松のページブログ

　かの遠隔操作事件について少し動きがあったようですね。「自称真犯人」がマスコミ等に「暴露メール」を送付しました。この事件について少しだけ書いてみます。

　この事件は、客観的に見ても大変興味深い事件だとは思うのですが、「だからフリーソフトって危ないよね」的な世論になられると結構困るというか悲しい立場にいるので、そういう意味でもちょっと気になるのです。
（ただしメールは一部のみ抜粋）



＞もともと、私は海外サイトで拾ったウイルスジェネレータで作ったものを使うだけのスクリプトキディでした。
＞
＞iesysを作る以前にも多数の人に感染させています。
＞
＞何らかの実行ファイルにくっつけてあちこちで配布する手口が中心です。


　スクリプトキディとは自分ではプログラムを書く能力のないのに、他の悪意のハッカーの用意した攻撃ツールを使って一丁前にハッカー気取りをする人たちのことです。
　既製の攻撃ツールを使ってこれまでも感染を行っていたようです。
　文章からすると、iesysが初ウイルス作成あるいはウイルス作成の経験が浅いとも取れます。確かに iesys は既存のウイルスと比較するとかなり技術的要求水準の低いソフトウエアのようです。


＞「遠隔操作」可能なウイルス、一旦感染させたら、遠隔操作して大抵の実行ファイルに感染させることは可能です。
＞
＞昨年、片山氏の弁護団からポータブルアプリケーションという言葉が出たときやっと真理に近づいたと思いました。
＞
＞もちろんUSBメモリを差して自動実行されるタイプではありません。今のOSではそれでは感染しないです。
＞
＞片山氏は感染した実行ファイルを、確認しただけでも数台で使いまわしていたので、それぞれのPCに感染させることに成功。

片山氏以外の遠隔操作はiesysを使ったのになぜか、片山氏のPCはウイルスジェネレータで作成したウイルスで遠隔操作したようです。この自称真犯人、なぜこのようなことを書いたのか。それはiesysでは、片山氏を被害者に仕立て上げるには機能が足りなさすぎるからです。
iesysは感染能力がないため次々と複数PCで感染を広げることはできませんし、掲示板を経由して操作のやり取りを行うため、様々な情報を取得を取得するにも時間がかかりすぎます。


＞・自宅(OCN)のPC
＞
＞・IP【60.36.185.80】の会社PC
＞
＞・toshibaのリモートホストのPC

　この３つで重要なのは、「IP【60.36.185.80】の会社PC」です。このIPアドレスは何でしょうか。whoisで調査しましたが、「該当するデータがありません」とのこと。事件当時は使われていたのでしょうか。どうやら日本のアドレスではあるみたいですが…。これ自身が正しいとすると秘密の暴露にもなり得ると思うのですがどうでしょう？。さらっと調べてみたところ、片山氏が以前勤めていた会社名というのは報道はされていないようですが…。
2014/5/17 23時追記: 60.36.185.80は岐阜県に本拠地を置く人材派遣会社のIPアドレスのようでした。東京に支社があるわけでもIT関連の技術者の派遣会社でもないようです。また、片山氏が「開発」を行っていたならば、人材派遣会社ではなく、派遣先のIT企業であるはずです。あと、自称真犯人がIPアドレスで会社を書いたのが気になります。なぜ会社名を書かなかったのでしょうか？。ひょっとして自称真犯人は、片山氏の当時の勤務先を特定できていないのではないでしょうか？。
　
　あと、片山氏の複数PC（とスマートフォン）に遠隔操作ツールを仕掛けた（仕掛けることができた）ことになっていますが、どうやって同一人物と判断できたのでしょうか？。ちょっと気になります。


＞もっとも、iesysにも.exeや.batの実行機能を実装してるので、他プログラムに感染させることは可能です。

　任意のプログラムを実行することは可能ですが、他のプログラムにiesys自身を感染させることはできないはずです。
　

＞携帯マルウェアについては、片山氏がスーファミエミュのapkファイルなど入れて動かしていたので、一瞬のタイミングで紛れ込ませることに成功しました。

　apkファイルはAndroidの実行ファイル（パッケージ）です。一見もっともそうに書かれていますが、「一瞬のタイミングで紛れ込ませる」って何でしょう？。ものすごく曖昧な表現です。片山氏はPCからapkファイルをダウンロードしてAndroid端末にインストールしたのでしょうか？。そんな面倒くさいこと片山氏はしたのでしょうか？。そもそも自称真犯人はAndroid用の遠隔操作ツールも持っているのでしょうか？。PC用の遠隔操作ツールとは明らかに別のツールが必要です。


＞片山氏本人がPCに保存していて私が盗んだ「docomoメモ2012.txt」にトラブル経緯が書いてありました。
＞
＞対応した副店長の氏名も書いてありました。「名刺もらった、アニメキャラみたいな名前だな」と本人コメント。

　技術的なことは何もないですが、このコメントは秘密の暴露でしょうか？。警察が片山氏PCを調査すればこのファイルが本当にあるのかはすぐわかります。
…でも、警察が「これは真犯人ではありません。愉快犯です。」といっても信じない人たちはいそうなので、もっともらしく書ければそれでよいのかもしれません。



