されているのがボットネットと大きく異なる点だ」と説明する。ヴェルヌーヴ氏は、SPNを背景にした相関分析でこれらの攻撃の「点を結ぶ」ことにより、攻撃の全体像を可視化し、今後の攻撃に効果的に備えていくことができると語る。

●相関分析でサイバー犯罪者の素顔に迫る

 SPNを利用した相関分析の有用性を端的に示したのが「Tinba」の例だ。オンラインバンキングを狙うTinbaは、8万を超えるPCに感染したとされるが、その90%以上はトルコで発生した。「このため、最初はTinbaがトルコの銀行を狙ったものであり、サイバー犯罪者はトルコ内部、もしくは隣国のグルジアやアルメニアの組織である可能性が高いと考えました」とロバート・マカドル研究員は語る。「しかしTinbaで利用されたインフラをマッピングをすることで、もっと大きな傾向が見えてきたのです」。

 同氏がTinbaで利用されたサーバの情報をSPNに照会すると、一見すると無関係な別の攻撃にひも付けられ、「SpyEye」や「Zeus」といったほかのマルウェアも利用されていたという。「攻撃者はロシアとリトアニアにも拠点を持っていました。Tinbaは実験的にトルコを狙っただけであり、ほかの国を狙っていたことも分かってきました」とマカドル氏。「さらに、ただ共通するインフラをマッピングするだけでなく、実際の犯罪者が誰なのかを特定することもできるのです」と続ける。

 ここからトレンドマイクロ内部で利用されているツールを用い、実際にサイバー犯罪者へと迫っていくデモが行われた。まず最初に、Tinbaが通信を行っているサーバと共通するSSHキーを使うサーバをSPNでふるいにかけ、各IPアドレスの関係を分析。ここで導き出した相関図から、隣接する2つのネットワークでZeusのC&Cサーバやフェイクアンチウイルスで利用されるサーバを発見する。

 これらの所有者はリトアニアにいる人のもので、さらに芋づる式に関連するIPを探索していくと、ロシア人が所有するモスクワのドメインにたどり着いた。通常、この種の登録情報には匿名のメールアドレスが利用されているため攻撃者の特定は困難だが、SPNを利用した広範囲な探索によって、(攻撃者のたった1度のミスから)個人用のメールアドレスが網にかかる。このメールアドレスで登録されたドメインを過去にさかのぼって照会してみると、危険なWebサイトを持っていた痕跡が見つかったという(つまり攻撃に関与している可能性が高い)。

 ロバート・マカドル氏は最後に、ロシアのSNSに投稿された攻撃者の顔写真をスライドに表示して、「Tinbaの半分はこの男が関与していた。最初はトルコだけが標的だと考えられたが、実際は世界各地を標的にしていたことが分かった。わずか数分で攻撃者の写真にたどり着くことさえある」とデモをまとめた。

クラウドプロバイダ向け、NAS向けに2種類のセキュリティソリューション(シマンテック)

ScanNetSecurity 10月15日



株式会社シマンテックは10月12日、2種類の組込み型ウイルススキャンソリューションの新製品「Symantec Protection Engine For Cloud Services」および「Symantec Protection Engine For Network Attached Storage」を発表した。本製品は、クラウドおよびビッグデータ時代の市場ニーズにあわせ、ウイルススキャンと感染修復を高速かつリアルタイムで提供する、柔軟性および拡張性に優れた企業向けセキュリティソリューション。ともにパートナーを介した間接販売となる。

「Symantec Protection Engine For Cloud Services」は、クラウドサービスプロバイダなどの事業者およびクラウドサービスを社内構築する企業を対象とした製品で、たとえばSMTPメールや携帯メール、インターネット上のWebアクセスやファイルダウンロード、オンラインストレージのファイル利用などのアプリケーションを脅威から保護する。価格は最小構成で1,160円。「Symantec Protection Engine For Network Attached Storage」は、Network Attached Storage(NAS)の保護を対象とした製品。遠隔地に設置されたストレージなど、物理的に管理が難しい場合でも、脅威を迅速に検知・駆除することで、社内のウイルス感染を防ぐ。価格は最小構成で2,320円。

シマンテック、組込み型ウイルススキャンソリューションの新製品を発表

japan.internet.com 10月15日


シマンテック、組込み型ウイルススキャンソリューションの新製品を発表


シマンテックは、2種類の組込み型ウイルススキャンソリューションの新製品「Symantec Protection Engine For Cloud Services」と「Symantec Protection Engine For Network Attached Storage」を10月12日に発表した。同製品は、クラウドおよびビッグデータ時代の市場ニーズにあわせ、ウイルススキャンと感染修復を高速かつリアルタイムで行う企業向けセキュリティソリューション。

Symantec Protection Engine For Cloud Services は、クラウドサービスプロバイダなどの事業者やクラウドサービスを社内構築する企業を対象とした製品。メールや Web、エンドポイントクライアント/デバイスなどのアプリケーションを、単一製品で幅広く保護する。

Symantec Protection Engine For Network Attached Storage は、Network Attached Storage(NAS)の保護を対象とした製品。遠隔地に設置されたストレージなど、物理的に管理が難しい場合でも、脅威を迅速に検知/駆除することで、社内のウイルス感染を防ぐことができる。

「タイマーソフト希望」発端 PC乗っ取りの経緯判明

朝日新聞デジタル 10月13日

「2ちゃんねる」を舞台にした感染までの流れ


 遠隔操作ウイルスに感染したパソコン(PC)からネット上に犯罪予告が書き込まれた事件で、大阪の男性のPCが感染する舞台になったネット掲示板でのやりとりの全容がわかった。希望するPCタイマー用ソフトを求める投稿をきっかけに、ウイルス発信者が第三者である「代行者」を通じてウイルスを仕込んだソフトへと誘導していたという。

 捜査関係者や情報セキュリティー専門家らによると、舞台になったのは2ちゃんねるで、スレッド名は「気軽に『こんなソフトありませんか?』」。

 このスレッドの閲覧者から7月26日午後7時過ぎ、「英単語を覚えるためにタイマーで時間測ってやりたいと思ってます キーボードでストップスタートができるタイマーありませんか?」と、タイマーソフトの紹介を頼む投稿があった。

 翌27日午後2時過ぎ、「これで需要は満たすかな? とりあえずキーボード操作は可能」とのソフト紹介の書き込みがあり、無料でダウンロードできるサイトのアドレスも記されていた。

 逮捕・起訴後に釈放された大阪府吹田市のアニメ演出家・北村真咲(まさき)さん(43)はこの書き込みに従い、ソフトをダウンロードし、PCがウイルスに感染したとみられる。北村さんのPCから大阪市のホームページに無差別殺人を予告する書き込みがなされたのは、2日後の29日午後9時45分ごろだった。

感染PC、遠隔操作終了を通知 証拠隠滅図る?

朝日新聞デジタル 10月13日

遠隔操作のしくみ


 遠隔操作ウイルスに感染したパソコン(PC)からネット上に犯行予告が書き込まれた事件で、ウイルスは、感染PCが指令を実行すると、書きこみが終わりました、などとの文面を日本語で返信させる仕組みだったことがわかった。ウイルス発信者は指令完了の返信を確認し、ウイルスを削除するなどの証拠隠滅を図っていたとみられる。

 捜査関係者によると、逮捕・起訴後に釈放された大阪府吹田市のアニメ演出家・北村真咲(まさき)さん(43)はネット掲示板「2ちゃんねる」経由で、別のサイトから無料ソフトをダウンロードし、PCがウイルスに感染。ウイルス発信者が北村さんのPCを遠隔操作し、7月29日に大阪市のホームページに無差別殺人の予告を書き込み、3日後、日本航空に旅客機爆破の予告メールを送ったとされる。

 ウイルス感染先のPCに指令を出す際、旧ライブドア(現NHNジャパン)が運営していた国内のネット掲示板に、アルファベットなどのプログラム言語で投稿。感染先のPCが掲示板に定期的にアクセスし、指令を読み取る仕組みだったことが確認されたという。

ウイルスに報告プログラム 遠隔操作 予告後、掲示板に「終了」

産経新聞 10月13日



 遠隔操作ウイルスに感染したパソコン(PC)からインターネットに犯罪予告が書き込まれた事件で、検出されたウイルスに、国内の無料掲示板サイト上で「書き込みは終わりました」と報告するプログラムがあったことが13日、分かった。ウイルス発信者が犯行の成否を確かめるために盛り込んだとみられる。

 情報セキュリティー会社「トレンドマイクロ」(東京都)が同型のウイルスを解析して判明した。

 同社によると、ウイルスに感染したPCは定期的に掲示板サイトにアクセスし、そこでウイルス発信者からの指令を受信。犯罪予告などを自動的に掲示板に書き込む仕組みになっていた。

 さらに、犯罪予告が終わると再び掲示板にアクセスし「書き込みは終わりました」と日本語で記入するようプログラムされていた。ウイルスを仕込んだ第三者が掲示板を閲覧することで、指令通りに書き込みが行われたかチェックできるようにしていたとみられる。

 感染PCは、ほぼすべての動作を遠隔操作で行うことができるが、複数のPCを同時に操ろうとすれば、掲示板を通じた指令の方が効率的。

 トレンドマイクロの担当者は「遠隔操作の手間を省くために、指令を出していたのではないか」と分析している。

 また、大阪の事件で釈放されたアニメ演出家の北村真咲(まさき)さん(43)のPCからはウイルスが消されていたが、発信者が掲示板を通じて指令を出し、削除したとみられるという。

<遠隔操作ウイルス>作成者、掲示板を常時監視か

毎日新聞 10月13日

ウイルス感染の流れ


 インターネット上で犯罪予告をしたとして男性2人が逮捕後に釈放された問題で、2人に遠隔操作ウイルスを仕込んだとみられる人物が、ネット上の掲示板「2ちゃんねる」を常時監視していた疑いが強いことが、捜査関係者への取材で分かった。2人が掲示板に画像編集ソフトなどを求める書き込みをした直後に、ウイルスが入ったソフトが作成され、掲示板に提供されていたという。

【ウイルス感染の構図】殺人予告:第三者が遠隔操作で書き込みか 演出家を釈放

 捜査関係者によると、大阪府のアニメ演出家の北村真咲被告(43)は7月26日午後7時1分ごろ、掲示板の「こんなソフトありませんか」という書き込み欄に、「英単語を覚えたい」と記載し、タイマー機能があるソフトを求めた。ウイルス作成者とみられる人物は翌27日午後1時21分ごろ、第三者に依頼し、この書き込み欄にタイマーソフトの張り付けを代行させたとみられる。北村さんは掲示板経由で、このソフトをダウンロードして感染した。一方、津市の無職男性(28)は9月9日午前4時43分ごろ、画像編集ソフトを掲示板で要求。翌10日午後2時43分ごろ、代行者がソフトを張り付けた。

 北村さんらが掲示板でソフトを要求して間もなく、ソフト張り付けの依頼が代行者にあったことから、府警はウイルス作成者が掲示板を常時監視し、感染させるターゲットを探していたとみている。

犯行声明?報道機関にメール届く パソコン遠隔操作

朝日新聞デジタル 10月13日



 遠隔操作ウイルスに感染したパソコンからネット上に犯罪予告が書き込まれた事件で、一部の報道機関に犯行声明のようなメールが届いていたことが、捜査関係者への取材でわかった。警察当局は真偽も含めて調べる。捜査関係者は「無視できるようなものではなく、それなりに詳しい内容」と話している。

