遠隔操作ウイルスによる誤認逮捕で百家争鳴セキュリティクラスタ まとめのまとめ 2012年10月版

10月のセキュリティクラスタは、なりすましウイルスとクロスサイトリクエストフォージェリ(CSRF)による誤認逮捕の一件で持ちきりでした。

» 2012年11月14日 18時00分 公開
[山本洋介山bogus.jp]

 10月のセキュリティクラスタは、なりすましウイルスとクロスサイトリクエストフォージェリ(CSRF)による誤認逮捕の一件で持ちきりでした。使用されたウイルスや犯行の動機、警察の対応など、予想や議論の対象はさまざま。事件で使用されたCSRFや匿名通信ツールの「Tor」についての言及もありました。

 一方、今年は何かと話題に上がることの多いAndroidアプリですが、また怪しいアプリが出現しました。いよいよ逮捕に至ったケースが報じられた一方で、自衛のためのサイトが立ち上がるなど、まだまだ安全への道は遠いようです。

外部操作による殺人予告書き込み、実は誤認逮捕で大騒ぎ

 2012年8月に大阪市のホームページに殺人予告を書き込んだとして、著名なアニメ演出家が逮捕された事件は記憶に新しいところです。実はこの一件、「なりすましウイルス」を用いた遠隔操作によるものであることが判明し、誤認逮捕であるとして同氏は10月7日に釈放されました。三重県でも、爆破予告を書き込んだとして逮捕された人物が、同日に釈放されています。

 大阪での逮捕が報じられた当初から、セキュリティクラスタでは「踏み台にされたのではないか」「Webサイト側にあったCSRFの脆弱性を利用されたのではないか」といった意見が交わされていました。経緯を見ると、この推測は当たっていたようです。当事者のPCからは、犯行に使用されたと思しき「SYSIE.A」というウイルスが発見されました。これを解析した結果、ソースコードに日本語が含まれていたことから、日本人の犯行ではないかと言われ始めました。

 その後、真犯人と名乗る人物が報道機関などに犯行声明を送付し、iesys.exeという手製のウイルスを利用したこと、2人以外の事件にも関与したことを告白。この結果、さらに2人、計4人が誤認逮捕されていたことが判明しました。

 中には、無実であるにもかかわらず、なぜか自ら罪を認めていたケースもありました。もし犯行声明がなければ、そのまま犯罪者として一生を過ごすことになったかもしれず、「犯行声明のおかげで汚名が晴れてよかった」というツイートが見られました。また、「どうしてやっていない人が自供させられているのか」と疑問を呈したり、警察や検察の捜査や立件のやり方を疑う意見も少なくありませんでした。

(※画像は更新されています。http://f.hatena.ne.jp/Kango/20121013105004

 事件や原因や犯人像について考察するつぶやきも多数ありました。「IPアドレスのみを証拠とし、なりすましの可能性を考慮せずに逮捕してしまったことが一番の問題点である」という点は、大多数の意見が一致しています。また、警察の見通しの甘さや技術力の低さだけでなく、現場との連携不足を指摘する人もいました。さらに、市販のウイルス対策ソフトでは検知しにくかった「手製」のウイルスが利用されたこと、Torという匿名化ツールが利用されたことも、いまだに真犯人が見つからない理由の1つと考えられています。

 また、とあるセキュリティ企業の人が想定される犯人像についてコメントしたところ、その発言が変な具合にまとめられて報道されてしまいました。この結果、このセキュリティ企業の方が「犯人はVisual Studioという高価なソフトを使っているから専門家」と発言したことにされてしまいました。「そんな発言をする人じゃないだろ? おかしいな」と思ったセキュリティクラスタ民を尻目に、記事を読んだ人から「Visual Studioには無料版もあるわ、このド素人が」とTwitterで袋叩きにあう始末。流れ弾に当たったようなもので、お気の毒でした。

誤認逮捕事件に使われた「CSRF」って、どんな脆弱性?

 なりすましウイルス事件の中で異色だったのが、横浜の大学生が逮捕され、保護観察処分を受けた事件です。犯行声明の中で、このケースだけは遠隔操作ウイルスではなく、CSRFという脆弱性を利用していたことが言及されていました。これを機に、普段あまり耳にすることのないCSRFという脆弱性が、世間でも大きな話題になりました。

 CSRFが悪用されたこの事件では、掲示板への300文字に及ぶ書き込みが、わずか2秒で行われたにもかかわらず、大学生は「一心不乱に打ち込んだ」と供述させられ、立件に至ってしまいました。こうした経緯には、セキュリティ関係者でなくとも厳しい意見が多かったです。中には「コピペすれば2秒でできるのでは」という意見もありましたが、実際に書き込むためには、氏名など「書き込む内容以外の情報」まで入力する必要があり、2秒での入力は困難といえるでしょう。

