第３２１号コラム「次のゲームが始まるまでに」

第３２１号コラム：松本 隆　理事（ネットエージェント株式会社　フォレンジックエバンジェリスト）
題：「次のゲームが始まるまでに」

ＰＣ遠隔操作事件が小保方銃蔵を名乗る真犯人メール(※１)によって急展開を迎えて2か月。事件はＫ容疑者の自白によって、もはや終わったものとして扱われているようだ。世間の関心はよりインパクトの強い新しい事件に奪われ、失われつつある。公判はまだ継続中であり、真相の解明にはいましばらく時間がかかりそうではあるものの、ＰＣ遠隔操作事件という前代未聞のサイバー犯罪とその一連の騒動は、ようやく終息したといってもいいだろう。

事件についてネットを検索すると、iesys.exeモドキを実際に作成してみた、などといったスレッドが2ちゃんねるに立てられ(※２)、Ｋ容疑者のプログラミングスキルの評価が行われている。スレッドの住人による独自の検証によれば、Ｋ容疑者のスキルはそれほど高くないという結論のようだ。公判でも元上司や同僚が口をそろえて容疑者のスキルはそれほど高くはなかったと証言(※３)している。

そしてその一方で、低スキルの容疑者になぜプロフェッショナルであるはずのサイバー捜査官が翻弄されたのか？といったような、警察や専門家への批判コメントで溢れている。デジタル・フォレンジックの限界を知る人間は、事件について別の見方をするかもしれない。だが、一般の方々のこうした批判は、何の落ち度もなくただネットを利用していただけで、身に覚えのない容疑で誤認逮捕され得る状況への、不安の裏返しでもある。我々はデジタル・フォレンジックの専門家として、この批判を真摯に受け止めねばならないと思う。閑話休題。

今回コラムを書くために、真犯人から送られてきたいわゆる小保方銃蔵メールを読み直したのだが、当時リアルタイムで読んで腑に落ちた箇所があったのをふと思い出した。以下の箇所である。

> もともと、私は海外サイトで拾ったウイルスジェネレータで作ったものを使う
> だけのスクリプトキディでした。
> iesysを作る以前にも多数の人に感染させています。
> 何らかの実行ファイルにくっつけてあちこちで配布する手口が中心です。
> B-CAS書き換えが流行ったときなどいっぱい釣れました。

仮にこの内容が真実だとするならば、真犯人はＰＣ遠隔操作事件以前にも頻繁にマルウェアをジェネレータ等のツールで生成し、ばら撒いていたということになる。

コラムを読んでいる皆さんにひとつ質問をしてみたい。フォレンジック調査員にとって敵に回したくない相手とはどんな連中だろうか？高度なスキルを持ち、未知の脆弱性を駆使して皆さんの組織を執拗に狙ってくる凄腕ハッカーだろうか？いや、そんな天才的な連中に狙われる状況なんか考えたって仕方ない。それはまさに天災みたいなものだ。

それよりも、より身近で厄介な存在は、調査側の限界を熟知している相手だろう。わたしが小保方銃蔵メールの記述を読んで腑に落ちたのはその点だ。真犯人は日常的にウイルスをばら撒き、感染させて遊んでいたという。彼はそういった活動の中で、経験的な実感をもって、警察のサイバー捜査の限界を体感していたのではないだろうか。

いま、ネットにはこうした「サイバー捜査の限界を体得している人間」が一定数存在すると思う。彼らには飛びぬけたスキルがあるわけではない。しかし、ネットでの様々な騒ぎに便乗して、マルウェアの作成から配布までこなした経験がある。時には法律を学んで理論武装し、積極的に新しい技術を取り入れながら、捜査の網をくぐりぬけてきた。

この手の相手には細かい技術的なミスやスキル不足の指摘はあまり意味がないのかもしれない。サイバー捜査の一線を皮膚感覚として理解し、致命的なミスを避け、決して踏み越えてこないからだ。実際、Ｋ容疑者も技術的に脇の甘い部分は数多くあったにせよ、警察のサイバー捜査から身元を隠し続けることには成功した。

事件としてのインパクトの大きさから、ＰＣ遠隔操作の一連の騒動は世間の注目を浴びる結果になった。メディアは競うように事件の進捗のリーク情報や、公判についての詳細なメモを報道した。その結果、検察側主張やそれを裏付ける証拠が白日の下に晒されることになった。

また、一方で弁護団もネットメディアを巧みに利用し事件の情報を開示しつづけた。弁護団は異例ともいえる頻度で記者会見を開き、驚くべきことに容疑者本人も生放送でコメントを行い、捜査手法に対する疑問を世間に訴えた。これら報道された内容や、それを紐解く専門家の検証により、警察の捜査能力、解析能力の限界はかつてないほどにオープンになっているといっていい。

警察の捜査手法がオープンになること、そして、今回のような関心の強い事件に紐づいて拡散すること。これは良いとか悪いとかではなく、事実として受け止める必要がある。世間的に関心のある情報は勝手に共有され拡散される。そのためのツールやサービスはいくらでもある。特定の情報だけを秘匿したりコントロールすることは、もはや不可能な時代だ。

もちろん「彼ら」が明らかになった捜査手法を解釈し、よりずる賢く立ち回るようになるのは間違いない。知恵を付けた相手に対抗するには、結局のところ警察の捜査能力や解析能力を向上させていくしかない。

警察のサイバー捜査の解析能力底上げはもちろん急務である。ただし、現状のICTの仕組みにおいて、発生したインシデントを事後に解析する対応は、既に技術的な限界が見えている。サイバー領域の解析能力は、捜査の重要な要素技術として位置づけつつ、警察の強みである人的、物的な組織力を生かす方向で、総合的な捜査能力向上を目指す方がより近道だと思う。

ただし、彼らは我々の準備が整うのを待ってはくれないだろう。

Ｋ容疑者の自白からちょうど２週間後に安部銃蔵を名乗る、恐らく事件とは無関係な人物から、マスコミ宛てにeメールが送られた(※４)。メールは、Torによって経路を秘匿され、YahooのWebメールが利用されていた。その手口は「真犯人」と全く同様だ。

安部銃蔵はメールでこう述べている。

「この前、２ちゃんねるにウイルスを貼ったら踏み台がたくさん集まりました。なのでまたいつでもゲームを始めることも可能です」

次のゲームが始まるまでに出来ることはないか。我々は彼らとの間に引かれた一線を越えるために、苦しみながら試行錯誤するしかない。

※１
小保方銃蔵メール全文&ヘッダ
http://yokoku.in/enkaku2012/mail20140516.txt

※２
【片山ゆうすけ終了のお知らせ】ｹﾝﾓｰ民がiesysﾓﾄﾞｷを作成 → ｹﾝﾓｰ作者「簡単でしたｗ」
http://maguro.2ch.net/test/read.cgi/poverty/1396062869/

※３
【PC遠隔操作事件】被告人のC#に関する能力は？（第５回公判メモとコメント）
http://bylines.news.yahoo.co.jp/egawashoko/20140326-00033904/

※４
【安部銃蔵】真犯人の名乗る人物からのまたメール（全文＋ヘッダー）
http://d.hatena.ne.jp/satoru_net/20140601

【著作権は、松本氏に属します】