<PC遠隔操作>三重の感染ウイルス発見は大阪府警

毎日新聞 10月13日



 インターネット上に犯罪予告を書き込んだとして逮捕された男性2人が釈放された問題で、三重県の無職男性(28)のパソコン(PC)からウイルスファイルを発見したのは、大阪府警の捜査員だったことが、捜査関係者への取材で分かった。一方、大阪府のアニメ演出家、北村真咲被告(43)のPCからはファイルが遠隔操作で削除されており、この時点で府警は北村さんのウイルス感染を見抜いていなかった。ある捜査員は「三重のウイルスも消されていれば、お手上げだった」と話している。
 府警は8月26日、大阪市のホームページ(HP)に無差別殺人予告を書き込んだとして、北村さんを逮捕、大阪地検が9月14日に偽計業務妨害罪で起訴した。三重県警も同日、伊勢神宮の爆破予告をしたとして、津市の男性を威力業務妨害容疑で逮捕。県警と情報交換していた府警が捜査員を派遣し、男性のPCから新種のウイルスファイルを発見した。

 捜査関係者によると、ウイルスのファイル名は「iesys.exe」で、遠隔操作で削除することが可能だが、三重では削除前にPCが押収された。府警は、このファイル名を基に、北村さんのPCを約10日間かけて調べ直し、ウイルス感染を確認した。専門家によると、ファイル名が不明なら、削除されたウイルスを検出するのに数年かかることもあるという。

 ある捜査幹部は「三重と大阪のウイルス名が少しでも違っていれば、北村さんのPCからウイルスをすぐに検出できなかっただろう」と話し、三重の事件がなければ北村さんの身柄拘束が続いていたという見方を示した。

ALSI、PC遠隔操作型ウイルスの感染による被害を防止する手法を提唱

BCN 10月12日


ALSIのウェブフィルタリングソフトによる対策のイメージ


 アルプスシステムインテグレーション(ALSI、麻地徳男社長)は、10月11日、PC遠隔操作型ウイルスの感染被害を未然に防止する対策として、「不正サイトへのアクセス」と「ネット上への書き込み」を規制することができる手法を提唱した。


 警察庁が発表した「平成24年上半期のサイバー犯罪の検挙状況等について」によると、サイバー犯罪の検挙件数は前年同期比30%増の3268件で、ネットワークを利用した犯罪は過去最高の件数に上った。とくに、コンピュータ・ウイルスに関する相談件数は285件と82.7%増加しており、悪質なウイルス感染被害は社会問題となっている。

 悪質なウイルスのなかには、パソコン(PC)を遠隔で操作するウイルスもある。感染してしまうと、パソコンが乗っ取られ、第三者のなりすましによって掲示板などに違法な書き込みをされたり、機密情報が漏えいしてしまったりすることがある。被害者になるだけでなく、加害者になってしまう可能性もあり、社会的な信用が失墜しかねない。そのため、企業や学校、官公庁は、従業員・職員に貸与しているパソコンへの対策も重要となっている。ウイルス対策ソフトを導入していても、検知されない場合があり、注意が必要だ。

 ALSIは、このような被害から身を守るために、ウェブフィルタリングソフトの利用が有効な対策方法であると提唱する。不正サイトへのアクセスを規制し、ウイルス感染を防止することができるほか、掲示板などへの書き込みを規制することができる。ALSIは、96年に日本で初めてフィルタリング事業を開始したフィルタリングソフトのパイオニアとして、00年から自社開発のウェブフィルタリングソフト「InterSafe WebFilter」の販売を開始。企業、官公庁、学校、家庭、ISP、携帯電話など、約1080万端末以上、全国の学校や教育委員会など、学校には約2万校以上の導入実績があり、「日本PTA全国協議会推奨商品」にも認定されている。

 さらに、国産メーカー最大規模の約40人の専任リサーチャーが目視で確認し、毎日更新しているURLデータベースは、ALSIの子会社であるネットスターから提供され、携帯電話会社5社(NTTドコモ、KDDI、ソフトバンクモバイル、ウィルコム、イー・モバイル)にも採用されている。最新バージョン「InterSafe WebFilter Ver.8.0」では、標的型サイバー攻撃対策として、マルウェア感染を未然に防止する「入口対策」、悪意ある情報搾取を防御する「出口対策」の両面で防御を行っている。

シマンテック、クラウドおよびビッグデータに対応する組込み型ウイルススキャン新製品を発表

RBB TODAY 10月12日

Protection Engine for Cloud Services紹介ページ


 シマンテックは12日、クラウドおよびビッグデータ市場ニーズにあわせた、2種類の組込み型ウイルススキャンソリューションの新製品「Symantec Protection Engine For Cloud Services」および「Symantec Protection Engine For Network Attached Storage」を発表した。

【画像】Protection Engine for Network Attached Storage紹介ページ

 中核となる「Symantec Protection Engine」は、メールスキャン、ファイルスキャンに加え、URLフィルタリングを用いたウェブスキャン機能も実装している。今回新たに、シマンテックが買収したWebコンテンツ分類サービスプロバイダ「RuleSpace」のURL情報を既存のデータベースと連携させたことで、URLフィルタリングも強化されている。またマルチスレッドとインメモリスキャンの対応により、高速なウイルススキャンを実現した。実際にインターネットサービスプロバイダを通過するメールをサンプリングした結果、98%のファイルを僅か1秒以内でスキャンすることに成功したという。

 「Symantec Protection Engine For Cloud Services」は、クラウドサービスプロバイダなどの事業者およびクラウドサービスを社内構築する企業を対象とした製品。たとえば、SMTPメールや携帯メール、インターネット上のWebアクセスやファイルダウンロード、オンラインストレージのファイル利用などのアプリケーションを脅威から保護できる。価格は最小構成で1,160円(ユーザーサブスクリプション12か月,税別)。

 「Symantec Protection Engine For Network Attached Storage」は、Network Attached Storage(NAS)の保護を対象とした製品。遠隔地に設置されたストレージなど、物理的に管理が難しい場合でも、脅威を迅速に検知・駆除することで、社内のウイルス感染を防ぐことができる。価格は最小構成で2,320円(ユーザーサブスクリプション12か月,税別)。

 いずれもLinux、SolarisおよびWindowsを含む複数のOSをサポートする。Symantec Protection Engine for Cloud Servicesでは、コマンドライン、C/Java/C#など多様なSDKも提供される。

不審メール:内閣府を名乗り、県に /徳島

毎日新聞 10月12日



 県は11日、市町村課に内閣府の実在の人物を名乗る不審なメールが1通届いていたことを明らかにした。メールの添付ファイルにウイルスが仕込まれていたが、対策ソフトで削除されたという。県は庁内や市町村に、不審なメールを開かないよう注意を促した。
.

 県によると、11日朝にメールをチェックした同課職員が見つけ、「御(ご)依頼の資料について」とのタイトルで10日夜に送られていた。本文には内閣府の実在の部署や人物の名前があり、「エネルギー」と名付けられたウイルスを仕込んだ添付ファイルを開くよう促す内容だったという。
 ウイルスは感染するとデータを外部に流出させたり、他のコンピューターを攻撃する種類のものという。

<ネット殺人予告>PC感染ウイルス、タイマー制御で作動

毎日新聞 10月12日



 大阪市のホームページ(HP)に無差別殺人予告を書き込んだとして逮捕、起訴後に釈放されたアニメ演出家の北村真咲被告(43)のパソコン(PC)が感染したウイルスは、決められた時間になると指令を受け取るために作動し始めるタイプであることが、捜査関係者への取材で分かった。所有者に感染を気付かれないように、不正を起こさせる指令があるまでPC内に潜んでいる。大阪府警は何者かが北村さんのPC内のウイルスを「タイマー制御」していたとみて調べている。
 捜査関係者などによると、このウイルスは他人のPCに侵入する「バックドア(裏口)型」と呼ばれる。ウイルスは普段、無用な動きをせずに感染PC内に潜んでいるが、所定の時間になると、別のサイトにある指令を受け取るために作動し始める。ウイルス自体が勝手に悪さを始めるとPCが誤作動を起こすなどして所有者に「乗っ取り」が発覚するケースがある。指令サイトは、ウイルスを仕込んだ何者かが作成し、指令を出していたとみられる。

 北村さんはインターネットの掲示板「2ちゃんねる」で紹介されたサイトに接続し、無料ソフトをダウンロードした際にウイルス感染した。掲示板には、無料ソフトに誘導するよう、「これで需要は満たすかな?」というメッセージが添えられていた。

 ウイルス感染した北村さんのPCは、外部からキーボード入力状況を盗み見ることができるようになった。大阪市のHPには北村さんの実名がフルネームで記載されていた。何者かが北村さんの名前や住所を確認した上でウイルスに指令を受け取らせ、無差別殺人予告を書き込ませた可能性が高い。

 また、指令サイトの開設や予告書き込みの命令は、欧州など海外のサーバーを複数経由し、足取りが追跡しにくい特殊な通信回路が使われていたことも新たに分かった。ウイルス作成者の特定には膨大な通信履歴の確認が必要で、府警は捜査の手が及ばないよう巧妙な工作をしたとみている。【武内彩、三上健太郎、服部陽】

 ◇酷似ウイルス2種類確認

 北村さんのPCから検出されたウイルスと、プログラムが酷似した2種類の「亜種」が確認されたことが、大手ウイルス対策会社「シマンテック」(東京都)への取材で分かった。新種のウイルスが出ると、亜種が次々に増殖するため、ウイルス対策各社が亜種への対策を急いでいる。

 専門家によると、ウイルスのプログラムが一部替えられただけの亜種は自動的に作られ無数に増え続けるよう設定されているケースが多い。同社によると、こうした亜種は昨年1年間で、約4億300万種が確認された。ウイルス対策各社は、プログラムが酷似した亜種でも駆除できるワクチン作り、対策ソフトを更新させて対応する。

遠隔操作ウイルス、感染源のサイト開設1カ月未満 乗っ取り後に閉鎖か

産経新聞 10月12日

遠隔操作ウイルスを使った犯罪予告の経緯(写真:産経新聞)


 遠隔操作ウイルスに感染した大阪と三重の男性のパソコンからインターネットに犯罪予告が書き込まれた事件で、大阪府警に逮捕されたアニメ演出家の北村真咲(まさき)さん(43)がパソコンの感染源の無料ソフトをダウンロードしてからまもなく、サイトが閉鎖されたとみられることが12日、捜査関係者への取材でわかった。

 サイトの開設期間も長くて1カ月程度だったといい、府警は、北村さんのパソコンの乗っ取りに成功したことを確認し、すぐにサイトを閉鎖した可能性もあるとみて、サイト開設者の特定を進めている。

 また、サイトの開設者がネット掲示板「2ちゃんねる」にサイトのアドレスを貼り付けるよう第三者の「代行者」に依頼していたことも判明。この依頼は匿名性の高いスイスの団体が管理するサーバーから発信されていたという。

