昨年の 10 月、このブログでも 2 回(その 1、その 2)にわたり Backdoor.Rabasheeta ついてご報告しました。Rabasheeta は、感染したコンピュータから犯行予告を行うために使われたバックドア型のトロイの木馬であり、この犯行予告に関連して 4 人が誤認逮捕されました。このマルウェアの作成者は数カ月にわたって警察当局を翻弄してきましたが、それもようやく幕を下ろすことになるかもしれません。2 月 10 日、警視庁は、インターネット上で匿名の脅迫文を投稿したとして、威力業務妨害容疑で東京都在住の IT 関連会社社員、片山祐輔容疑者(30)を逮捕しました。片山容疑者は現在犯行を否認していますが、2006 年にも同じようにインターネット上で犯行予告を行ったことにより逮捕され、有罪判決を受けていました。これは、インターネットの掲示板の人気キャラクター「のまネコ」の著作権問題にからんで、レコード会社を脅迫した罪に問われたものです。10 月以来、一連の事件で国内ニュースの見出しを飾ってきたこの卑劣な犯罪劇も、今クライマックスを迎えようとしています。
今回の事件の経緯をわかりやすくするために、一連の出来事を振り返ってみましょう。
2012 年夏
マルウェア作成者は、掲示板上で何も知らないユーザーを騙して、バックドア型のトロイの木馬を仕掛けたソフトウェアをインストールさせるよう仕向けます。マルウェアが実行されると、攻撃者は侵入先のコンピュータを制御し、電子メールや掲示板への投稿を通じて、さまざまな犯行予告を行いました。攻撃者は、侵入先のコンピュータから掲示板に犯行予告を書き込むときに、クロスサイトリクエストフォージェリの脆弱性も悪用しています。攻撃者が使っていたのは、インターネット上で匿名性を保ち、痕跡を隠すことができる Tor というソフトウェアです。この犯罪行為により、4 人が誤認逮捕される結果となりました。
2012 年 10 月
遠隔操作による犯罪にマルウェアが使われていたことが報じられると、マルウェア作成者と称する者が現れ、インターネット上の法律問題に詳しい弁護士に電子メールを送ってきました。その他数カ所にも電子メールを送信し、13 件の犯行予告について自分が真犯人であると名乗ったうえで、一連の犯行の証拠として操作マニュアルなどの詳しい情報も示しました。
2012 年 11 月
同じ人物から、同じ弁護士と何人かのジャーナリストに宛てて、自分がミスを犯したため警察に逮捕されるかもしれない、という内容の電子メールが送られてきます。このときの電子メールには、自殺をほのめかす画像が添付されていましたが、その画像には、警察をミスリードするような偽の Exif(Exchangeable Image File Format)情報が記録されていました。この情報に基づいて捜査が行われましたが、Exif データに記録されていた撮影場所近辺では怪しい人物は浮上しませんでした。
図 1. 電子メールに添付されていた、偽の Exif データを含む画像
2012 年 12 月
警察庁は、真犯人の逮捕につながる有力情報の提供者に対して最高 300 万円の報奨金を支払うことを発表しました。
2013 年 1 月
年明けとともに真犯人から再び送られてきたのは、一連のパズルに参加するよう報道機関を招待する電子メールです。賞品はマルウェアのソースコードであると言い、犯行動機と FAQ を記したメッセージも添えられていました。このパズルを解くと、ある山中の位置が示され、そこにメモリカードが埋められていることになっていましたが、実際にパズルを解いてもメモリカードは見つかりませんでした。
図 3. パズルを解くと表示される画像
2013 年 1 月 5 日
真犯人から新たなパズルが送られてきます。今度は、パズルを解くとネコの首輪に隠したメモリカードが見つかると書かれていました。そのネコは神奈川県の江ノ島で観光客の間でよく知られていたようです。警察は、このネコに付けられた SD カードを実際に発見し、押収しました。報道によると、この SD カードには、マルウェアのソースコードのほか、未確認のファイルも含まれていました。
図 4. パズルを解くと表示される画像
真犯人は仮想世界を離れて現実世界に戻ってきましたが、それが自ら墓穴を掘った原因になるかもしれません。江ノ島の監視カメラによって、容疑者を絞り込む手掛かりになったからです。インターネットには、Tor のように限りなく匿名性を保つことが可能なツールが存在しますが、現実世界で身を隠すことは困難です。報道によれば、一連の犯行の中で 1 件だけ Tor が使われなかったケースがあり、捜査当局はその件を調査しているということです。
もし片山容疑者が真犯人であることが確定すれば、今回の事件は終幕を迎えることになりますが、この犯罪を立証して有罪判決を下せる十分な証拠が見つかるまで、警察と検察にとってはまだ長い道のりが続きます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。