Loading...

[ログイン] または [登録]

名称不明なホームページ

ここから広告です。
ここから本文です。

遠隔操作ウイルス等の危険性

最近、遠隔操作ウイルス等を用いた、脅迫メール等の送信事件が発生している。これは、何らかの方法でウイルス(正確にはトロイの木馬)に感染させたPCを利用して、メールを送信しているものである。実際には、ウイルスに感染させることなくメールを送信させる手口もある。 この手法を用いると発信元のなりすましが可能である点で、大きな社会問題となっている。

ここでは、遠隔操作ウイルス等の危険性を、様々な観点から見ていく。

遠隔操作ウイルスによる、発信者情報の偽装

遠隔操作ウイルスは、感染したコンピュータを遠隔操作することで、脅迫メールの送信や、サーバーへのサービス拒否攻撃等を行うものである。 ここで、送信先や攻撃先に残る発信元は、遠隔操作を行っているコンピュータでなく、遠隔操作されている、感染したコンピュータである。

たとえば、Aというコンピュータから指令を出して、Bというコンピュータを遠隔操作し、Cにメールを送信した場合、Cの記録に残るのはBというコンピュータだけである。 そのため、たとえば送られてきたメールが違法なメールだった場合、発信元はBとなるので、Bがメールを送信したかもしれないとして捜査を行うことになる。これが、脅迫メール等の送信事件における誤認逮捕の1つの要因となった。

遠隔操作ウイルスは、自己消去が可能

たとえBが送信元だと分かったとしても、そのBにウイルスが発見され、そのウイルスによりCに送信された場合は、Bの利用者には罪はないとして誤認逮捕には至らないと考えられる。

しかし、遠隔操作ウイルスには、自己消去機能と呼ばれる、自分自身を削除する機能がついている。遠隔操作ウイルスの作者は、目的を果たしたら、この機能を使ってウイルスに感染していたという証拠を消すことが可能である。

これを使うことで、ウイルスに感染していない(または、駆除された)という事実が判明し、Bの送信がウイルスであると断言するのは困難(あるいは不可能)となる。こうして、誤認逮捕につながったわけだ。

遠隔操作ウイルスは、偽装の送信履歴を作成可能

遠隔操作ウイルスは、種類によっては遠隔操作先のコンピュータの利用者が意図的に送信したという痕跡を残すことも可能であると考えられる。もし、そのような手段を用いていたとすれば、実際に利用者が送信したものか、あるいはウイルスが送信したものかの見分けがつかなくなる恐れがある。前述の自己消去機能と合わせると、利用者が意識して送信したものとの見分けが一層つきにくくなる。

ウイルスを用いない手口

すべてがウイルスを用いた手口を使っているとは限らない。たとえば、某政令指定都市での脅迫メール事件では、意見フォームの脆弱性を利用して、メールを送信した。この脆弱性は、他の悪意のあるWebサイトから、特定のスプリクトを実行すると、ターゲットのWebサイトに対して何らかの動作を行なわせるもので、手口自体は以前から指摘されていた。

この手法の場合、通常はこの攻撃を受けたという事実はコンピュータ上に残らない。残ったとしても、この脅迫メールの関係であるかは不明である。そのため、この手法で送信したメールかがわからない。しかし、この手法の場合、本人が意識してメールを送信したという情報も残らない。

ただし、この手法を使用できるのは、限られたWebフォームだけである点に注意が必要である。この手法の対策を行っているフォーム(当サイトのお問い合わせフォームも対策済み)では、攻撃の実行は困難である。

警察の捜査の実態

ここで、警察の捜査の実態についてみてみる。遠隔操作ウイルス等を用いた、脅迫メール等の送信事件について、当初、警察は発信元のIPアドレスのみを頼りに、捜査していた。その際、発信元のコンピュータの記録は、一応調べたようだが、調べ方が不十分であったため、今回のウイルスが原因であるとは見抜けなかった。

ウイルス等が原因であると判明したのは、ウイルスの作者が犯行声明を某報道機関等に送信したことがきっかけである。つまり、それを確認するまでは、ウイルスであるとは考えていなかったわけだ。