 「2ちゃんねる」は通常、海外のサーバー経由の書き込みが規制されているが、代行板という書き込み可能な掲示板が存在する。捜査関係者によると、代行板では「これで需要は満たすかな?」という書き込みに続き、「ありますよ」と応じる言葉とともにサイトのアドレスを記載。同じ内容が代行者によって正規の掲示板に記されていた。

 投稿は7月27日で、北村さんのパソコンから大阪市のホームページに犯罪予告の書き込みがされたのは2日後だった。府警が9月18日にウイルスの存在を確認し、サイトを調べたが、すでに閉鎖されていたという。

 このサイトには20人程度がアクセスしていたが、北村さん以外の感染は把握されていない。

シマンテック、クラウド環境向けの2つのウイルス対策製品をリリース

ITmedia エンタープライズ 10月12日



 シマンテックは10月12日、クラウド環境向けのウイルス対策新製品「Symantec Protection Engine For Cloud Services」と、「同 For Network Attached Storage」を発売した。クラウドサービス事業者やクラウドを構築する企業向けに提供する。

 Symantec Protection Engine For Cloud Servicesは、SMTPメールや携帯メールからWebアクセス、ファイルダウンロード、オンラインストレージのファイル利用などにおけるウイルス対策を提供するという。For Network Attached Storageは、Network Attached Storageに特化したウイルス対策製品で、遠隔地に設置されたストレージなどのセキュリティ対策を強化できるという。

 対応OSはLinuxやSolaris、Windowsなど複数で、for Cloud Servicesではコマンドライン、C/Java/C#などによるSDKも併せて提供する。最小構成での参考価格(税別)は、for Cloud Servicesが年間1160円、For Network Attached Storageが同2320円。

「遠隔操作ウイルス」実行犯、新しい対策ソフトで検知へ 警察庁

産経新聞 10月12日



 インターネット上に犯罪予告の書き込みをしたとして逮捕された大阪などの男性が釈放された問題で、警察庁の片桐裕長官は11日の記者会見で「感染させた人物の特定など全容解明を進める」と述べ、捜査に全力を挙げる方針を示した。しかし、海外のサーバーを経由していたこともあり、実行犯の特定は難しいのが実情だ。

 今回問題となったウイルスは、これまでの対策ソフトで駆除するのは極めて困難な新種。しかも、書き込みは、米国のほかドイツなどヨーロッパの複数国のサーバーを経由して指示されていた。

 サイバー事件に詳しい捜査関係者は「複数の海外のサーバーを経由していることもあり、特定するのは困難」と指摘。さらに犯罪予告のメール送信後、通信履歴がパソコンから削除されていたため、実行犯の特定に至るまでの壁は高いという。

 警察庁がこの新種ウイルスについて対策ソフトの開発業者に情報提供したところ、複数の業者から「この新種ウイルスの検知が可能なソフトを開発した」との連絡を受けたという。警察庁は、今後はこのソフトを利用して検知を行うよう全国の警察本部に指示した。

 新ソフトの使用で、予防レベルは上がることが期待される。ただ、今回の問題について、捜査関係者は「(容疑者が)一貫して否認しているのであれば、不審なウイルスに感染していないかどうかパソコンを徹底的に解析すれば、防げたのではないか」と指摘している。

 一方、最高検は、発信元のIPアドレス(識別番号)などを手がかりに容疑者を特定して立件したこれまでの事件について、捜査の詳しい状況を調査するよう全国の地検に指示した。また、あわせて捜査の際には、第三者が遠隔捜査した可能性も視野に入れて慎重に調べを進めるよう要請した。

「遠隔操作ウイルス」新種続々…手口判明も消えぬ脅威

産経新聞 10月12日

遠隔操作ウイルスを使った犯罪予告の経緯(写真:産経新聞)


 インターネット上に犯罪予告の書き込みをしたとして逮捕された大阪などの男性が釈放された問題で、警察庁は11日、第三者になりすまして書き込みを行う「遠隔操作ウイルス」を使った犯罪の徹底捜査を全国の警察本部に指示した。最高検も過去の捜査状況の再点検を各地検に指示した。外部からパソコンを遠隔操作する仕組みは徐々に明らかになってきてはいるが、同種ウイルスは100種類以上あるともいわれ、今後の捜査は一筋縄ではいかない。

 この問題では、大阪市ホームページにアニメ演出家の北村真咲(まさき)さん(43)が大量殺人の予告を書き込んだとして、インターネット掲示板「2ちゃんねる」に津市の男性(28)が伊勢神宮の爆破予告を書き込んだとして、それぞれ威力業務妨害容疑で逮捕された。しかし、その後、2人のパソコンが遠隔操作ウイルスに感染していたことが判明、釈放された。

 いずれも2ちゃんねるを通じてダウンロードした無料ソフトが感染源だった可能性が浮上。パソコンから見つかったウイルスのファイル名が「iesys.exe」(アイシス)で共通していたことも判明した。このファイルは、幼稚園に園児に危害を加えるなどとメールを送ったとして警視庁に逮捕された福岡市の男性(釈放)のパソコンからも見つかった。

 情報セキュリティー会社「ネットエージェント」(東京)の杉浦隆幸代表によると、アイシスは平成22年7月ごろ登場。ウイルスは通常、複数のファイルでできており、アイシスはその中でも、感染したパソコンの内部で遠隔操作ができるように作用する機能を持っている。

 杉浦代表は「基本的にはこの種のウイルスに感染すると、遠隔操作で何でもできてしまうと考えた方がいい」と説明する。他国ではパソコンに内蔵されたカメラで使用者がのぞき見される被害も出ているという。

 一方、アイシスの発見に時間がかかった理由については「ファイル名が同じでも、ウイルス対策ソフトに引っかからないように設定を微妙に変えている場合があり、新種と同じ。発見は難しい」という。

 これまでに分かっている遠隔操作ウイルスだけでも100種類以上。時々刻々と新種が開発されているといい、杉浦代表は「被害状況を開示して、より多くの人が対策できるようにすることが大事」と話している。

なりすましウイルス 感染の無料ソフトに20人以上がアクセス

産経新聞 10月12日


 遠隔操作ウイルスに感染した大阪と三重の男性のパソコンからインターネットに犯罪予告が書き込まれた事件で、大阪府警に逮捕されたアニメ演出家の北村真咲(まさき)さん(43)のパソコンの感染源になったとみられる無料ソフトのダウンロードサイトに20人以上がアクセスしていたことが11日、捜査関係者への取材で分かった。

 無料ソフトはパソコン上でタイマー機能の役割を果たすもので、ある程度の知識があれば簡単に作成できることも判明。府警はウイルスを潜伏させたソフトを拡散させるため、何者かがサイトを開設したとみている。

 捜査関係者によると、北村さんはネット掲示板「2ちゃんねる」を経由してこのサイトにアクセスしていた。掲示板には、ソフトの利用を勧める紹介文とともに、サイトのアドレスが記されていたという。

 北村さんの証言に基づいて府警が調べたところ、このサイトにアクセスした人は少なくとも20人に上ることが判明。ただ、何人がソフトをダウンロードしたかは分かっておらず、遠隔操作で殺人予告などを書き込んだような被害事例も把握されていない。サイトはすでに閉鎖され、開設者は特定されておらず、割り出しを急いでいる。

 一方、三重県警に逮捕された無職男性(28)も「2ちゃんねる」を経由して無料の画像編集ソフトをダウンロードしたと県警に説明しており、両府県警は手口が似ていることや、感染したウイルスが同じだったことから、同一人物の犯行も視野に捜査している。

遠隔操作ウイルス、日本人作成か 掲示板介し暗号で指示

朝日新聞デジタル 10月12日


遠隔操作ウイルスの仕組み


 【須藤龍也】遠隔操作ウイルスに感染したパソコン(PC)からネット上に犯罪予告が書き込まれていた事件で、検出されたウイルスに日本語の文言が残っていたことが分かった。作成過程で日本語が使われたとみられる。また、感染したPCが、国内の掲示板サイトから暗号化された指示を受け取っていたことも判明。事件に日本人が関与した疑いが強まっている。

【写真】今回の事件で見つかったウイルスファイル「iesys.exe」=トレンドマイクロ提供

 一連の事件では、複数のウイルス対策会社が、警察庁からのウイルス情報の提供を受けて、解析を進めている。

 津市の男性(28)がネット掲示板「2ちゃんねる」に伊勢神宮の爆破予告を書き込んだとして逮捕、後に釈放された事件では、男性のPCに遠隔操作ウイルスが残っていた。

遠隔操作ウイルス、PCから消える 犯行予告の送信直後

朝日新聞デジタル 10月11日



 遠隔操作ウイルスに感染した大阪と三重の男性のパソコン(PC)からネット上に犯行予告が書き込まれた事件で、大阪の男性のPCに感染していた遠隔操作ウイルスが、犯行予告メールを送信した直後にPC上から消えていたことがわかった。大阪府警は、ウイルス検知の危険性を避けるため、発信者が役割を終えたウイルスを素早く消去した疑いがあるとみている。

 府警によると、逮捕・起訴後に釈放された大阪府吹田市のアニメ演出家・北村真咲(まさき)さん(43)のPCから送られた犯行予告は2種類。7月29日、大阪市のホームページ(HP)に大量殺人予告が書き込まれた。8月1日には、日本航空に対し、旅客機に爆発物を仕掛けたとする電子メールを送った形跡があるという。

 府警は、大阪市のHPへの書き込みが、北村さんのPCから送られたことを特定。8月1日に北村さんから任意で事情を聴き始めた。同じ日に任意提出を受けたPCからは遠隔操作ウイルスは見つからなかったため、同26日に逮捕した。起訴後の捜査で遠隔操作ウイルスに感染していた痕跡が見つかり、大阪地検が9月21日に釈放した。

日本のユーザを標的とするAndroidマルウェアが増加--ウイルス脅威レポート(Dr.WEB)

ScanNetSecurity 10月11日



株式会社Doctor Web Pacific(Dr.WEB)は10月10日、「2012年9月のウイルス脅威」をまとめ発表した。9月は、危険な悪意のあるプログラム「Trojan.Mayachok.1」による感染数に著しい減少が見られた一方で、従来のものとは大きく異なる新たな亜種がいくつか出現した。このトロイの木馬ファミリーは、Trojan.Mayachok.1から新しい世代へと代替わりしつつある。ファイルインフェクタ「Win32.Rmnet.12」に感染したコンピュータで構成されるボットネットは、あらゆる記録を塗り替え続けている。9月には500,000台の新たに感染したホストが加わっており、その合計は近いうちに500万台を超えるとしている。

9月も、Google Androidに対する脅威のエントリが多数Dr.Webウイルスデータベースに加わった。そのひとつ「Android.EmailSpy.origin」は日本のユーザを標的とするもの。Androidのアドレス帳から特にメールアドレスを盗み、後にそれらのアドレスが犯罪者による大量メール配信に利用される場合がある。9月の後半には、感染したデバイス上のショートメッセージを傍受する「Android.SmsSpy.6.origin」が追加された。日本のユーザを標的とする「Android.Loozfon.origin」および「Android.Loozfon.2.origin」スパイウェアも確認されている。