＞雲取山、江ノ島は片山氏がルート検索していたのを確認しました。

　ルート検索したから、証拠をその場所に隠したのでしょうか？。本当に行くともいつ行くともわからないのに？。自分ならば、本当に行ったことを確認してから隠しに行くと思いますが。スマートフォンにマルウエアを感染させているならGPSから位置情報を得ることはできるので、原理的にはそれも可能なはずです。
　しかし自称真犯人は、片山氏の行動をGPSで追って後から証拠を隠したといえない事情があります。雲取山はともかく、江の島は片山氏が首輪をつけたとされる時刻(2013年1月3日午後1時半頃～午後3時半頃)から、真犯人からのメール（1月5日（土）午前0時34分）までは時間がなさすぎます。
　また、片山氏が江の島を訪れたとして、猫に全く触らずに帰ってしまう可能性も監視カメラにうまく映ってくれない（あるいは映りすぎて首輪をつけて「いない」ことが分かってしまう）可能性もありますよね？。自称真犯人にとって、ルート検索さえすれば行った事実はなくてもよかったのでしょうか？。



＞iesysは元はegserviceという名前のVC#プロジェクトでした。
＞
＞egserviceは片山氏のIP【60.36.185.80】の会社のPCから盗んできたものです。
＞
＞リネームの上、AssemblyInfo.csなどビルド情報をそのままにしたまま、全く違うプログラムに改造しました。
＞
＞インストーラであるcofeeも盗んだものです。こちらは元の名前のままです。
＞
＞つまり、事件に関連する実行ファイルのいくつかは、元は片山氏本人か同じ会社の人が保存していたVC#のプロジェクトファイルというわけです。

　egserviceは検察側の主張(http://bylines.news.yahoo.co.jp/egawashoko/20140311-00033448/)で「F:\vsproj\egservice」からと思いますが、この中でFドライブは片山氏自身がTrueCrypt（暗号化ツール）を使って自身で構築したドライブと認めています。片山氏はその中にvproj隠しフォルダがあったとしています。egserviceが片山氏が以前勤めていた会社のプロジェクトファイル名だとすると、これらの証言と矛盾します。
　
　それと、自称真犯人はなぜこのような面倒くさいことをしたと書いているのでしょうか？。片山氏を犯人に仕立て上げるなら、iesysのソースを片山氏の自宅PCの隠しフォルダに転送するほうがよほど簡単で確実に仕立て上げられます。会社PCに保存して消去だと完全に上書きされてしまう可能性もありますし、片山氏の離任に伴いフォーマットされてしまう可能性もあります。また、警察に「偽の証拠」を見つけさせるにせよ、削除されたファイルを復元して…といった不確実なものより片山氏の自宅PCに「ばん！！」と残っていたほうが良いと思います。警察が会社のPCを調査しなかったり証拠を見つけられなかったらどうするつもりだったのでしょうか？。
　
　あと、検察側の主張によると、『「wbcap」の文字列を検索し、特定の文字列をiesys.exeのソースコードに含まれている文字列「UTF-8」に置換した』とか、『サクラエディターで「F:\vsproj\egservice\upld\upld.php」を編集した』のような「さりげなさ」すぎる証拠まで残っているようです。いくら犯人に仕立て上げるといっても普通ここまでやる必要はないですよね。真犯人にとって警察は「ちょっと証拠を残せば勝手に犯人と決め付けてくれる存在」なのに…。片山氏の件だけやっている操作の内容が複雑すぎます。



＞片山氏PCからそれらプロジェクトのソースが発見されたor復元されたとすれば、内容がiesysとは全く違うとは言え、GUIDが完全一致してるはず。
＞
＞検察はこれを「片山が犯人」の根拠にしてると想像しています。
＞
＞3.4×10の38乗通りのパターンを持つ.NetのGUID(128bit)が一致したならさすがに宇宙規模の奇跡ですよね。

　GUIDを完全一致させたいなら、先に書いた通り自前で作ったiesysのソースコードを片山氏PCに転送するだけでよいはずです。なんだか技術的なことを書いてケムに巻こうとしているようですが、一般的な技術情報を書いているにすぎません。



＞iesys等のバイナリからから検出されているPCの情報、”TKY_DEV_PC07″とか”TKY_DEV_PC07_2″とか”Hewlett Packard”とかの文字列は、
＞
＞盗んだプロジェクト内のAssemblyInfo.csで定義されてるので、どこでコンパイルしようとそのまま反映されるというわけです。

AssemblyInfo.csって、VisualStudioのプロジェクトでは必ずできますが、特にC#初心者にはよく分からないファイルですよね。証拠となる文字列を埋め込んだというよりは、紛れて入ってきた文字列である可能性は高いですね。そもそも、片山氏はC#を使えないと主張していたわけですから、C#のプロジェクトに従事していなかったはずです。自称真犯人が片山氏PCからC#プロジェクトを盗んだとするとここでも矛盾が発生します。まあ遠隔操作ツールからファイルサーバーにアクセスできたと考えられなくもないですが、普通はC#のソースを管理するならVSSなりTFSなり使いますよね？。


あと、自称真犯人は（iesysより高機能な）既製ウイルスジェネレータを使ったと告白しているのに、なぜiesysを作ったのでしょうか？。まあ、片山氏の件はiesysでは無実の人を犯人に仕立て上げるのが難しいからと思いますが、自称真犯人が実際の真犯人とすると、iesys自体が存在意義を失ってしまうと思います。


…とこの文章を書いていて思ったのですが、もしかするとこのメールの目的は片山氏が真犯人ではないと警察に思わせるためではなく、世論的に片山氏は犯人ではないと誘導するためのものかもしれません。先にも書いた通り、警察ならこれが真犯人なのか愉快犯なのかはすぐにわかるはずなので。

最後に
　いろいろ書いていますが、この事件についてそれほど詳しくニュース等追っていたわけではないので、何か抜けているところや精度の高くない記述があるかもしれません。コメントを募集します。