オルタナティブ・ブログ > ビジネスを楽しく!熱く! 『デラマンチャ・ビジネスラボ』 >

中堅IT会社の事業企画、経営企画、マーケ、営業、コンサル・・・雑多な経験とマルチタスクに翻弄される日々の徒然と気概をお届けします。

【遠隔操作ウィルス「iesys.exe」は何だったのか?】

»

皆様こんにちは。鈴与シンワート株式会社の正林です。


昨今のニュースを賑わしている遠隔操作ウィルスによって、第3者のPCから殺人予告が書き込まれたり等があり、その上で警察の誤認逮捕が相次いで発覚しています。

このウィルスは「iesys.exe」という、恐らく国内で作成された独自のウィルス・アプリケーションのようです。
このウィルスの動作は

・ユーザのキー入力操作情報およびマウスの操作の記録(いわゆるキーロガー、入力したパスワードなどはすべて筒抜け);
・隠しブラウザで特定のURLを操作および開く(今回の事件の書き込みはおそらくこれで行われたもの)
・ファイルのダウンロード(この機能によって感染したパソコンの持ち主が誰なのかといった情報を収集可能)
・ファイルのアップロード(児童ポルノ画像でも何でも送りつけることができるのでさらなる犯人として捏造しようと思えばできる機能)
・スクリーンショットの取得(これによってもそのパソコンの持ち主の情報をいろいろと得ることが可能)
・ファイルおよびフォルダの列挙(重要なファイルを見つけてダウンロードされてしまう)
・ファイルの実行(ファイルのコピーや削除も自由自在ということ)
・デフォルトのインターネットブラウザの取得
・自身のアップデート(アンチウイルスソフトが更新される前に自分自身を更新し続けることで検知されないようにすることも可能になるような機能で、もっと高機能なボットやバックドアではよくある機能)
・環境設定ファイルの更新(後述する遠隔操作のために必要)
・利用した掲示板のスレッドの更新(後述する遠隔操作のために必要)
・コンピュータを一定の時間スリープする

・コンピュータから自身を削除する(自分自身を削除することで証拠を一切無くすことができる)

Gigazaine より

こいうことで、TV報道などで遠隔操作の様子を流している画面を直接操作するものではなく、遠隔地からのバッチ処理で実行されるもののように思えます。

当ブログ読者であれば、一定のITリテラシーを有していると思いますので、この手の感染とは無縁と思いますが、一般のインターネットユーザーにとって、気軽さの代償としてのリスクを身近に感じる事件だったのではないでしょうか。

そもそも、ウィルスであってもこれらはアプリケーションのひとつな訳なので、感染するためのトリガーになる処理をユーザーが実行しているハズです。
ウィルス対策ソフトを導入していなくとも或いはウィルスとしての更新タイミングに間に合わなかったとしてもブラウザやメーラーのセキュリティ設定で、アプリケーションの実行に都度確認を促す機能はついていますのでよく分からないファイルは開けない、exe実行しないという基本的な動作が出来ればこれらの感染から逃れることが可能です。

繰り返しますが、トリガーの処理が無ければ何も起こることはないのですから、必要以上に恐れることはなく、むしろ、いたずらにインターネットの恐怖を煽る情報が錯綜することにこそ、危惧を覚えます。

この、事件で最も問題なのは各所で指摘されているところなので、一般論になってしまうかもしれませんが「警察の誤認逮捕」と「自白を引き出している」という点です。

発信もとのPC所有者であっても、通常の利用状況、活動導線、嗜好などきっちりと捜査をしていれば、おそらく「容疑は晴れた」のではないでしょうか?
今回、このような事態に陥った原因、問題は2つあると考えます。ひとつは

● 捜査員自身のITリテラシーの低さやこれらの犯罪に対応するシステムが構築されていない或いは運用として機能していなかったという点

もうひとつは

● 自白至上主義の捜査手法、システムがもたらしたものである点

警察における取調べとは、ある程度の証拠確保のあとはそこから立てられた仮説に対する実証を調書という自白によるエビデンスで容疑を確定する。
調書の取り方は一般的に、目の前に警察官がいて、事件のことについて質問をし、ワープロで語ることをタイプして、後から本人の押印を行います。
無機質な取調室のなかで仮説に準じた証言が出てくるまで延々と粘り強く時間をかけてくるプロな訳ですから、よほど強い精神力が無い限り「もういいや」という諦めや惰性に流されて虚偽の証言をしてしまうこともままあるでしょう。

老獪な犯罪者から重要な証言を引き出す手法として、これらのすべてを否定はしませんが、心理的に追い込むやり方だけでは冤罪を「生まない」ことはありえないでしょう。

ITの発展と共に犯罪の複雑性は増したといえます。そして、最終的に開発者は無罪を勝ち取った「winy事件」のように犯罪かどうかグレー・ゾーン(僕自身の個人的見解でいえばシロですが)の案件も増えるはずです。
これらに高度なIT案件に対応したシステムの構築は急務と考えます。

そして最後に、インターネットという比較的新しいインフラは、未成熟なところは多々あるにせよ、恐れるものではありません。正しい知識さえ持っていれば、従来どおり有用なプラットフォームであり続けるはずです。

アプリケーション開発ベンダーに身をおいている自分は、このことを強く思うのです。

<了>

-正林 俊介-


Comment(1)

コメント

TETSU

何らかのトリガーが必要だったはずですが、それにもきっと問題があったのでしょうね。無料のソフトをダウンロードしてインストールしたら変な動きをしたと気づいた人がいたらしいからわかったのでしょうが、その前に感染した人はわかっていなかったのか・・・もしくあわかっていても警察に言えなかったのか?(ちょっとやましいソフトで騙す手口が多いのは、こういう時にも厄介かも)

でも暗号化もせずに普通のアプリだったせいで、よくあるウイルスの動きと違って、逆に対策ソフトで防げなかったというのも何だか・・・企業で使う普通のアプリが誤検出されると困るというのもあるんでしょうけど

コメントを投稿する