ソフトイーサ、えん罪防止を目的にログ記録ソフトを無償配布：Visual Studioという「専門的なソフト開発ツール」で開発

[高橋睦美，＠IT]

　ソフトイーサは10月22日、遠隔操作ウイルスによる誤認逮捕事件を受け、PCの通信記録やプロセスの起動記録を監視し、ログとして出力するソフトウェア「パケット警察 for Windows」を公開した。Windows 98以降のWindows OSとWindows NT 4.0以降のWindows Server OSに対応しており、フリーウェアとして無償でダウンロードできる。

　パケット警察 for Windowsは、ソフトイーサが提供するVPNソフトウェア「PacketiX VPN」のパケット解析モジュールを活用したツールだ。PCのLANカードを流れるパケットをキャプチャするとともに、ソフトウェアプロセスの起動記録を監視し、ハードディスクドライブに保存する。万一、遠隔操作ウイルスによってPCがリモートから操作された場合でも、「ウイルスの起動記録や犯人の通信記録がすべてログに残り」（同社）、自己の無実を証明し、真犯人を追求する証拠として利用できるという。

　ログには、日付および時刻とともに、TCP/IPパケットのヘッダ情報のうち、パケットの種類や送信元IPアドレス、あて先IPアドレス、ポート番号といった重要なものがCSV形式で記録される。HTTPパケットについてはさらに、アクセスしたURLやパラメータ、UserAgentなどの情報も記録可能だ。これは、「遠隔操作ウイルスの挙動を記録するためにはTCP/IPパケットのヘッダ情報のみの記録で十分だと考えられる」（同社）ためだが、設定を変更すれば、ペイロードや、UDP、ICMPといったTCP/IP以外のパケットも記録できるという。なお、IPv4だけでなくIPv6にも対応している。

　同時にプロセスについては、すべてのプロセス起動／終了ログを日時（ミリ秒単位）で記録する。いずれのログもテキスト形式で、1日に1個生成される。

　パケット警察はWindows Vista／7／8のUAC（ユーザーアカウント制御）に対応しており、バックグラウンドサービスは、Windowsの「システムサービス権限」で動作する。このため、管理者権限を持たない一般ユーザー権限では、ログファイルの消去や改ざんは不可能なことが特徴だ。

　逆にいえば、Windows Vista／7／8の権限昇格画面で動作を明示的に許可するなど、ユーザー自身が遠隔操作ウイルスにシステム管理者権限を許可してしまったり、Windows Updateによるシステム更新を怠って、ウイルスに脆弱性を突かれ、管理者権限を奪われてしまった場合には、ログが改ざんされる可能性は否定できない。だがそれでも、パケットログファイルには膨大な情報が記録されるため、ISPやサーバ側のログも含め、矛盾のないようにログを改ざんするのは困難だと説明している。

　なお、パケット警察本体には、ログの外部送信機能は備わっていない。証拠保全などの目的で外部にログを送信したい場合には、ほかのプログラムやサービスと組み合わせたり、スクリプトを組んで外部の保存媒体に書き込むといった方法が考えられるという。一方、ログを他人に見られたくないという場合はハードディスクの暗号化ツールなどの併用を検討すべきという。