遠隔操作ウイルスによる誤認逮捕で百家争鳴：セキュリティクラスタ まとめのまとめ 2012年10月版

[山本洋介山，bogus.jp]

　10月のセキュリティクラスタは、なりすましウイルスとクロスサイトリクエストフォージェリ（CSRF）による誤認逮捕の一件で持ちきりでした。使用されたウイルスや犯行の動機、警察の対応など、予想や議論の対象はさまざま。事件で使用されたCSRFや匿名通信ツールの「Tor」についての言及もありました。

　一方、今年は何かと話題に上がることの多いAndroidアプリですが、また怪しいアプリが出現しました。いよいよ逮捕に至ったケースが報じられた一方で、自衛のためのサイトが立ち上がるなど、まだまだ安全への道は遠いようです。

外部操作による殺人予告書き込み、実は誤認逮捕で大騒ぎ

　2012年8月に大阪市のホームページに殺人予告を書き込んだとして、著名なアニメ演出家が逮捕された事件は記憶に新しいところです。実はこの一件、「なりすましウイルス」を用いた遠隔操作によるものであることが判明し、誤認逮捕であるとして同氏は10月7日に釈放されました。三重県でも、爆破予告を書き込んだとして逮捕された人物が、同日に釈放されています。

　大阪での逮捕が報じられた当初から、セキュリティクラスタでは「踏み台にされたのではないか」「Webサイト側にあったCSRFの脆弱性を利用されたのではないか」といった意見が交わされていました。経緯を見ると、この推測は当たっていたようです。当事者のPCからは、犯行に使用されたと思しき「SYSIE.A」というウイルスが発見されました。これを解析した結果、ソースコードに日本語が含まれていたことから、日本人の犯行ではないかと言われ始めました。

北村氏らを陥れた遠隔操作の「BKDR_SYSIE.A」ですが、iesys.exeは展開後のウィルス検体で、大元のファイルは未だにウィルス検知ソフトで検知できない可能性が高そうです。2ch情報ですが内容や前後関係など信憑性が高そうなのでお知らせしておきます

— てんたまさん (@tentama_go) 10月 11, 2012

　その後、真犯人と名乗る人物が報道機関などに犯行声明を送付し、iesys.exeという手製のウイルスを利用したこと、2人以外の事件にも関与したことを告白。この結果、さらに2人、計4人が誤認逮捕されていたことが判明しました。

　中には、無実であるにもかかわらず、なぜか自ら罪を認めていたケースもありました。もし犯行声明がなければ、そのまま犯罪者として一生を過ごすことになったかもしれず、「犯行声明のおかげで汚名が晴れてよかった」というツイートが見られました。また、「どうしてやっていない人が自供させられているのか」と疑問を呈したり、警察や検察の捜査や立件のやり方を疑う意見も少なくありませんでした。

報道情報を元に、なりすましウイルスの犯行で行われた手口をイメージに起こしました。既存のサービスを効果的に組み合わせており、国内で認知されたサイバー犯罪では最も手の込んだものではないかと思います。 f.hatena.ne.jp/Kango/20121012…

— piyokango　　　　　　　.exeさん (@piyokango) 10月 11, 2012

（※画像は更新されています。http://f.hatena.ne.jp/Kango/20121013105004）

　事件や原因や犯人像について考察するつぶやきも多数ありました。「IPアドレスのみを証拠とし、なりすましの可能性を考慮せずに逮捕してしまったことが一番の問題点である」という点は、大多数の意見が一致しています。また、警察の見通しの甘さや技術力の低さだけでなく、現場との連携不足を指摘する人もいました。さらに、市販のウイルス対策ソフトでは検知しにくかった「手製」のウイルスが利用されたこと、Torという匿名化ツールが利用されたことも、いまだに真犯人が見つからない理由の1つと考えられています。

IPアドレスを過信しないのは昔から当然だったはずだけどなあ。逆に、Librahackのときは、自分だと本人が認めたため、そこでもうネジが飛んじゃって「よっしゃーもらったー」みたいになったと思われるので、今回の事案とはいろいろ対照的。

— Hiromitsu Takagiさん (@HiromitsuTakagi) 10月 8, 2012

批判するのは簡単だけど自分が警察・検察の立場だった場合にどうすべきだったかを考えると結構悩ましい。犯行予告の場合、犯行を未然に防止する方向に対応する必要があり実際に犯行が行われた場合の被害を考えると簡単に答えは出せないかもしれない。

