今日は 事件の内容についての記事を紹介しましょう。
遠隔操作ウイルスと警察権力
2013年02月25日(Mon) 塚越健司
http://wedge.ismedia.jp/articles/-/2608?page=1
上記内容から引用
・警察が被害者を逮捕した理由がIPアドレスの一致だけだったというものだ。IPアドレスはネット上の住所のようなものであり、ネット上の書き込みは通常IPアドレスを調べれば足がつく
つまりIPアドレスが絶対と言う通説に凝り固まっていた。
IPアドレスが分かれば操作したのはそのIPアドレスのPCと断定できると。
・今回の犯行は、ネット上の足跡が残らないように匿名化ソフト「Tor(トーア)」を用いたことで捜査が難航した。
IPアドレスを解らなくするソフト。
Torは、もともとは米海軍が研究を行ない、それがオープンソースソフトウェアとして引き継がれたものだ。
通常、Webサイトへのアクセスやメールの送信(メールサーバーへのメール転送)を行なうと、サーバー側に
アクセス元のIPアドレスが残る。このIPアドレスを日時と併せて確認すると、だれがアクセスをしたのか
特定できる。Torは、このアクセスの際に残るIPアドレスから、ユーザーの特定を不可能にするための技術だ
参照先 http://ascii.jp/elem/000/000/737/737738/
上記先頭記事の中にも明記されていますが、今回の遠隔操作の仕組みについて
説明してるのがここです。
http://www.paloaltonetworks.jp/news/researchcenter/2012-10-remote-operation-malwares.html
1.犯人がDropboxにマルウェアの組み込まれたソフトウェアをアップロード
2.犯人が2ちゃんねるのシベリア超速報スレッドに代行依頼を書き込み
3.代行依頼を受けた人が、2ちゃんねるソフトウェアスレッドにダウンロードURLを代行書き込み
4.被害者がDropboxからソフトウェアをダウンロードし感染
5.犯人が命令をしたらば掲示板のスレッドにBase64で書き込み
6.被害者のパソコンが、したらば掲示板のスレッドを自動的にダウンロードし、遠隔操作命令が実行される
7.被害者のパソコンから遠隔操作命令が実行され、襲撃予告が書き込まれる
8.遠隔操作命令によって被害者のパソコンからマルウェアが削除される
この内容から上記7.項の書き込みは、
遠隔操作行為をプログラムが自動実行されることで実現する仕組みである。
遠隔操作を容疑者が遠隔先のIPアドレスのPCに入り込んで実行したわけではない。
プログラムを実行したPCのアドレスが掲示板へ記録されてしまう。
そして、8.項で実行されたプログラムを削除される。表面上はプログラムそのものもなくなっているので??の状態となる。
遠隔操作のプログラムのアップロード及び襲撃書き込みの内容は、
掲示板へのTorを使った接続で書き込み本人のIPアドレス特定できないようにしている。
掲示板への書き込みを自動的に行うことは、掲示板を公開している方なら
自動書き込みされた経験をお持ちかと思います。
IPアドレスが異なっても同じ内容の書き込みがあったりします。
そして今回4.項のDropboxにあったプログラムにプログラムを作ったとされるPCの
IPアドレス?が残っていたとされる。ここがどこまで容疑者を特定できるかが大きなポイントなのである。
遠隔操作ウイルスと警察権力
2013年02月25日(Mon) 塚越健司
http://wedge.ismedia.jp/articles/-/2608?page=1
上記内容から引用
・警察が被害者を逮捕した理由がIPアドレスの一致だけだったというものだ。IPアドレスはネット上の住所のようなものであり、ネット上の書き込みは通常IPアドレスを調べれば足がつく
つまりIPアドレスが絶対と言う通説に凝り固まっていた。
IPアドレスが分かれば操作したのはそのIPアドレスのPCと断定できると。
・今回の犯行は、ネット上の足跡が残らないように匿名化ソフト「Tor(トーア)」を用いたことで捜査が難航した。
IPアドレスを解らなくするソフト。
Torは、もともとは米海軍が研究を行ない、それがオープンソースソフトウェアとして引き継がれたものだ。
通常、Webサイトへのアクセスやメールの送信(メールサーバーへのメール転送)を行なうと、サーバー側に
アクセス元のIPアドレスが残る。このIPアドレスを日時と併せて確認すると、だれがアクセスをしたのか
特定できる。Torは、このアクセスの際に残るIPアドレスから、ユーザーの特定を不可能にするための技術だ
参照先 http://ascii.jp/elem/000/000/737/737738/
上記先頭記事の中にも明記されていますが、今回の遠隔操作の仕組みについて
説明してるのがここです。
http://www.paloaltonetworks.jp/news/researchcenter/2012-10-remote-operation-malwares.html
1.犯人がDropboxにマルウェアの組み込まれたソフトウェアをアップロード
2.犯人が2ちゃんねるのシベリア超速報スレッドに代行依頼を書き込み
3.代行依頼を受けた人が、2ちゃんねるソフトウェアスレッドにダウンロードURLを代行書き込み
4.被害者がDropboxからソフトウェアをダウンロードし感染
5.犯人が命令をしたらば掲示板のスレッドにBase64で書き込み
6.被害者のパソコンが、したらば掲示板のスレッドを自動的にダウンロードし、遠隔操作命令が実行される
7.被害者のパソコンから遠隔操作命令が実行され、襲撃予告が書き込まれる
8.遠隔操作命令によって被害者のパソコンからマルウェアが削除される
この内容から上記7.項の書き込みは、
遠隔操作行為をプログラムが自動実行されることで実現する仕組みである。
遠隔操作を容疑者が遠隔先のIPアドレスのPCに入り込んで実行したわけではない。
プログラムを実行したPCのアドレスが掲示板へ記録されてしまう。
そして、8.項で実行されたプログラムを削除される。表面上はプログラムそのものもなくなっているので??の状態となる。
遠隔操作のプログラムのアップロード及び襲撃書き込みの内容は、
掲示板へのTorを使った接続で書き込み本人のIPアドレス特定できないようにしている。
掲示板への書き込みを自動的に行うことは、掲示板を公開している方なら
自動書き込みされた経験をお持ちかと思います。
IPアドレスが異なっても同じ内容の書き込みがあったりします。
そして今回4.項のDropboxにあったプログラムにプログラムを作ったとされるPCの
IPアドレス?が残っていたとされる。ここがどこまで容疑者を特定できるかが大きなポイントなのである。
※コメント投稿者のブログIDはブログ作成者のみに通知されます