なりすましウイルス 感染源のサイトに20人以上接続 開設者特定急ぐ

産経新聞 10月11日


 遠隔操作ウイルスに感染した大阪と三重の男性のパソコンからインターネットに犯罪予告が書き込まれた事件で、大阪府警に逮捕されたアニメ演出家の北村真咲(まさき)さん(43)のパソコンの感染源になったとみられる無料ソフトのダウンロードサイトに20人以上がアクセスしていたことが11日、捜査関係者への取材で分かった。

 無料ソフトはパソコン上でタイマー機能を果たすもので、ある程度の知識があれば簡単に作成できることも判明。府警はウイルスを潜伏させたソフトを拡散させるため、何者かがサイトを開設したとみている。

 捜査関係者によると、北村さんはネット掲示板「2ちゃんねる」を経由してこのサイトにアクセスしていた。掲示板には、ソフトの利用を勧める紹介文とともに、サイトのアドレスが記されていたという。

 北村さんの証言に基づいて府警が調べたところ、このサイトにアクセスした人は少なくとも20人に上ることが判明。ただ、何人がソフトをダウンロードしたかは分かっておらず、遠隔操作で殺人予告などを書き込んだような被害事例も把握されていない。サイトはすでに閉鎖され、開設者は特定されておらず、割り出しを急いでいる。

 一方、三重県警に逮捕された無職男性(28)も「2ちゃんねる」を経由して無料の画像編集ソフトをダウンロードしたと県警に説明しており、両府県警は手口が似ていることや、感染したウイルスが同じだったことから、同一人物の犯行も視野に捜査している。

<PC遠隔操作>対策ソフトを開発…警察庁

毎日新聞 10月11日



 インターネット上に犯罪予告を書き込んだとして逮捕された大阪府の男性らが釈放された問題で、警察庁の片桐裕長官は11日の記者会見で、今回発見されたパソコンを遠隔操作できるウイルスについて「対策ソフト開発事業者から、検知し得るソフトを開発したとの連絡を受けた」と述べ、今後の捜査では、このソフトを必ず使用するよう都道府県警に指示したことを明らかにした。

リモート犯行予告マルウェア「SYSIE.A」を確認、トレンドマイクロが解析

Impress Watch 10月11日

 トレンドマイクロ株式会社は10日、他人になりすまして犯行予告の書き込みなどが行われたとされる複数の事件において、その遠隔操作に使われていた不正プログラムを解析したと発表した。新種のバックドア型不正プログラムが確認されたとしており、同社ではこれを「BKDR_SYSIE.A」として検出している。

 SYSIE.AはPCへ感染した後、環境設定ファイルで指定された電子掲示板(BBS)のスレッドにアクセスし、そこで攻撃者からの指令の受信や情報の送信を行う。バックドア活動で実行されるコマンドは以下の通り。

スクリーンショットの取得

ファイルのダウンロード

ファイルのアップロード

ファイルおよびフォルダの列挙

ファイルの実行

デフォルトのインターネットブラウザーの取得

隠しブラウザーで特定のURLを操作および開く

ユーザーのキー入力操作情報およびマウスの操作の記録

自身のアップデート

環境設定ファイルの更新

利用した掲示板のスレッドの更新

コンピューターを一定の時間スリープする

コンピューターから自身を削除する

 トレンドマイクロによると、SYSIE.Aは、他の不正プログラムに作成されるか、悪意あるウェブサイトからユーザーが誤ってダウンロードすることでPCに侵入する。

 SYSIE.Aは、感染したPCを攻撃者がインターネット経由で遠隔操作することを可能にする不正プログラムだ。このようなバックドア型不正プログラムはこれまでも無数に登場してきたが、今回は新聞やテレビなどで連日報道されているように、無差別殺人や爆破予告などの書き込みをしたとの容疑で、全く身に覚えのない人が逮捕・起訴されてしまったことで大きな注目を集めた。その後、不正プログラムの存在が判明して釈放されたというが、ユーザーの気付かぬところで自分になりすました犯罪が行われ、ある日突然、その罪が自分に降りかかってくる恐ろしさを示す結果になった。

 ただし注意しなければならないのは、バックドア型不正プログラムの活動は、何も犯行予告の書き込みに限らないことだ。PCを乗っ取ることで、そのユーザーになりすまして他の犯罪活動を行ったり、攻撃に悪用される場合もあるだろう。あるいは、長期間にわたって潜伏し、ユーザーのセンシティブな情報を窃取することも考えられる。

 トレンドマイクロでは、こうした不正プログラムの感染を防止するためにも、セキュリティソフトをインストールして最新の状態に保つこと、OSやアプリケーションの自動アップデート機能を有効にして常に最新の修正パッチを適用すること、出所不明の無料ソフトをインストールしないこと、見知らぬ送信元からのメールに記載されているようなURLを不用意にクリックしないことといった、インターネットを利用するにあたってのセキュリティの基本的な心得を改めて呼び掛けている。

 このほか今回の事件を受けて、ウェブフィルタリングソフトを開発・提供しているアルプスシステムインテグレーション株式会社(ALSI)が、防止手段としてウェブフィルタリングの有効性をアピールしている。不正プログラムを感染させるような不正サイトへのアクセスを未然にブロックできるほか、BBSへの書き込みを規制するよう運用すれば、今回のようななりすましによる書き込みも防止できると説明している。

Facebookのユーザを悪質リンクのクリックから守るMyPageKeeper

TechCrunch Japan 10月11日


あなたはこれまでに、Facebookの友だちからの、怪しげなお色気ビデオやリンクなどをクリックして、さらにもっと怪しげな画像やポップアップだらけのWebサイトに連れて行かれたことはない? その友だちは意図的にそんなものをポストしたんじゃなくて、彼/彼女のアカウントがハックされ、ウィルスだらけのWebサイトのリンクを、知らない間にすべての友だちに共有してしまったんだ。そのビデオやリンクをクリックしたあなたも、Facebookのアカウントをいたずらされ、コンピュータは永久にウィルスに汚染されてしまっただろう。

Facebook、一般ユーザー向けのプロモート・ポストをスタート―7ドル払えば自分の投稿を目立たせてくれる

そこでカリフォルニア大学リバーサイド校のエンジニアたちが、悪質なハッカーが作ったポスト(post, 投稿記事)を検出するFacebookアプリMyPageKeeperを作った。アプリのテストは12000名のユーザの4000万ものポストに対して行い、悪質なポストの97%を正しく見つけることができた。

“今ではいろんな意味で、FacebookがメールやそのほかのWebサイトなど、インターネット全体に換わるものになってしまっている。だからかつてインターネット全体のためにスパムリンク検出ソフトが必要だったように、今やFacebook上にも同じものが必要だ。MyPageKeeperは、まさにそのためのアプリケーションだ”、とコンピュータ科学科のMichalis Faloutsos教授は言う。Faloutsosの所見によると、Facebookユーザの半数近くは、友だちからの“すごいビデオよ、見て!見て!”などのポストによって、ソーシャルなマルウェア(socware, ソクウェア)に触れている。

MyPageKeeperは”FREE”(無料)、”Shocked”(ショッキング)、”Hurry”(今すぐ)など、およそ100のキーワードをスキャンしてソクウェアを検出する(100語で十分だそうだ…ただし現状は英語のみ)。Like(いいね!)が少なかったり、コメントの少ないポストはソクウェアの可能性がある。あやしい画像を最初から感づくユーザもいるし、クリックしておかしなところへ連れて行かれたら、そんなリンクをLikeするはずないからね。

リンクの上をマウスがホバーすると、ブラウザの下の方にそのURLが表示される。それが、信頼できるサイトやFacebook自身なら、クリックしてもまず安心だ。短縮URLは、悪質なリンクの正体隠しに使われることが多い。

MyPageKeeperの入手はここで。

〔訳注: 日本語版を作った方は、ぜひ、この記事のコメント(等)で告知をお願いします。〕


なりすましウィルス 捜査難航も「国交なく、捜査権及ばない国経由されたら…」

産経新聞 10月11日



 インターネット上に犯罪予告の書き込みをしたとして逮捕された大阪、三重の男性2人が釈放された問題で、2人のパソコンに米国や欧州の複数の国のサーバーに接続したログ(記録)が残っていたことが10日、捜査関係者への取材で分かった。2人が感染したウイルスが自動的に接続、第三者がこのサーバーを通じて遠隔操作したとみられる。

 大阪府警は、さらにパソコンの解析を進め、遠隔操作に利用されたサーバーを断定し次第、警察庁を通じて各国に捜査共助を要請する方針。

 捜査関係者によると、大阪府警に逮捕されたアニメ演出家の北村真(ま)咲(さき)さん(43)や三重県警に逮捕された無職男性(28)のパソコンを解析した結果、米国のほか、ドイツなど欧州の複数の国のサーバーに接続していたことが確認されたという。

 ただ、これらのサーバーより前に複数のサーバーを経由された可能性が高く、捜査は難航も予想される。ネットセキュリティー会社の担当者は「国交がなく、捜査権も及ばない国を数カ国経由されれば、問い合わせに応じてもらえないこともある」と指摘する。

 実際、平成22年に警視庁外事3課の内部資料がネット上に流出した事件では、ルクセンブルクのレンタルサーバーが使われ、それ以前に複数の国のサーバーを経由していたことが判明。しかし、現在も発信者の特定にいたっていない。

 捜査関係者によると、2人は別々の無料ソフトをダウンロードした際にウイルスに感染した疑いが強い。ウイルスの容量は違うものの、ファイル名と機能は同じだったことから、府警は同一人物による犯行も視野に捜査を進めている。


3人のPCに同名ファイル 遠隔操作の感染源か

朝日新聞デジタル 10月11日

遠隔操作事件の構図


 ウイルスに感染していた大阪と三重の男性のパソコン(PC)からネット上に犯罪予告が書き込まれた事件で、大阪の男性のPCからは、遠隔操作でウイルスや書き込み履歴などが消されていた疑いがある一方、三重の男性のPCにはいずれも残ったままだったことがわかった。

 2人のPCからは、同じウイルスが仕込まれた同名のファイルやその痕跡が見つかっているが、遠隔操作の仕方が異なるため、警察当局はウイルスの発信元が異なる場合も視野に捜査する方針。

 捜査関係者によると、大阪府警に逮捕され、その後釈放された大阪府吹田市のアニメ演出家北村真咲(まさき)さん(43)は、ネット掲示板「2ちゃんねる」を経由して無料ソフトをダウンロードした際にウイルスに感染。何者かが遠隔操作で大阪市のホームページ(HP)に殺人予告を書き込んだ可能性がある。

遠隔操作 複数国サーバー経由か ファイル名iesys.exe

産経新聞 10月11日



 インターネット上に犯罪予告の書き込みをしたとして逮捕された大阪、三重の男性2人が釈放された問題で、2人のパソコンに米国や欧州の複数の国のサーバーに接続したログ(記録)が残っていたことが10日、捜査関係者への取材で分かった。2人が感染したウイルスが自動的に接続、第三者がこのサーバーを通じて遠隔操作したとみられる。大阪府警は遠隔操作に利用されたサーバーを断定し次第、警察庁を通じて各国に捜査共助を要請する方針。

 捜査関係者によると、大阪府警に逮捕されたアニメ演出家の北村真(ま)咲(さき)さん(43)や三重県警に逮捕された無職男性(28)のパソコンを解析した結果、米国のほか、ドイツなど欧州の複数の国のサーバーに接続していたことが確認されたという。