— keijitakedaさん (@keijitakeda) 10月 8, 2012

　また、とあるセキュリティ企業の人が想定される犯人像についてコメントしたところ、その発言が変な具合にまとめられて報道されてしまいました。この結果、このセキュリティ企業の方が「犯人はVisual Studioという高価なソフトを使っているから専門家」と発言したことにされてしまいました。「そんな発言をする人じゃないだろ？ おかしいな」と思ったセキュリティクラスタ民を尻目に、記事を読んだ人から「Visual Studioには無料版もあるわ、このド素人が」とTwitterで袋叩きにあう始末。流れ弾に当たったようなもので、お気の毒でした。

誤認逮捕事件に使われた「CSRF」って、どんな脆弱性？

　なりすましウイルス事件の中で異色だったのが、横浜の大学生が逮捕され、保護観察処分を受けた事件です。犯行声明の中で、このケースだけは遠隔操作ウイルスではなく、CSRFという脆弱性を利用していたことが言及されていました。これを機に、普段あまり耳にすることのないCSRFという脆弱性が、世間でも大きな話題になりました。

　CSRFが悪用されたこの事件では、掲示板への300文字に及ぶ書き込みが、わずか2秒で行われたにもかかわらず、大学生は「一心不乱に打ち込んだ」と供述させられ、立件に至ってしまいました。こうした経緯には、セキュリティ関係者でなくとも厳しい意見が多かったです。中には「コピペすれば2秒でできるのでは」という意見もありましたが、実際に書き込むためには、氏名など「書き込む内容以外の情報」まで入力する必要があり、2秒での入力は困難といえるでしょう。

【ニュース】当初、男子学生は「何もやっていない。不当逮捕だ」などと容疑を否認していましたが、その後、「楽しそうな小学生を見て、自分にない生き生きとしたものを感じ、困らせてやろうと思った」と容疑を認めたということです。男子学生は家庭裁判所に送られ保護観察処分になりました。#nhk

— NHK@首都圏さん (@nhk_shutoken) 10月 15, 2012

　この学生の保護観察処分も10月末には取り消され、冤罪が認められました。しかし、「リンクをクリックするだけで逮捕される」という恐ろしいことが、いつ自分の身に降りかかるか分からないと心配するツイートや、取消処分についてもっと報道すべきだとするツイートも多く見られました。

本日の沢山あった報道の中で最も拡散しないとならないのはこの件。 / “大学生の保護観察処分取り消し　NHKニュース” htn.to/jQT5ry

— piyokango　　　　　　　.exeさん (@piyokango) 10月 30, 2012

　さて、これまでCSRF対策といえば、「認証された後、その特定のアカウントをかたって書き込みが行われる」というケースを想定しての対策がほとんどでした。しかし今回の事件で逮捕の原因になったのは、「匿名」で書き込めるフォームへの書き込みでした。このことから、「正しいCSRF対策とはどうあるべきか」について見直す声が上がり、さまざまな意見や技術論が活発に交わされました。

　CSRF対策には「ブラウザのRefererをチェックするやり方」や「トークンを埋め込むやり方」などが知られています。Refererチェックは簡単に実現できる反面、Refererを無効にしているユーザーがサービスを利用できなくなるという欠点があります。一方、トークン埋め込みには副作用はないのですが、実現に少し手間が掛かります。この話題に関するつぶやきを見る限り、1つのやり方だけで決定版というのはないようです（11月15日注：ご指摘を受けて記述を修正いたしました）。立場によって、「どの程度まで利便性を確保しつつリスクを許容するか」は異なります。その上、対策にはコストもかかります。これらすべての要素を勘案すると、なかなか「これ」といった完璧な対策はないようです。

某放送局の取材で「従来認証のないアプリケーションではCSRF対策は必要ないと思われてきた。これは実害があまりないからである。しかし、今般の状況を考慮すると、認証のない掲示板等でもCSRF対策が求められるのではないか。もちろんIPアドレスのみで捜査するのが悪いのだが」と説明しました

— 徳丸　浩さん (@ockeghem) 10月 16, 2012

CSRFは、自分では積極的に探そうとは思わないくらい「ケチな脆弱性」という感覚があるけど、でももし犯罪に何か脆弱性を利用するならやっぱりCSRFが一番使い勝手がいい気がしますね。DOM based XSSでもいいけど、それよりCSRFのほうが見つけるのも簡単だし。

