事件の概要
2012年の初夏から秋にかけて、Webサイトに犯罪予告が掲示される事件が続出した。警察はアクセス記録から発信パソコン(IPアドレス)を特定し、パソコンに脅迫文などのログが残っていたことから、その所有者(下表のA~D)を容疑者と断定、逮捕した。
しかし、パソコンには第三者がなりすましをするウイルスの形跡があり、容疑者を犯人と断定できないとして釈放した。
真犯人と称するXから、「自分がA~Dのパソコンにウイルスを侵入させて遠隔操作した。警察への挑発(ゲーム)だ」との公表があった。パソコンを分析すると、それが事実である形跡があり、警察はA~Dに陳謝し告訴を取り下げたした。
この誤認逮捕は、警察のサイバー犯罪捜査能力が幼稚なこと、取り調べに問題があるとして、社会問題に発展した。また、パソコンやWebサイトのセキュリティ対策が甘いことの警鐘だとも指摘された。
その後、Xから数回にわたる情報(ゲーム)が仕掛けられた。「猫の首輪に証拠情報をつけた」との挑戦状を手がかりに、2013年2月にXだとされるを容疑者として逮捕した。容疑者は容疑を否認している。
脅迫事件の発生
| 発覚日 | 掲載サイト | 犯罪予告内容 | パソコン所持者 | 所轄警察署 | |
| A | 6月29日 | 横浜市サイト | 横浜の小学校で無差別殺人 | 東京都少年 | 神奈川県警 |
| B | 7月29日 ~8月1日 |
大阪市サイト 日本航空サイト |
大阪電気街で無差別殺人 日本航空定期便に爆弾など数件 |
大阪府男性 | 大阪府警 |
| C | 8月27日 | 御茶ノ水、学習院幼稚園 | 始業式で皇族や園児らの殺害 | 福岡県男性 | 警視庁 |
| D | 9月10日 | 2ちゃんねる | 伊勢神宮、任天堂本社の爆破 | 三重県男性 | 三重県警 |
逮捕したのだが、押収したパソコンから、なりすましの踏み台にされたと思われるウイルスが発見され、真犯人は別にいる疑いがでたので、容疑者は釈放された。
-
ITmedia「なりすまし事件、遠隔操作プログラムは「iesys.exe」 無料ソフトダウンロードで感染か」
2012/10/10
真犯人からのメール
10月9日にネット上のトラブルに詳しい落合弁護士、10日にTBSに真犯人と名乗るXから犯行声明メールが届いた。手口の詳細を示しており、信ぴょう性があるとして、TBSは15日に公表した。この文面には、「警察・検察をはめてやりたかった、醜態をさらさせたかった」「捕まった人たちを助けるつもり」と記されていた。
- ITmedia「「警察・検察をはめてやりたかった」 なりすまし事件、“犯行声明”メールがTBSに届く」2012/10/15
- サンスポ「TBSに「私が真犯人」メール、同一犯の可能性」2012.10.16
容疑者A~DのパソコンにはXのメールを裏付ける痕跡があった。誤認逮捕が確実になり、警察は陳謝し起訴を取り下げた。
真犯人Xは何者か
パソコンの痕跡や犯罪予告メールのルート、Xからの犯行声明などから、真犯人Xのプロフィールが大きな話題になった。
- 時事ドットコム「PC遠隔操作事件に公的懸賞金=上限300万円-警察庁」2012/12/12
- 読売新聞「遠隔操作ウイルスはオリジナル? 作者は腕の立つ人物か」2012/12/12
- 染谷征良(トレンドマイクロ)「遠隔操作する「BKDR_SYSIE.A」、日本語に精通したサイバー犯罪者か」2012/12/12
- 産経ニュース「犯行声明から1カ月 「真犯人」不気味な沈黙 検証続くも捜査に壁」2012/11/9
真犯人X(?)の逮捕
2013年1月5日にXから「犯行手口を記録した記憶媒体を江の島で猫の首輪に取り付けた」とのメールが届いた。その猫を発見、記録媒体を押収。防犯カメラから猫に近づいた男を特定して逮捕した。容疑者のパソコンから、犯行に関係する痕跡が発見された。警察は容疑者がXだとみているが、容疑者は自分もなりすましされた被害者だとして犯行を否認している。
警察のサイバー犯罪対応への批判