 北村さんはネット掲示板「2ちゃんねる」の書き込みに誘導されて外部サイトに接続し、タイマー機能を持つ無料ソフトをダウンロード。このソフトにコンピューターウイルスが仕込まれていたとみられる。

 ウイルスのファイル名は大阪、三重のいずれも「iesys.exe」。ウイルス対策ソフトでは発見・駆除できなかった。

なりすまし事件の不正プログラム、トレンドマイクロが解析 新種のバックドア型、掲示板通じ攻撃指示

ITmedia ニュース 10月10日


トレンドマイクロのウイルスデータベース


 犯行予告をネットに書き込んだとして逮捕された大阪と三重の男性2人のPCからなりすまし可能な悪意あるプログラムが見つかった事件で、トレンドマイクロは10月10日、同プログラムを解析し、新種のバックドア型不正プログラムだったことを明らかにした。

 トレンドマイクロによる検出名は「BKDR_SYSIE.A」。プラットフォームはWindows 2000/XP/Server 2003、ファイルサイズは約5Mバイト。危険度や感染力は「低」がダメージ度は「高」としている。

同社によると、同プログラムはネット経由でPCに感染すると、ネット掲示板を使って外部の攻撃者と通信し、掲示板に作成したスレッドを経由して攻撃者からのコマンドの受信や情報の送信を行うという。

 感染したPCでは特定のスクリーンショットの取得やファイルのアップロード・ダウンロード、特定URLの操作、ユーザーのキー入力操作情報の記録などが可能になるという。プログラム自身を削除する機能も持つ。
「2ちゃんねる」にウイルス感染源 PC乗っ取り

朝日新聞デジタル 10月10日



 インターネット上に犯罪予告を書き込んだとして逮捕・起訴されたが、無関係の可能性があり釈放された大阪府吹田市のアニメ演出家、北村真咲(まさき)さん(43)が、ネット掲示板「2ちゃんねる」経由でウイルス感染源とみられる無料ソフトをダウンロードしていたことがわかった。府警は、ウイルスの発信者が不特定多数に感染させようと、掲示板を悪用したとみている。

 捜査関係者によると、この無料ソフトはパソコン上でタイマーの役割を果たすもので、北村さんは、大阪市のホームページ(HP)に無差別殺人予告が書き込まれた数日前に、ダウンロードしていたとみられる。

 2ちゃんねるには、無料ソフトの利用を勧める書き込みがあり、紹介されたアドレスをクリックするとソフトをのせたサイトにたどり着く仕組み。府警は、北村さんが2ちゃんねるを経由して、ウイルスの仕組まれたソフトをダウンロードした可能性が高いとみている。

遠隔操作ウイルス 脅迫文に釈放男性実名…大阪府警、不可解状況で逮捕

産経新聞 10月10日



 インターネット上に犯罪予告の書き込みをしたとして逮捕された大阪、三重の男性2人がいずれも無関係の可能性が高く、釈放された問題で、大阪府警に逮捕されたアニメ演出家の北村真咲(まさき)さん(43)の実名が、大量殺人を予告する脅迫文とともに大阪市のホームページ(HP)に書き込まれていたことが10日、捜査関係者への取材で分かった。

 北村さんは一貫して関与を否認。実名での書き込みは不可解な状況だったが、府警や大阪地検は遠隔操作が可能ななりすましウイルスを特定できないまま逮捕、起訴に踏み切っていた。

 捜査関係者によると、7月29日夜、大阪市HPの「市民の声」のページに「来週の日曜 (大阪・日本橋の)ヲタロードで大量殺人をする」などと書き込まれた際、氏名欄に北村さんの実名を記入。ただ「しんさく」と誤ったふりがなが振られ、住所やメールアドレスはでたらめな内容だった。

 北村さんのパソコンが感染したなりすましウイルスには、キーボード入力や送受信メールの監視、住所地を絞り込む機能があり、ウイルスを仕込んだ第三者が北村さんの個人情報をある程度把握し、書き込んだ疑いがあるという。

 北村さんは任意の聴取に「全く心当たりがありません」と犯行を否認。府警は8月初めに北村さんからパソコンの任意提出を受け解析した結果、書き込みされた時間帯に、市のHPに接続したことを示すアクセス記録が削除されていたことが分かった。

 こうした状況から府警は北村さんが証拠隠滅を図るため記録を消去したと判断。当時はパソコンからウイルスも検知されなかったため、「第三者による犯行ではない」として8月26日に逮捕した。

 府警幹部は実名による犯罪予告について「挑発の意図もあると思った。記録の消去も故意と判断した。捜査を尽くした結果、ウイルスによる感染がない以上、当時は容疑性があった」と説明している。

 北村さんのパソコンが感染していたウイルスは、伊勢神宮に爆破予告したとして9月14日に三重県警に逮捕された津市の無職男性(28)=釈放=のパソコンのものと同じ種類。男性は「ネットから無料ソフトをダウンロードした際に画面がおかしくなった」と供述したことから、三重県警がこのソフトを調査。新種のウイルスを発見し、ファイル名の特定に至った。

 三重県警と情報交換していた府警がこのファイル名をもとに改めて北村さんのパソコンを解析した結果、同種のウイルスが削除された痕跡が見つかったという。

 ◆産経新聞は10日付朝刊などの犯罪予告メールの記事で、北村真咲さんを匿名で報じましたが、北村さん側の意向も踏まえ実名報道にします。

アニメ演出家を狙う? ウイルスにPC使用場所を特定する機能

産経新聞 10月10日



 インターネット上に犯罪予告の書き込みをしたとして逮捕された大阪、三重の男性2人がいずれも無関係だった可能性が浮上し釈放された問題で、2人のパソコンが感染したなりすましウイルスに、パソコンの使用場所を特定できる機能があることが9日、捜査関係者への取材で分かった。

 釈放された2人は、いずれも居住地に近い施設に犯罪予告をしたとして逮捕されており、大阪、三重両府県警は、ウイルスを仕込んだ第三者が所有者の個人情報を把握し、遠隔操作で犯罪予告の対象を絞り込んだ疑いもあるとみて捜査している。

 捜査関係者によると、大阪府警に逮捕され、起訴後に釈放されたアニメ演出家(43)のパソコンを調べたところ、ウイルスにキーボードの入力状況や送受信メールの閲覧機能があることが分かった。

 さらに、遠隔操作でファイルを削除したり、ファイル名を変更したりすることもでき、パソコン使用場所の特定も可能だったという。釈放された津市の男性(28)が感染したウイルスも同じ種類だったとされ、両府県警は不正プログラムの解析を急いでいる。

<幼稚園脅迫メール>逮捕男性釈放、PCに遠隔操作ウイルス

毎日新聞 10月10日



 秋篠宮ご夫妻の長男悠仁さま(6)らに危害を加えるとの内容のメールを通園先のお茶の水女子大付属幼稚園(東京都文京区)に送信したとして、威力業務妨害容疑で逮捕された福岡市の無職の男性(28)を、東京地検が起訴せずに9月下旬に釈放していたことが9日、捜査関係者への取材で分かった。
 捜査関係者などによると、男性は容疑を認めていたが、この男性のパソコンからは大阪府警、三重県警に逮捕された男性2人のパソコンから検出されたものと同様に、遠隔操作の可能なウイルスが見つかったという。捜査関係者は「遠隔操作されたか分からないが、念のため釈放となった」と話している。

 逮捕容疑は8月27日午後5時ごろ、自宅のパソコンから同幼稚園に、始業式当日に悠仁さまと学友に危害を加えるという趣旨のメールを送りつけたとしている。同園は夏休み中の園児の登園を中止する措置を取った。

【レポート】脆弱性を狙った攻撃が多発、再度アプリケーションの確認を − マカフィーレポート

マイナビニュース 10月9日


マカフィーは、2012年9月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。また、McAfee Labsブログからの話題を紹介しよう。

○ウイルス

9月も脆弱性を狙った攻撃が多発している。最近では、IEの脆弱性(CVE-2012-4969)を狙ったゼロデイ攻撃が発生した。マカフィーでは、この脆弱性を悪用するhtmlファイルをExploit- CVE2012-4969として検知する。すでにマイクロソフトより、修正プログラムが配布されているので、速やかに対応してほしい。8月にも取り上げたが、Blackholeが依然、活発な活動をしている。Webの不正なリダイレクトを経由し(JS/Exploit-Blacoleなど)、JRE(Java Runtime Environment)、Adobe Flash、Adobe Readerなどの脆弱性により、最終的にはZeroAccess、PWS-Zbotなどの偽セキュリティ対策ソフトに感染する。

McAfee Labs東京主任研究員の本城信輔氏は「このうちJREとFlashは最近の1、2カ月に発見されたCVE-2012-1723、CVE-2012-4681、CVE-2012-1535といった脆弱性が悪用されています。感染を未然に防ぐためにも、これらのソフトウェアを最新の状態にしてください。なお、Flashの脆弱性CVE-2012-1535は標的型攻撃にも悪用されているので注意が必要です。これらは、Wordファイルに格納され添付ファイルとして、攻撃対象のユーザに送信されてきます。添付ファイルに対するセキュリティ対策が急務です」と注意喚起している。

ウクライナの政府機関を標的としたマルウェア、話題の映画タイトルを悪用(Dr.WEB)

ScanNetSecurity 10月9日



株式会社Doctor Web Pacific(Dr.WEB)は10月5日、感染したコンピュータによるボットネットの構成に関わる「BackDoor.BlackEnergy」の新たな亜種を発見したと発表した。このトロイの木馬は、現在議論を醸している映画のタイトルである「Innocence of Muslims」を件名に含むメールとともに拡散されたもので、今回はウクライナの政府機関が標的となった。感染したコンピュータは、犯罪者によって大量のスパム配信やDDoS攻撃の実行、およびその他の違法行為に利用される可能性がある。

この新たな亜種は、Microsoft Wordドキュメントが添付されたメールによって拡散された。同社では、これらのメールが外務省や在アメリカ合衆国ウクライナ大使館などのウクライナ政府機関に対して送信されているという点が興味深いとしている。ドキュメントはActiveXコンポーネントの脆弱性を悪用するもので、開こうとするとトロイの木馬ドロッパーを保存し、これがさらに通常のWordドキュメントを開いてユーザが疑惑を抱かないようにする。そしてさらに悪意のあるプラグインをダウンロードしていく。

<PC遠隔操作>ウイルス容量異なる 三重では動作異常

毎日新聞 10月9日


 インターネット上に犯罪予告を書き込んだとして逮捕された後、事件と無関係の可能性があり釈放された三重県と大阪府の男性2人のパソコン(PC)内にあったウイルスファイルの容量が異なることが、捜査関係者への取材で分かった。また、三重の無職男性(28)のPCだけ感染直後に不具合が起きていた。両府県警はファイルの微妙な差異に着目し、不正指令電磁的記録作成・同供用容疑で感染ルートの解明を急いでいる。

 捜査関係者によると、2人のPCを解析した結果、ウイルスは同種のものだったが、ファイルの容量に差があった。三重の男性は「インストール後に動作が重たくなった。パソコンが誰かに乗っ取られたようだ」と県警に話す一方、大阪のアニメ演出家(43)のPCに異常動作はなく、「身に覚えがない」と一貫して否認していた。