 この学生の保護観察処分も10月末には取り消され、冤罪が認められました。しかし、「リンクをクリックするだけで逮捕される」という恐ろしいことが、いつ自分の身に降りかかるか分からないと心配するツイートや、取消処分についてもっと報道すべきだとするツイートも多く見られました。

 さて、これまでCSRF対策といえば、「認証された後、その特定のアカウントをかたって書き込みが行われる」というケースを想定しての対策がほとんどでした。しかし今回の事件で逮捕の原因になったのは、「匿名」で書き込めるフォームへの書き込みでした。このことから、「正しいCSRF対策とはどうあるべきか」について見直す声が上がり、さまざまな意見や技術論が活発に交わされました。

 CSRF対策には「ブラウザのRefererをチェックするやり方」や「トークンを埋め込むやり方」などが知られています。Refererチェックは簡単に実現できる反面、Refererを無効にしているユーザーがサービスを利用できなくなるという欠点があります。一方、トークン埋め込みには副作用はないのですが、実現に少し手間が掛かります。この話題に関するつぶやきを見る限り、1つのやり方だけで決定版というのはないようです(11月15日注:ご指摘を受けて記述を修正いたしました)。立場によって、「どの程度まで利便性を確保しつつリスクを許容するか」は異なります。その上、対策にはコストもかかります。これらすべての要素を勘案すると、なかなか「これ」といった完璧な対策はないようです。

Androidアプリでまたまた情報漏えい、業者の逮捕も

 今年はこれまでにもたびたび、「個人情報を勝手に抜き取るAndroidアプリ」が話題になりました。10月にタイムラインで話題となったのは、「全国電話帳」というアプリです。

 とはいえ報道によると、全国電話帳の目的は個人情報の悪用ではなく、「どのくらい情報が集まるのか実験する意図で」情報を抜き取っただけとのこと。配布元のサイトには、「電話帳の情報を利用する」との但し書きがあったそうです。

 しかし、収集した情報を外部に公開するとまでは明記されていないこと、加えて同社のデータベースのセキュリティが甘く、収集情報を格納していたデータベースが誰でも閲覧可能だったことなどが問題視されました(後日、アクセスできないように修正されました)。

 さて、4月に「○○the Movie」などの名前で配布され、電話帳のデータをだまし取る偽アプリが、7月には「電池が長持ちする」などの説明で、同じく電話帳のデータを盗み取る偽アプリが話題になったことは覚えているでしょうか? 10月末、これらの偽アプリを開発して個人情報を盗み取っていた犯人がそれぞれ逮捕されました。逮捕を受けて、「どんな罪状で逮捕されたのか」「そもそも、ユーザーが自主的にインストールした偽アプリを『ウイルス』と表現してもいいのか」などが議論になりました。

 こうした事態を受けて、Android用のウイルス対策ソフトを発売し始めるベンダが増えています。しかし中には、インストールさせるためにいったんセキュリティ設定を無効にするよう指示する製品があったり、過大な効果を匂わせるような広告があったりで、批判が集まりました。

 また、ウイルス対策ソフトでは、明らかなマルウェア以外のアプリがどのくらい危険かを判定するのは困難です。そこで、Androidアプリのリスクレベルをインストール前に判断できるサイトがオープンし、話題となっていました。

【関連リンク】

Androidの検証サイト 『secroid』(セキュロイド)

http://secroid.jp/


 Androidのセキュリティに関する話は、これからもしばらく尽きることはないようです。

セキュリティクラスタ、10月の小ネタ

 その他10月には以下のような話題がセキュリティクラスタを賑わせました。11月はどのようなツイートが行われるのでしょう。

  • @hasegawayosuke氏が停止させたことで有名な「Wassr」、惜しまれつつ終了
  • ドラクエXで不正アクセスがたくさん発生
  • BINDにまたまたまたまた重大な脆弱性が見つかる
  • 中学生2人がフィッシング詐欺サイト開設とフィッシングサイトの作り方指南で摘発
  • ネットバンキングに不正な画面が現れて情報を抜かれるウイルス出現
  • ウイルスバスターの誤検知が原因でフリーソフト公開終了
  • LINEに似たアプリ「comm」、わがままいっぱいな規約と過剰なアクセス許可要求で炎上
  • ネットオフに不正アクセス、1万件以上の個人情報が大流出
  • スイスのJura社製コーヒーマシンの深刻な脆弱性が公開される
  • SUTEGOMA2、シンガポールの「HITB CTF」で2連覇達成
  • 「Hardening One」開催される
  • GhostShellが東大を含む世界の100大学を攻撃

著者プロフィール

山本洋介山

twitterセキュリティネタまとめ

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。