— Yosuke HASEGAWAさん (@hasegawayosuke) 10月 16, 2012

真に受けて通報とかしないのであればお問い合せフォームにCSRF対策なんていらないと思う(任意のメールアドレスに自動/手動で返信メール送るやつに関しては対策あったほうがいいと思う)

— malaさん (@bulkneets) 8月 27, 2012

Androidアプリでまたまた情報漏えい、業者の逮捕も

　今年はこれまでにもたびたび、「個人情報を勝手に抜き取るAndroidアプリ」が話題になりました。10月にタイムラインで話題となったのは、「全国電話帳」というアプリです。

　とはいえ報道によると、全国電話帳の目的は個人情報の悪用ではなく、「どのくらい情報が集まるのか実験する意図で」情報を抜き取っただけとのこと。配布元のサイトには、「電話帳の情報を利用する」との但し書きがあったそうです。

　しかし、収集した情報を外部に公開するとまでは明記されていないこと、加えて同社のデータベースのセキュリティが甘く、収集情報を格納していたデータベースが誰でも閲覧可能だったことなどが問題視されました（後日、アクセスできないように修正されました）。

　さて、4月に「○○the Movie」などの名前で配布され、電話帳のデータをだまし取る偽アプリが、7月には「電池が長持ちする」などの説明で、同じく電話帳のデータを盗み取る偽アプリが話題になったことは覚えているでしょうか？ 10月末、これらの偽アプリを開発して個人情報を盗み取っていた犯人がそれぞれ逮捕されました。逮捕を受けて、「どんな罪状で逮捕されたのか」「そもそも、ユーザーが自主的にインストールした偽アプリを『ウイルス』と表現してもいいのか」などが議論になりました。

「電池長持ち」等をシマンテックが警告したのが8月で逮捕が今だからこんなものだろうけど、ウイルス罪で行けるかの判断はthe Movieの件と連動してるのかも？京都府警が扱って容疑者が大阪。 / “朝日新聞デジタル：電話帳データ抜き取るア…” htn.to/hMgyHz

— 上原　哲太郎さん (@tetsutalow) 10月 30, 2012

　こうした事態を受けて、Android用のウイルス対策ソフトを発売し始めるベンダが増えています。しかし中には、インストールさせるためにいったんセキュリティ設定を無効にするよう指示する製品があったり、過大な効果を匂わせるような広告があったりで、批判が集まりました。

　また、ウイルス対策ソフトでは、明らかなマルウェア以外のアプリがどのくらい危険かを判定するのは困難です。そこで、Androidアプリのリスクレベルをインストール前に判断できるサイトがオープンし、話題となっていました。

【関連リンク】

Androidの検証サイト 『secroid』（セキュロイド）

http://secroid.jp/

スマホウイルスで９万人1200万件の個人情報漏えい。www3.nhk.or.jp/news/html/2012…　　当時の予測通りです。d.hatena.ne.jp/lumin/20120412 多分名寄せ前の数字。このようなことが起こらないよううにするために作りました secroid.jp

— luminさん (@lumin) 10月 30, 2012

　Androidのセキュリティに関する話は、これからもしばらく尽きることはないようです。

セキュリティクラスタ、10月の小ネタ

　その他10月には以下のような話題がセキュリティクラスタを賑わせました。11月はどのようなツイートが行われるのでしょう。

• @hasegawayosuke氏が停止させたことで有名な「Wassr」、惜しまれつつ終了
• ドラクエXで不正アクセスがたくさん発生
• BINDにまたまたまたまた重大な脆弱性が見つかる
• 中学生2人がフィッシング詐欺サイト開設とフィッシングサイトの作り方指南で摘発
• ネットバンキングに不正な画面が現れて情報を抜かれるウイルス出現
• ウイルスバスターの誤検知が原因でフリーソフト公開終了
• LINEに似たアプリ「comm」、わがままいっぱいな規約と過剰なアクセス許可要求で炎上
• ネットオフに不正アクセス、1万件以上の個人情報が大流出
• スイスのJura社製コーヒーマシンの深刻な脆弱性が公開される
• SUTEGOMA2、シンガポールの「HITB CTF」で2連覇達成
• 「Hardening One」開催される
• GhostShellが東大を含む世界の100大学を攻撃

著者プロフィール

山本洋介山

twitterセキュリティネタまとめ

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。