 このウイルスは、第三者が遠隔操作で機能を追加したり修正できたりするという。何者かがウイルスの機能を変えたことで、ファイル容量に違いが生じ、PCの動作にも差異が出たとみられる。

 大阪の演出家は複製ソフトを、三重の男性は画像処理ソフトをそれぞれダウンロードした際にウイルスに感染したことも判明した。ともにネット上の無料ソフトで、何者かがウイルスを仕込んだ可能性があるという。

 また、三重の男性のPCからゲーム機メーカー「任天堂」(京都市南区)への爆破予告が書き込まれていたことが新たに分かった。【武内彩、三上健太郎、服部陽、大野友嘉子】

 ◇「慎重に捜査してほしかった」

 釈放されたアニメ演出家が「逮捕されてショックだった。否認したのに警察は『お前に間違いない。確証がある』と決めつけた。慎重に捜査してほしかった」と話していることが分かった。弁護を担当している土橋央征弁護士が明らかにした。演出家はウイルス対策ソフトを使用していたが、第三者による「乗っ取り」の兆候はなかったという。

ネット犯罪予告 ダウンロードで感染? ルート複数と判明

産経新聞 10月9日



 インターネット上に犯罪予告の書き込みをしたとして逮捕された大阪、三重の男性2人がいずれも無関係の可能性があるとして釈放された問題で、2人のパソコンがネット上で公開されているソフトをダウンロードした際に、なりすましウイルスに感染した疑いが強いことが8日、捜査関係者への取材で分かった。

 ダウンロードファイルの中に不正プログラムが仕込まれ、以後第三者が遠隔操作できるようになったという。

 2人が取り込んだソフトはそれぞれ異なり、感染ルートが複数あったことも判明。なりすましウイルスは同種だが容量などに違いがあるといい、大阪、三重両府県警はウイルスの解析を進める。

 捜査関係者によると、三重県警に逮捕、釈放された津市の無職男性(28)は、ネット上で写真のデータを読み取る無料ソフトをダウンロードした際に感染した可能性が高い。

 男性は「ソフトをダウンロードした後、パソコンの動作が重くなり、画面もおかしくなったので1時間後に作業をやめた」と供述。県警はこのソフトの関連ファイルを調べ、今回の不正プログラムを発見した。

 大阪府警に逮捕され、起訴後に釈放されたアニメ演出家の北村真咲(まさき)さん(43)のパソコンもダウンロード時に感染した可能性が高いが、三重の男性と同じ写真の無料ソフトは取り込まれておらず、府警は感染源となったソフトの特定を急いでいる。

<PC遠隔操作>感染源は複数 ウイルス拡散も

毎日新聞 10月9日



 インターネット上に犯罪予告を書き込んだとして逮捕された後、事件と無関係の可能性があるとして釈放された大阪府と三重県の男性2人は、パソコン(PC)がウイルスに感染した際に、異なる種類のソフトをダウンロードしていたことが、捜査関係者への取材で分かった。しかし、感染したウイルスは同じ種類だった。感染源が複数存在することから、大阪府警などは、第三者がPCを遠隔操作できるウイルスが広範囲に拡散している可能性があるとみている。

 2人は当初、大阪市のホームページ(HP)やネット掲示板で無差別殺人や爆破を予告したとして逮捕された。その後の捜査で、2人のPCが特殊なウイルスに感染し、第三者が遠隔操作で脅迫文を勝手に書き込んだ疑いが強まった。捜査関係者によると、2人は別々の無料ソフトをダウンロードした際にウイルスに感染したという。

 専門家は「ウイルスはセキュリティーの弱い無料ソフトやHPに仕掛けられ、感染が拡大していくことが多い」と指摘している。府警はウイルスの作成者などを特定する解析作業を急いでいる。

 また、遠隔操作は海外のサーバーを経由して実行されていた疑いが強いことも新たに分かった。海外を経由することで捜査を困難にする狙いがあるとみられる。

ネット上のソフトが感染源か PC遠隔操作のウイルス

朝日新聞デジタル 10月9日



 ネット上に犯罪予告を書き込んだとして逮捕された大阪府と三重県の男性2人が、事件と無関係の可能性があるとして釈放された問題で、2人は遠隔操作ウイルスが仕組まれたソフトをダウンロードし、感染した疑いのあることがわかった。

 大阪府警の捜査関係者によると、逮捕された大阪府吹田市のアニメ演出家(43)は「ネット上でソフトをダウンロードした時にウイルスがついてきたのかもしれない」と説明。演出家はタイマーの役割を果たすソフトをダウンロードしたといい、このソフトにウイルスが仕組まれていた可能性もあるという。

 一方、三重県警によると、津市の無職男性(28)は、画像データの加工・編集に使う無料ソフトをダウンロード。この直後に、男性のパソコンからネット掲示板に「伊勢神宮爆破」などと書き込まれたという。

ウイルス感染、遠隔操作 ネットの脅威「誰もが容疑者に」

産経新聞 10月8日

なりすましウィルスを使った殺人予告書き込みの経緯(写真:産経新聞)


 大阪と三重で発覚した今回のケースでは、誰もが知らないうちに犯人に仕立て上げられ、逮捕・起訴までされてしまうネット空間の危うさがあらわになった。

 情報セキュリティー会社「ネットエージェント」(東京)の杉浦隆幸代表によると、他人のパソコンを乗っ取り、遠隔操作できるようにする「なりすましウイルス」は、海外で1999年ごろに登場。2008年ごろから急激に進化して英国を中心に広まり、現在では世界各国で被害が確認されている。

 日本では遠隔操作を意味する「リモートコントロールソフト」という名前で知られ、「ボットウイルス」とも呼ばれる。昨年、三菱重工業など防衛産業メーカーがサイバー攻撃を受けたり、衆参両院のパソコンがウイルス感染したりした事件でも同種のウイルスが使われ、海外から攻撃されていたとみられる。

 しかし、今回のように乗っ取られたパソコンから日本語で書き込まれるなど、日本人の犯行とみられるケースは珍しく、ネット事情に詳しいフリーライター、渋井哲也さんも「他人にパソコンを完全に乗っ取られ、気付かないまま犯罪行為をして起訴までされたケースは初めてではないか」と指摘する。

 なりすましウイルスの感染方法は、勤務先の上司の業務連絡を装ったウイルスを添付したメールを送りつけたり、特定サイトを閲覧させたりするなど巧妙で、所有者が感染に気付くことはほとんどない。

 パソコンを乗っ取れば今回のような殺人予告だけでなく、パソコン内の情報を盗み見することもできる。

 杉浦代表は「ウイルス対策ソフトを入れていれば、少しはいいかもしれないが、今のところ完全な対策はない。スマートフォン(高機能携帯電話)でも被害が出てくる恐れもある」と警告する。

 「誰もが容疑者にされ得る、非常に恐ろしい時代になったことを社会全体が認識し、議論を始めるべきだ」。堀部政男一橋大名誉教授(情報法)はこう指摘した。

 三重の事件で釈放された無職男性(28)の父親は「息子が逮捕されて家中がパニックになった。犯人は卑劣だ」と語る一方、「最初から息子のことを信用していた」と落ち着いた様子で話した。男性は釈放後、自宅に戻って家族に「迷惑掛けてごめん」と謝り、「事件の話はもうしたくない」と語ったという。

最新の脆弱性を偽セキュリティソフトや標的型攻撃に悪用--9月度レポート(マカフィー)

ScanNetSecurity 10月5日



マカフィー株式会社は10月4日、2012年9月のサイバー脅威の状況を発表した。本レポートは、同社のデータセンターで把握している情報をもとにトップ10を算出し、同社の研究機関であるMcAfee Labsの研究員が分析をしたもの。PCにおけるウイルスの脅威傾向では、9月も脆弱性を悪用したドライブ・バイ・ダウンロード攻撃に関連した脅威がランクインしている。特に「Blackhole」が顕著であり、Webの不正なリダイレクトを経て(JS/Exploit-Blacole等)、JRE、Adobe Flash、Adobe Readerなどの脆弱性により最終的に「ZeroAccess」「PWS-Zbot」などの偽セキュリティソフトに感染することが報告されている。

しかも「CVE-2012-1723」「CVE-2012-4681」「CVE-2012-1535」といった最新の脆弱性が悪用されている。なお、Flashの脆弱性(CVE-2012-1535)は標的型攻撃にも悪用されている。また、9月はIEの脆弱性(CVE-2012-4969)を狙ったゼロデイ攻撃が発見された。McAfeeでは、この脆弱性を悪用するhtmlファイルを「Exploit- CVE2012-4969」として検知する。修正パッチがMicrosoft社より提供されているので、未修正の場合は早急に対応するよう呼びかけている。

【レポート】IEの脆弱性を狙ったゼロディ攻撃や「尖閣」の悪用も − トレンドマイクロレポート

マイナビニュース 10月4日


トレンドマイクロは、2012年9月度のインターネット脅威マンスリーレポートを発表した。まず取り上げているのは、9月18日に報告されたIEの脆弱性を狙ったゼロディ攻撃である(4日後の22日には修正プログラムが公開されたが、その間は攻撃の対象となった)。トレンドマイクロによると、18日にはその脆弱性を悪用した不正なWebサイトを確認できたとのことである。そのいくつかを紹介しよう。まずは、正規のサイトに不正なHTMLファイルが埋め込まれたものである。


次は、不正なHTMLファイルを実行後、正規サイトへリダイレクトするものだ。

一部の不正なサイトでは、最終的にバックドア型不正プログラムの「BKDR_PLUGX(プラグエックス)」が仕掛けられる。また、一部の不正サイトのURLには、「senkaku」の文字が含まれていた。当時、注目されていた「尖閣諸島」を想定させる。攻撃者の意図として、話題性の高いニュースでユーザーの興味を引くことがあったと推察される。

○国内で収集・集計されたランキング

今月も変動の多いランキングとなった。先月、いきなり1位となった「ADW_SOMOTO(ソモト)」はランク外となり、今月も「Mal_Siref32(サーエフ)」、「Mal_Siref64(サーエフ)」、「TROJ_PATCHED.AGQ(パッチド)」などが、新たにランクインしている。これらを含め、4位から9位までがZACCESS関連の不正プログラムである。夏以降、活発な活動を続けている。詳細は、トレンドマイクロのセキュリティブログを参照してほしい。

表1 不正プログラム検出数ランキング(日本国内[2012年9月度])
○世界で収集・集計されたランキング

全世界でもZACCESS関連の不正プログラムのランクインが目立つ。7位の「Mal_Siref64(サーエフ)」、8位の「PTCH64_ZACCESS.A(ジーアクセス)」、9位の「TROJ_PATCHED.AGQ(パッチド)」である。世界でも同様の傾向が続くと思われる。今回、新たにランクインした「ADW_SEARCHSUITE(サーチスーツ)」はフリーツールと一緒にインストールされ、広告を勝手に表示するアドウェアです。

表2 不正プログラム検出数ランキング(全世界[2012年9月度])
○日本国内における感染被害報告

検出数ランキングの変動に呼応するかのように、こちらのランキングも変動の多いものとなった。1、2位は、いすれもAdobe Acrobatの脆弱性に対するエクスプロイトコードを含むものだ(実体はPDFファイル)。トレンドマイクロによれば、ユーザーへの深刻な実被害はないとのことである。