なりすましの手口が常識となっているのに、IPアドレスだけで容疑者を特定したのは、遠隔操作ウイルスに対する認識が欠けていたのは、警察の現場がサイバー犯罪の知識がないことを浮き彫りにした。警察庁は、全国の警察に「IPアドレスの悪用を視野に、より慎重に捜査すべきだ」などとした再発防止策を通達した。
- 読売新聞「遠隔操作ウイルス事件、警察とメディアの課題」2013/2/15
- ITpro「大阪府警などが遠隔操作ウイルス事件の検証結果公表、「極めて遺憾」」2012/12/15
- 読売新聞「全警察署員に「サイバー講習」 警視庁、捜査能力向上狙う」2013/3/14
犯罪の手口
未だ犯行の真相は公表されていないし、個々の犯行により異なるようだが、次のような手口だったといわれている。
- 真犯人は、あらかじめ無料ソフトに偽装した遠隔操作ウイルス(このときはiesys.exeを組み込んでいた)をダウンロードサイト(このときは米国のサーバ)に登録。この際、自分からの発信経路を追跡されないように、匿名ネットワークである「Tor」を利用
- 真犯人は、別のレンタルサイト(このときは「したらば掲示板」)に、ウイルス感染パソコンに指令を与えるためのメッセージを登録。この内容は真犯人が随時変更できる。
- 1のウイルスソフトの紹介(当然、興味のあるアプリだと紹介)を掲示板サイト(このときは2ちゃんねる)に投稿。このときも「書込み代行サービス」を利用して、自分の存在を隠す。
- 被害者(誤認逮捕された人)は、2ちゃんねるにアクセスして、ダウンロードサイトから無料ソフトをダウンロード。
- 被害者パソコンはウイルスiesys.exeに感染
- このウイルスは、定期的に2の「したらば掲示板」の真犯人ページにアクセスするようになっている。当初は無害なため、被害者はその存在に気づかない。「まっとうな」無料ソフトだと信じている。
- 真犯人が2の内容を脅迫メール送信指令に変更する。被害者のパソコンはその指令を受け取る。
- 被害者のパソコンは指令に従い、被害者が知らないうちに、標的サイトに脅迫メールを送信する。
- 真犯人は、5で定期的なアクセスがくるのを確認すると1のウイルスを消去、6で指令が送られたことが確認すると指令メッセージを消去して、犯行が起こる以前に痕跡を消す。
かなり手の込んだ攻撃のようだが、これらの環境は一般に普及している手口を組み合わせただけだといわれている。
- iesys.exeは遠隔操作型ウィルスの総称である。ここでは、TROJ_DROPPER.ELZが使われたといわれているように、既に多数のウイルスが流布している。
- 「2ちゃんねる」や「したらば掲示板」は、無料のレンタル掲示板である。投稿者の本人確認や審査はほとんど行われていないし、利用方法も簡単である。不特定多数が参加する情報交換、意見交換の場として、広く利用されている。
- 書込み代行サービスは、本人に代わってメールや掲示板登録を行うサービス。多数のサービス業者が存在する。匿名手段として有効なサービスであり合法的な存在だが、反社会的な内容を代行して送信することが犯罪への加担になることが指摘されている。
- Tor(The Onion Router)とは、誰でも自由に利用できる匿名通信システム。米海軍研究所の支援の下で開発され、米国政府から公益団体に認定されたTor Projectが開発・運用している。内部告発などの通報窓口では、完全な匿名性が保証される必要があるし、独裁国家では政府の検閲回避する目的にも使われている。犯罪に利用されることから、警察庁がネット接続事業者にTorの規制を要請する動きもあるが反対意見も多い。
Onionとは玉ねぎのこと。Torの仕組みが、順次以前の情報を隠しながら転送される様子が玉ねぎの皮をはぐのに似ていることから付けられたのだそうだ。- Torの中継ルータをA、B、Cとする。このルータは世界に数千台あり公表されている。
- 「発信者→中継ルータA→B→C→宛先サーバ」の順でメールを送るとき、発信者は、A、B、Cとの暗号化した電文をAに発信する。
- Aでは、A向けの暗号文が復号され、宛先Bを知り、Bに転送される。
- このとき、BはAから来たことはわかるが、発信者情報はわからない。
- 最後の宛先サーバにはCの情報しかわからない。