警察官は、逮捕術や、物理的な証拠の捜査の方法などは、警察学校で学んでいるが、今回のようなコンピュータウイルス等を用いた犯罪の捜査の手法等については、一部の専門の警察官を除いて、ほとんどわかっていないと考えられる。今後は、コンピュータウイルス等を用いた犯罪の捜査の手法等についても、警察学校のカリキュラムに入れると同時に、コンピュータウイルス等を用いた犯罪に詳しい専門的な知識を持つ人も、積極的に採用するべきである。

被害にあわないために

一般的なインターネット利用者

今回の犯罪の被害者は、脅迫メール等を受け取った官公庁等だけではなく、遠隔操作ウイルスに感染したコンピュータの利用者や、脅迫メール等が自動的に送信されるページを開いたユーザーも含まれると考えられる。そこで、このような犯罪の被害にあわないための、簡単な注意事項を以下に記載する。

  1. 不明なファイルはダウンロードしない、開かない。
  2. 不明なリンクは開かない
  3. 怪しいプロセスは即停止
  4. ウイルス対策ソフトウェアを常時作動させる

これらの4つを行っていれば、遠隔操作ウイルスの被害には遭いにくいと考えられる。しかし、今回の事件の場合、完全に自作のウイルスであったことが判明したため、ウイルス対策ソフトでは対処できなかったと考えられる。また、怪しいリンクや、怪しいファイルといっても、どれが怪しくてどれが問題ないのか、わからないといった問題点もある。

また、ウイルスを用いない手口においては、リンクを開いただけで、ブラウザやOSが最新バージョンであったとしても、被害を受けてしまう(脅迫メールの発信元となる)。これへの有効な対策は非常に少ない(全くないわけではないが、実行すると通常のWebサイトの閲覧に支障が出る可能性のある対策が多い)。

Webサイト運営者

今回の脅迫メールの送信の手口の中には、他のWebサイトからデータを送り付ける攻撃があった。このような攻撃は、一般にリクエスト強要(CSRF)と呼ばれる攻撃手法の1種で、ユーザーが意図しない動作を行わされる攻撃である。

対策としては、以下の方法がある。なお、上に行くほど(リストの数字が小さいほど)効果が高いと考えられる

  1. フォームを開いた際に、ユーザーごとの固有のキー(匿名ユーザーの識別方法としては、IPアドレスなどがある)を生成し、フォームに埋め込む。データが送信されてきたら、先に生成したキーと、送信されてきたキーを比較し、一致したら処理を実行する。一致しなかったら処理を中止する。
  2. フォームが送信された際に、HTTP リクエストヘッダ上のRefererを見て、正規のフォームから来た要求であれば受理し、それ以外の不正なページから要求であれば拒否する

基本的には1の対策をとるべきであると考えられる。この対策の場合、ユーザーごとに固有のキーを攻撃者が取得しなければならず、また、IPアドレスで識別されていた場合、攻撃者のIPアドレスが知られるか、またはフォームの送信に失敗するかのいずれかが予想される。また、それ以外の情報で識別していた場合においても、識別のための情報が入手できない限り、キーが発行できず、キーを発行しても無効になる可能性があるなど、他の利用者が正常に送信できるフォーム情報を攻撃者が作成するのは難しい。

2.の対策も有効ではある(攻撃者が正規のフォームから送信したように見せかけるのは困難)が、Refererを拒否している一部の利用者の対策が課題である。もし、Refererを拒否するユーザーのリクエストを受理するようにした場合、それらのユーザーの不正リクエストはもちろん、攻撃者がRefererが送信されないWebサイト(例:異なるドメインのSSLサイト)を作成する可能性もあり、その場合はすべてのユーザーが不正リクエストを発行してしまう危険性がある。そのため、Refererを無効にしたユーザーのリクエストは拒否すべきということになるが、そうした場合、今度はRefererを無効にしたユーザーが利用できなくなる。その点も配慮する必要があるといえる。

また、1と2の組み合わせも有効であり、この場合、さらに強力な保護が実現可能と思われる。