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年9月度])

(c-bou)

不正デバイス接続防止アプライアンスの最新版、連携で二要素認証など対応(ソリトンシステムズ)

ScanNetSecurity 10月4日


株式会社ソリトンシステムズは10月3日、企業ネットワークへの不正なPCやスマートフォンなどの接続を防ぐアプライアンスの最新版「NetAttest LAP」V2.0を開発、同日より販売を開始したと発表した。本製品は、ネットワークを監視し、接続しようとするデバイスのIPアドレスとMACアドレスをチェックすることで、不正デバイスやマルウェア感染の疑いがあるデバイスを検知・ブロックするための小型アプライアンス。価格は98,000円。

最新版では、ユーザ認証アプライアンス「NetAttest EPS」と連携し、ユーザ認証とデバイス認証の二段階認証を実現した。さらに、ブロックされた不正デバイスから治療などのために特定IPアドレスへの通信を許可する機能を追加した。以前から販売している、ForeScout社のエージェントレス検疫・IPSアプライアンスCounterACT連携版のNetAttest LAPも同時にバージョンアップしており、ブロック後のメッセージ表示や治療などを可能にし、不正デバイスのブロックだけではなく、ブロックされた後でも治療サーバへの接続が許可できるようになった。

IEのゼロデイ攻撃と「尖閣諸島」の関連性--脅威レポート(トレンドマイクロ)

ScanNetSecurity 10月4日

ユーザを悪意あるサイトに誘導するテクニック


トレンドマイクロ株式会社は10月4日、2012年9月度の「インターネット脅威マンスリーレポート」を発表した。9月度の脅威状況では、9月18日にMicrosoftのWebブラウザ「Internet Explorer(IE)」の脆弱性(CVE-2012-4969)が公表され、22日に修正プログラム(MS12-063)が公開されるまでの4日間、ユーザは「ゼロデイ攻撃」の脅威にさらされていた。同社では18日、すでにこの脆弱性を利用した不正なWebサイトを複数確認していた。これらの一部の不正Webサイトに接続すると、最終的にバックドア型不正プログラム「BKDR_PLUGX」が仕掛けられる。

確認された不正サイトのひとつは、URLに「尖閣諸島」のニュースを想定させる「senkaku」という文字列と国内テレビ局名が含まれていた。これは話題のニュースでユーザの興味を引く意図があったと推測される。また、不正Webサイトにアクセスした後で正規のMicrosoftのWebサイトを表示することで、攻撃に気づかれにくい工夫がされていたほか、正規サイトを改ざんし、該当の不正なHTMLファイルが埋め込まれた事例も確認されている。

日本国内の不正プログラム検出状況では、4位から9位の6種はJavaの脆弱性などを利用してWeb経由で感染する「ZACCESS」関連の不正プログラムであった。これらは全世界でも7、8、9位となっている。日本国内の問い合わせ状況では、ランキングの1、2位は「TROJ_PIDIEF.RLIA」「EXPL_PDF4155.A」で検出するPDFファイルへの問い合わせであった。ファイル自体によるユーザへの深刻な実被害はないものの、Adobeの脆弱性に対するエクスプロイトコードを含むため検出される。
企業向けクラウドセキュリティソリューション=ウェブルート〔BW〕

時事通信2012/10/4



 【ビジネスワイヤ】インターネットセキュリティーのウェブルート(東京都港区)は、企業向けの新しいクラウドセキュリティソリューション「ウェブルート セキュアエニウェア ビジネス ― エンドポイントプロテクション(Webroot SecureAnywhere Business―Endpoint Protection)」の提供を開始したと発表した。同製品は、企業やネットワークサービスなどの端末におけるマルウェア対策のための包括ソリューション。フル・クラウドベースの先進的なファイル特徴認識および行動認識テクノロジーによって、さまざまな脅威や、ゼロデイアタックに代表されるような未知の攻撃から、企業やユーザーを防御する。既に出荷開始しているコンシューマ向けソリューションと同様に、定義ファイルやパターンファイルを用いない先進の検知ロジックで、超高速・軽量なネットワーク端末保護を実現する。〈BIZW〉
【編注】この記事はビジネスワイヤ提供。原文はwww.businesswire.comへ。 

2012年のサイバー攻撃、3分の2はマルウェア・ネットワークが背後に

Computerworld 10月4日

Blue Coatはこのマルネットの分析を含む報告書「Web Security Report 2012」を公開した


 セキュリティ企業の米国Blue Coat Systemsが発表した最新の分析によると、攻撃者が操るマルウェア配信/攻撃ネットワーク(いわゆる「マルネット」)を利用したものが全サイバー攻撃の3分の2を占め、ほとんどの現行テクノロジーではこうした脅威に十分対応できていないという。


 マルネットとは、マルウェアに感染したサーバで構成されるネットワークのことだ。攻撃者はマルウェアをダウンロードさせる不正なコードを埋め込んだサイトにターゲットを誘導したり、Web検索上位にこうした攻撃サイトが表示されるようにしたりすることで、マルウェアを拡散させる。こうした手法そのものは従来からあるものだが、大規模なネットワークを自律的に構成、拡大させる自動化処理が組み込まれている点が新しい。

 Blue Coatが把握しているマルネットのうち、最大規模のものになると約5,000台のホストを配下に置いている。同社はおよそ1,500のマルネットを個別に追跡しているが、半年前と比べるとその数は3倍に急増しており、サイバー犯罪における新たな流行を産み出しているという。

 主に感染したPCで構成されるボットネットとは異なり、マルネットは常に変化する高度な指令管制(C&C: Command and Control)システムを持つため、ネットワークの閉鎖はより困難だ。Blue Coatによると、「Shnakule」と呼ばれる最大のマルネットだけでも、2012年中にホストのC&Cサーバに対して出された変更指示は5万6,000回にのぼる。

 一方のボットネットは、感染したマシンに直接C&Cサーバのアドレスを書き込む必要がある。したがって、このC&CサーバやバックアップのC&Cサーバがネットワークから排除(ブロック)されれば、ボットネットに感染したPCは活動できない。

 過去2年間に大規模なボットネットが閉鎖されたにもかかわらず、新たなボットを作り出すマルウェア・ネットワークが存在する限り、マルウェアの長期的な休止は期待できないということだ。

 Blue Coatの研究者は、「セキュリティ企業がボットネットZeusを徹底して追跡した際、マルネットの運営者は単純にリソースを別のボットネット「Aleuron」に移動し、開発や攻撃に使った」と指摘する。

 このため、たった6カ月間でAleuronボットネットの活動は517%も増加し、Zeusを抜いて世界最大のボットネットへと成長したという。
(John E Dunn/Techworld.com)

「IIJ GIO」に「FFRI yarai」などセキュリティ強化オプションを追加(IIJ、トレンドマイクロ、FFRI、ベーステクノロジー)

ScanNetSecurity 10月3日



株式会社インターネットイニシアティブ(IIJ)は10月3日、「IIJ GIO仮想デスクトップサービス」においてセキュリティの機能強化を実施したと発表した。本サービスは、企業向けにWindowsデスクトップおよびアプリケーションを仮想化し、どこからでもネットワーク経由でオフィスと同じ環境を利用できるサービス。今回、新たに「ZeroDay攻撃対策オプション」「端末認証オプション」「アンチウイルスオプション」を追加、10月より提供を開始する。

ZeroDay攻撃対策オプションは、株式会社フォティーンフォティ研究所(FFRI)の標的型攻撃対策ソフトウェア「FFR yarai」を採用したもの。ゼロデイ攻撃やWeb感染型マルウェアの検知・防御を行う。端末認証オプションは、ベーステクノロジー株式会社の認証ソフトウェア「QuiX端末認証」を利用したもの。認証鍵を各端末に配布し、サーバ側で認証する。アンチウイルスオプションは、トレンドマイクロ株式会社の「ウイルスバスター コーポレートエディション」を利用している。

【レポート】勝手にツィート?SNSの連携機能を悪用した攻撃 − IPAの今月の呼びかけ

マイナビニュース 10月3日


IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、SNSの連携機能を悪用した事例を紹介している。TwitterやFacebookなどのSNS(ソーシャルネットワークサービス)を利用は、非常に一般的なものとなっている。これまでも、Twitterでは短縮URLを使った不正サイトへの誘導、Facebookでは友人や知人になりすますといった攻撃などがあった。今回は、SNSの連携機能を悪用した攻撃事例が報告された。IPAによれば、Twitterで「自分では何もしていないのに、勝手にツィートされた」といった相談が寄せられたとのことである。まずは、その手口を紹介しよう。


○Twitterとの連携サービスを悪用

寄せられた相談をもとに、実際にIPAが検証を行った事例である。ここでは、AさんがXさんをフォローしている、つまりAさんのタイムランには、Xさんのツィートが表示されている状態である。

ここで、Xさんのツィートに短縮URLが含まれていた。フォローしていることで、このURLを安心してクリックしてしまう。まずは、これが第一段階である(図1の【1】)。上述のように、短縮URLであることから、どのようなサイトか想像がつきにくい。

実際にURLをクリックして誘導されたWebサイトでは、新規のフォロワー(Aさんをフォローしてくれるユーザー)を得られるといったことが紹介されている。当然ながら、これも誘いの文句である。本当にフォロワーが得られると思い、[Twtterでログイン]をクリックしてしまう。これが第二段階である(図1の【2】)。

さて、ここからが連携サービスを悪用をした手口の本質である。まずは「連携サービスをAさんの権限で動作させてもよいか?」という内容のページが表示される。そして[ログイン]をクリックすると、TwitterのIDとパスワードを入力していなくても、Aさんの権限がその連携サービスに対して許可されてしまう。ここで、AさんのTwitterアカウントがその連携サービスに乗っ取られてしまう(図1の【3】)。IPAによると、厳密な意味でのアカウントの乗っ取りではない。実際には「認可情報の委譲」が行われているとのことだ。

この結果、AさんをフォローしているBさんのタイムランに、連携サービスがAさんの代わりに勝手に書き込んだ「ツィート」が表示される(図1の【4】)。IPAの検証によれば、連携サービスがAさんの代わりに勝手に行ったツィートは、【1】で受け取ったものと同じ内容であったとのことだ。こうして、連鎖的に乗っ取りが行われていくのである。そして、悪意を持った攻撃者は、危険なWebサイトのリンクを含むようなツィートを行い、二次攻撃を行う危険性がある。

○対策の第一は、不要な連携サービスの取り消し

最近のSNSでは、多様な連携サービスがある。具体的には、以下のようなものがある。

画像共有サービスとTwitterとの連携を許可している場合、画像をアップロードすると、その画像がTwitterに自動的にツィートされる
FacebookとWebメールサービスとの連携を許可している場合、Webメールサービスのアドレス帳に記載しているメールアドレス宛てに、自動的に招待状メールが送られる

ここで注意したいのは、これらの連携処理が「本人の意図に関わらず」自動的に行われることがあることだ。この機能によって、知らないうちにツィートされたり、招待状が送付されてしまうのである(これで、また被害を拡大する)。さて、対策であるが、SNSが連携しているサービスやアプリを確認し、使っていない機能は削除することである。連携サービスよっては、アカウント作成した段階で、自動的に登録されることもある。まずは、Twitterの削除方法である。ログインしたら、[設定]→[アプリ連携]を選ぶ。

