第276号コラム「フォレンジック調査員から見た遠隔操作事件「ラストメッセージ」」

第276号コラム:松本 隆 理事
(ネットエージェント株式会社 フォレンジックエバンジェリスト)
題:「フォレンジック調査員から見た遠隔操作事件「ラストメッセージ」」

8月10日、ジャーナリストの江川紹子さんのブログでPC遠隔操作事件の真犯人からのラストメッセージ全文が公開※1された。このドキュメントは今年の元日に真犯人を名乗る人物(以下真犯人)から送られた「謹賀新年メール※2」のクイズを解くことで入手可能なUSBメモリに記録されていたものだ。
雲取山の頂上付近に埋められたUSBメモリは、当時悪天候だったこともあり、警察の捜索にもかかわらず発見されなかった。しかし後日(5月16日であるとされている)メールで指摘されていた通り、頂上付近の地面からビニール袋に収まった状態で発見された。1月の段階では、地面が凍結していて掘れない部分の土に埋まっていたということである。

この真犯人からのラストメッセージは長文だが非常に興味深く、読みごたえがある。私もデジタル・フォレンジックの技術者としていくつか引っかかる点があった。そこで、このコラムの場をお借りして簡単なコメントを入れてみたいと思う。なお、これはあくまで個人的な感想であって、私の所属する組織や会社とは一切関係はない。またこのコメントで真犯人の素性をプロファイリングしたり、誰かの意見を代弁したり、特定の組織や個人を批判するつもりは一切ないが、仮にそう受け取られてしまう表現があったとしたらそれはすべて私の不徳の致すところである。

>お疲れ様でした。
>冬山はいかがでしたか?
>私は紅葉のはじめの頃に行ったので快適でしたが、雪が積もった山は
>大変だったと思います。
————

冒頭の警察関係者に向けたと思われるメッセージ。「私は紅葉のはじめの頃に行ったので快適でした」など、言い訳がましいというか、あまりにあからさまであるので、特に捜査のミスリードを誘っている訳でもないだろう。この後にも「(過去に逮捕された事案について)サイバー関連ではありませんが」など、文脈的にあえて入れる必要のない不自然なエピソードがちょいちょい出てくる。後半で本人も言及しているように、犯人像を絞らせないためあえて「無軌道に振る舞って」いるのだろうか?もしくは警察関係者を挑発しているのだろうか?

>11月10日前後に、どこかの記事で「犯人が致命的なミスか?」「Torを
>使わず直接書き込んだ箇所」というのが載ったのがきっかけです。
>決定的なミスで警察も期待しているかのような報道だったゆえ、ちょっと
>乗せられてみました。結論を言うとその書き込みもTorです。
————

この「犯人が致命的なミス」というニュース※3は私も覚えている。しかし今回のメッセージを信じるならば、情報収集や下見段階も含めて事件に関係するすべての通信はTor経由であったということになる。私を含めて普通の人間には、このように犯罪行動と日常を完全に切り分けて生活することは不可能で、真犯人の「神経症・偏執狂とも言えるまでに厳重な注意を払って」という表現もうなずける。なお、実際に検証したことはなかったが、匿名掲示板に書き込み可能なProxyのリストは(その都度状況は変化するが)リアルタイムに検索すれば出回っているので、Torのような匿名化ツールを用いても書き込めることがあるとは思っていた。

>・新聞紙
>「予告犯」という漫画を読んで、とても共感を覚えました。
>特に、登場人物の犯人グループの一人である「ゲイツ」君の境遇には
>自分と重ね合わせできるものがありました。
————

「予告犯※4」はサイバー犯罪を描いた漫画として、しっかりと取材されている様子が伺えるし、物語としても非常に面白いのでお勧めだ。私もこのメッセージを機に、主要登場人物である「ゲイツ」についてのエピソードを再度読みなおして、少し考えるところもあった。ちなみにこの漫画で採用されているエピソードは、この業界の人間なら元ネタがわかるものばかりである。

>・写真の位置情報
>恥ずかしいことに、これは本当にミスしました。
>保土ヶ谷の適当な住宅地の緯度経度を入れたつもりが、10進数→60進数の
>変換を忘れてしまいました。
>これは本当に私の無知であり、ラックの西本さんに「犯人は教養がない」
>と言われても仕方ありませんねw
————

自殺予告メールの添付画像の話。ここで明確にexifの位置情報の改ざんを認めている。写真が公開された当時、果たして位置情報の改ざんはあったのか?という議論がされたが、私はexifのGPS時間のずれに着目して、改ざんはあったと考えていた。それは正しかったのかどうか。ちなみに後日この画像のexif情報を根拠として「写真はiPhoneで撮られていた※5」という記事も報道されたが、改ざんされた可能性のあるデータである点を踏まえて慎重に対応すべきだと考える。しかし西本さんはさすが。

>iesysについては見つけられなくても仕方が無いです。
>投入前に、主要なウイルス対策ソフトの体験版をいくつか試用し、検知に
>引っかからないことを確認しました。
————