ここで、[許可を取り消す]で不要なサービスを削除する。Facebookでは、ログイン後、[ホーム]→[アカウント設定]→[アプリ]を選ぶ。

右にある[×]をクリックすることで、不要なサービスを削除できる。最後にYahoo! Japanである。ログイン後、[登録情報]から登録情報の確認画面へ進む。その画面で[外部アカウント連携/解除]を選ぶ。

ここで、[解除]をクリックすることで、不要なサービスを削除できる。なお、これらの設定変更方法は、2012年9月15日時点のものであり、変更される可能性もあるので注意されたい。もし、上述のような被害を経験していなくても、各種SNSを利用しているのであれば、この機会に一度確認してみるのもよいであろう。

○その他の対策も

さて、冒頭にふれたように、短縮URLが悪用されることは、かなり以前から行われている。Twitterの文字制限に対応する機能であるが、どういったサイトなのか想像がしにくい。そこで、クリックする前に本来のURLに表示するようなツール使う。また、短縮URL自体を検索することで、評判を確認できることもあるとのことだ。

最近では、セキュリティ対策ソフトの機能として、事前に短縮URLでも危険性の表示やブロックを行ってくれるものもある。できれば、このようなセキュリティ対策ソフトと併用すべきであろう。これら以外にも、連携サービスの評判を事前に検索することで、不正なサービスと判明することもある。特に、サービス内容がよくわからない場合などは、確認しておきたい。最後に、もし、このような不正なサービスや不審なメール、怪しいリンクなどを見つけた場合、積極的に、IPA安心相談窓口に連絡をしてほしいとのことである。

(c-bou)

ユーザーを脅して偽アンチウィルスソフトを売りつけた業者に罰金1億6000万ドル

TechCrunch Japan 10月3日

システムがウィルスとポルノに感染したと信じこませてユーザーを脅し、暴利を貪っていた広告主らに、連邦取り引き委員会がが鉄槌を下した。いわゆる「スケアウェア」[scareware、脅迫ソフト]の売り手たちは、「明示的あるいは暗黙に、消費者のコンピューターをスキャンしてウィルス、スパイウェア、システムエラー、およびポルノなどのセキュリティあるいはプライバシー問題を検出した」と偽ったとして、罰金1億6300万ドルの矢面に立たされている。インターネットを頻繁にサーフィンする人なら、ユーザーのコンピューターに悪質なコンテンツを発見したふりをして、次に、都合よく、修正するための高価な解決方法(30〜100)を薦めてくるスケアウェアの広告を見たことがあるだろう。

Chrome OSはセキュリティが万全説にアナリストが疑問を呈す

このスケアウェアの主犯格、Kristy Ross、Sam Jain、Daniel Sundinの3人が罰金の大半を分けあって払うことになるだろう。罰金は彼らが2000年から2008年にかけて稼いだ額(6000万ドル)の3倍近い金額だ。判決の全文はこちら[PDF]。ここでの教訓。バカをやってはいけない、当局が、正しく、苦痛をもたらしてくれる。

(翻訳:Nob Takahashi)

【インタビュー】ワークスタイルの変革がモバイル市場を加速させる……インテル「Ultrabook」が目指す世界(後編)

RBB TODAY 10月2日

インテル モバイル事業開発部 廣田洋一氏


■安心して業務を行うために

 前編に引き続き、インテルでモバイル事業を手掛ける廣田洋一氏に、Ultrabookを活用したオフィスワークの変革や今後の展開などについて話を聞いた。前編の最後にクラウドサービスについて触れたが、クライアントPCにデータを残さないという観点から、これらはセキュリティ対策にも通ずるものがある。後編ではUltrabookのセキュリティ対策からスタートしたい。


 当然のことながら、セキュリティを強固にするためのウイルス対策やマルウェア対策は基本中の基本だ。これらに加えて、廣田氏は「PCやソフトウェアの管理も重要です。どこに何があるのか、どこで何が動いているのか。それが分からなければ、どのようなセキュリティ対策を講じても、あまり意味がありません」と指摘する。その上で同社では、ビジネスクライアントの中で「インテル vProテクノロジー」という技術を推進している。これは遠隔による資産管理をアシストしてくれるようなハードウェア上の機能だ。この上にソリューションを載せることで、Ultrabookの管理や運用効率が大幅に向上するという。たとえばリモートで電源を制御したり、キーボード・マウスをリモートで操作して診断・修復などが行える。またセキュリティパッチを当てたり、社員がどのようなソフトウェアをダウンロードしたのかも把握することが可能だ。

 物理的なセキュリティ対策として、Ultrabook自体を盗まれたり、紛失したりというケースも考えておかなければならない。そういうケースに対処するために「インテルAnti-Theftテクノロジー」(Anti-Theft:盗難防止)という機能が用意されている。これもソフトウェアを載せる必要があるが、紛失時にPCを遠隔地からロックし、情報を漏洩しないようにデータを消去したり、PCを動作させなくするための技術だ。もう1つはPCが壊れたときに可能な限り迅速に元の状態に復旧させる技術がある。これは平たく言えばデータをバックアップしておくということだが、廣田氏によれば「復旧もセキュリティ対策の一部に入る」とのこと。

■Windows 8の登場で、Ultrabookの未来はどうなる?

 では、Ultrabookの今後はどうなっていくのだろうか? 廣田氏は「最終的に世に残るデバイスは、ハイエンドタイプのWS、Ultrabook、タブレット、スマートフォンに収束していくと思います。エンジニアリングなどで要求されるハイスペックのWSを除いて、一般的に使われるデスクトップPCやノートPCについては、機能面ではUltrabookで十分に事足りるでしょう。スマートフォンは電話というコミュニケーションツールてして別に必要になると思います」と予測する。

 インテルのロードマップによれば、今年は第3世代のインテルCoreプロセッサー・ファミリーに加え、Windows 8を搭載したUltrabookのビジネス機が数社から登場する予定だ。たとえば今年初頭に開催されたCESのオープニングセレモニーでは、米インテルがUltrabookとタブレットのハイブリッドモデルのプロトタイプを披露している。また6月に開催されたCOMPUTEX TAIPEI 2012では、サムスンも液晶画面が360度回転してタブレットのように使える「Series 5 Ultra Convertible」や、11インチ液晶部分がキーボード搭載の本体と分離する「Series 5 Hybrid PC」を展示した。

 「業務上、それほどキーボードで入力しないケースならば、タブレットでも十分かもしれません。とはいえ一般的にキーボード・マウスに慣れているユーザーも多いので、ソフトキーとの併用のほうが、やはり生産性が高くなると思いますね」。インテルでは当面、タブレットの使い易さとキーボード・マウスの生産性の高さを両立させる方向でUltrabookの進化を考えているようだ。

 直近で気になるところと言えば、やはりWindows 8の発売にともなうモバイルシーンへの影響だろう。Windows 8では、従来のデスクトップUIと新インターフェイス「Modern UI」の両方を使えるようになっている。これらもオフィスではノートPCのように使えて、出先ではタブレット端末として使えるキーボード着脱式のデバイスを想定したものと言える。「Windows 8の登場について触れると、実は我々インテルとしても大きな期待感を持って受け止めています。Windows 8ではタッチ操作をすごく意識したユーザーインターフェイスになっていますので、新しいUltrabookへの相乗効果があると思っています」と、インテルとしても期待を寄せているという。

 最後に廣田氏は「Windows 8によって国内のクライアント市場が変わるというよりも、働き方が変わることでPC市場をドライブできるようになると思っています。やはりPCはまだ共有して使うことが前提になっている装置です。一人ひとりのPCとして“真の意味でのパーソナルコンピュータ”を実現できるようになれば、さらに市場も拡大していくでしょう。UltrabookやWindows 8がモバイル市場を加速させる“燃料”になってくれれば嬉しいですね」と今後の抱負を話した

IEをやめるのは、本当に適切な解決策か?

ITmedia エンタープライズ 10月2日



(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)

 最近報道されたInternet Explorer(IE)の最新のゼロデイエクスプロイト(編注:現在はパッチ公開済み)について、マイクロソフトが根本原因の修正プログラムをリリースするまでInternet Explorerの使用をやめるようにという、「セキュリティ専門家」によるユーザーへのアドバイスが多く伝えられました。

 しかし、自分が使用するブラウザについて選択肢を持たない人が多いという現実もあります。例えば企業内では、IE以外のブラウザを目にすることはほとんどなく、依然としてXPやIE 6が使用されています。ユーザーは、他のブラウザをインストールすることが許可されていないか、または個人的にインストールする必然性がありません。

 一方、個人ユーザーについては、状況は少し異なります。マカフィーの短縮URLサービスである「http://mcaf.ee」の最新のアナリティクスによると、サイトビジターの約3分の2がIE(大多数はIE 8/9)を使用しており、残りをだいたいChromeとFirefoxが二分しています。今後も数字を追跡していくつもりですが、IEからの大々的な移行は見られないと思われます。

 なぜIEの使用をやめて、ほかのブラウザに移行しようというのでしょうか。もし他にエクスプロイトを防ぐ方法がないのであれば、有効なアドバイスかもしれません。しかし、セキュリティベンダーの大半は、すでにこのマルウェアを識別して防ぐ対策を講じており、マカフィー製品でも、McAfee HIPS(Host Intrusion Prevention)を導入し、一般的なルールを使用すれば保護することができます。詳細はこちらのブログをご覧ください。

 今回のマルウェアが深刻でないわけではありませんが、毎日7万にも上る新しいマルウェアが発見されており、そういった他のマルウェアと比較してどれほど深刻かというと、多少の疑問が残ります。

 毎回他のブラウザに移行するようアドバイスすることも可能かもしれませんが、ゼロデイエクスプロイトは定期的に発見されており、ほとんどはアプリケーションで見つかっています。マルウェア対策ソリューションのほとんどは、シグネチャーだけでなく、ビヘイビア、ルール、クラウドベースのナレッジを活用して保護を行っています。そのため、IEを使用してもマルウェア対策製品が防御しているため、脆弱性が悪用されることは困難になります。

 実は、2010年1月ごろにも、今回と似たようなケースがありました。当時もコンピュータの一般的な弱点は、OSではなくアプリケーションであることを示す根拠が多数確認されていたのですが、IEは「安全でないもの」として非難され、「Windowsはこれまでも、そしてこれからも安全ではない」という報道が流れていました。

 その後、2010年10月には、代わりのブラウザとして推奨されていたFirefoxが乗っ取られました。では、どうすればよいのでしょうか。IEに戻るべきか、それとも別の新しいブラウザに乗り換え続けるべきでしょうか。

 ブラウザを乗り換えるのは恒久的な解決策ではないと考えています。サイバー犯罪者は最大限に報酬を得るため、常に最も人気の高いコンピュータ環境に注力します。またユーザーが最新のテクノロジーに複雑さを求める以上、プログラマー達がどんなに努力を尽くしても、バグがなくなることはないでしょう。

 脅威が発見されるたびにソフトウェアを変更するのは――ベンダーがすばやく対応し、問題を解決しているのであればなおさら――現実的ではないのではないでしょうか。
PC ウイルス    情報と対策

 DNS Changerマルウエア感染確認サイト

http://www.dns-ok.jpcert.or.jp/