多数のウイルススキャンエンジンを包括しているVirusTotalのような便利なサイトもあるが、アップロードの痕跡が残ることを恐れて利用しなかったのだろう。これは当たり前と言えば当たり前なことなのだが、普段から意識をして情報を管理していないと、こういった点にまで意外と気が回らないものだ。普通ならよくこういった点で凡ミスをする。事件に関する痕跡を最小限に抑え、自らがコントロール可能なローカルシステムでのチェックにこだわる姿勢に、真犯人の用意周到さと慎重さがうかがえる。

>犯行に使った罠Javascriptやトロイのソースファイルそのものから、細かい
>メモに至るまで、ファイルを置く場所については厳重に管理していました。
>そしてそれらが存在した記憶媒体、およびそれらを開いたことのあるシステ
>ムの記憶媒体は全部、とっくに完全消去の後、スクラップにして燃えない
>ゴミに出してしまいました。
>現在うちにあるシステムや外部記憶媒体全部、どんな高度な復元やフォレ
>ンジックを行おうと関係ありそうなものは何も出ません。
————

嘘をついても意味のない内容で、おそらく本当なのだろう。もちろんサイバー捜査は記憶媒体の静的データ解析だけではないので、真犯人の手の届かない・意識の及ばない範囲で証拠が残っているとは思うが、この手のハードウェアの破壊や証拠の完全消去は、手軽に実行でき、かつ現場の調査員を非常に悩ませるものだ。

>永続性記憶装置に保存されるブラウザのキャッシュには、B1はB2に上書
>きされ、B2だけが残ります。
>変数に格納されただけのB1は実行後、DRAMから揮発してしまいます。
————

CSRFでのローカルのブラウザキャッシュの話。ブラウザキャッシュの解析はローカルPCのフォレンジック調査の重要な要素で、これを上書きされると調査員は現場でたいへん困ることになる。もしかしたらページファイルやハイバネーションファイル(場合によってはクラッシュダンプ)等の、メモリの内容を書きだしたファイルに痕跡が残っているかもしれないが、それらを実際に解析し、過去に発生した可能性のある事案の証拠として紐づけるのは相当に厄介だ。

>「犯人性を高める」工作を入れました。
>明大生のPCに小学校のサイト等へのアクセス記録があったというのはこれ
>のことです。
>「小学校のサイト」「横浜市トップページ」「入力フォームのページ」
>などを読み込ませることで、あたかも自分でアクセスしたようなブラウザ
>ログ・キャッシュが出来るのを狙ってのことです。
————

CSRFのブラウザ履歴やキャッシュ、またサーバー(ネットワーク)側のログにも関係する話。いきなり外部から直接掲示板の書き込みを行うのは不自然なので、あたかもサイト利用者が操作しているかのような痕跡を偽装している。これも地味に厄介なアンチフォレンジックである。といってもこの事例ではサイトの訪問から書き込みまで数秒間の出来事であるので、真犯人が指摘しているように「2秒で250文字を送信」という時間的不自然さは解決できなかったようだ。
しかし気になるのは「犯人性を高める」という専門表現。これだけでも警察の捜査手法をよく研究していることがうかがえる。

他にも気になるポイントはあるが、紙面の都合もあるのでこのあたりで終えたい。最後に、なぜ当コラムで真犯人の手口の解説をしたかをお伝えしたい。
簡単なものとはいえ、アンチフォレンジック手法の解説など、余計なことをしてくれたという意見もあるだろう。しかし、この「ラストメッセージ」は既にネットに広く公開されているドキュメントであり、人気記事として多数のブックマークもついている。今後はこういった、共有してほしくない情報の一般層への共有が、SNSやWebを媒介にしてどんどん進んでいくだろう。
良い悪いではなく今はそういう時代なのだ。調査員は都合の悪い情報をただ隠すのではなく、場合によってはもっと情報を広く共有し、議論し、社会全体で対策していくべきだろうと考える。

また、ラストメッセージが広く公開されたことにより、これから調査に携わる人間は、今後の調査ではこの程度の知識を相手が理解しているという前提が必要なのだと思う。つまり、容疑者の手の届く範囲のデータは、特別なことではなく「あたりまえのこと」として改ざんや証拠隠滅を疑ってみる必要があるということだ。

デジタル・フォレンジックはそういう段階に来ているのかもしれない。

※1 【PC遠隔操作事件】ラストメッセージ全文(上)
http://bylines.news.yahoo.co.jp/egawashoko/20130810-00027168/
【PC遠隔操作事件】ラストメッセージ全文(下)
http://bylines.news.yahoo.co.jp/egawashoko/20130810-00027169/

※2 PC遠隔操作事件・犯人から元日に再びメール 「新しいゲームのご案内ですよー」
http://www.itmedia.co.jp/news/articles/1301/01/news007.html

※3 「真犯人」1度だけミス? 匿名化せず書き込みか 警視庁注目
http://sankei.jp.msn.com/affairs/news/121110/crm12111008510002-n1.htm

※4 予告犯 公式サイト(Jump改Web)
http://jumpx.jp/w/yokoku/

※5 【PC遠隔操作事件】写真はiPhoneで撮られていた!
http://bylines.news.yahoo.co.jp/egawashoko/20130822-00027472/

 

【著作権は松本氏に属します】