真犯人？ それとも誤認逮捕？ 渦巻く意見：セキュリティクラスタ まとめのまとめ 2013年2月版

　情報セキュリティ月間である2月。セキュリティクラスタは、遠隔操作ウイルス事件に関連して新たな容疑者が逮捕された話題で持ちきりでした。当初、タイムライン（TL）の雰囲気は「状況から見ても、真犯人で間違いなさそうだ」というものが大勢を占めていましたが、挙げられた証拠が直接的な決め手となるものではないことが分かるにつれ、「また冤罪ではないか」へ変わっていきました。

　一方海外では、サイバー攻撃にかかわっているとアメリカが中国人民解放軍を名指しで非難し、こちらも大きな話題になりました。

遠隔操作ウイルス事件、容疑者逮捕される

　この半年ほど、セキュリティクラスタの話題をすっかりさらっている遠隔操作ウイルス事件ですが、2月10日に大きな動きがありました。新たな容疑者が逮捕され、その日は号外が出るなど、新聞やニュースでも大騒ぎでした。

　容疑者には過去に掲示板での殺害予告で逮捕歴があり、江ノ島の監視カメラに、容疑者がSDカードを取り付けた猫に近づいている様子が写っているとのことで、当初はセキュリティクラスタでも、犯人で確定かと思われていました。

詳しい。写真もある。逮捕歴的には決まりっぽい。 / 【なりすましウイルス】逮捕の３０歳男、平成１７年にも逮捕　大手レコード会社社長らの殺害予告容疑 - MSN産経ニュース sankei.jp.msn.com/affairs/news/1…

— NAKATSURU Youさん (@you_0708) 2013年2月10日

遠隔操作事件の報道表現が面白すぎて噴くww 「猫に対して怪しい行為をした男を逮捕」「猫に首輪をつけたとして任意聴取」「猫に怪しい行動をした男のここ数日の行動をビデオに収めました」 何も知らなければ変態猫好き男性vs暇警察www

— さらださん (@sarada0404) 2013年2月10日

警察は物理的な捜査は得意で被疑者は物理的な犯行は不得意だったということか。余計なことをしなければ捕まることもなかったのかな。都内の男性に任意同行のテロップ流れた。

— keijitakedaさん (@keijitakeda) 2013年2月9日

　とはいえ報道によると、逮捕の証拠は「監視カメラの映像」（首輪を取り付けたところが写っていないのではないかという疑問も出ていました）と、「犯行が行われたいくつかの場所に行ったことがある」ということだけのようでした。押収されたPCからもこれといった証拠となるものが見つからないことから、「怪しいながらも慎重に」という声が現れ始めました。

遠隔操作事件の逮捕、被疑者が猫に首輪つけた事実に依拠してるのね。メモリの内容が予告通りのウイルス開発リソースだとしたら、真犯人は自宅にそれらを残すわけはない。真犯人とは別の使い走りを否定できるのか？逮捕状出したし、自白と裁判のチョンボで有罪にするんだろうけど。暗黒司法すなぁ

— 藁科　英司さん (@hamanako) 2013年2月10日

　その後も証拠に関する情報が少しずつ報道されましたが、

• 売却した携帯電話に江ノ島の猫の写真が入っていた
• 容疑者が派遣された会社のPCから遠隔操作ウイルスの操作に使われた「したらば掲示板」へアクセスした形跡が見つかった
• 容疑者の自宅から押収されたPCには自作PCが含まれていた
• SDカードから「遠隔操作ウイルスを作った」と書かれたファイルが見つかった
• フリーメールアドレスを申し込んだ際に登録された郵便番号が勤務先のものと同じだった
• 容疑者は自殺予告メールに写っていたものと同じフィギュアを購入していた

など、証拠とするにはいまひとつ決め手に欠けるものでした。また容疑者は、取り調べに際して録音・録画（可視化）を要請したものの認められず、そのため取り調べに応じていないため、詳しい供述は得られていないようです。TLも徐々に、容疑者を真犯人と断定するには証拠が足りないのでは……という雰囲気になっていきます。

容疑者が主に使う言語は「Java」でなく「C#」

　遠隔操作ウイルスはC#で開発されていましたが、16日には、「容疑者は主に仕事ではJavaを使用しており、C#を使ったことがない」という供述があったことが明らかになりました。TLでは「JavaができればC#なんて簡単」とをつぶやく人がある一方で、「.NET環境の知識が必要になるから難しいのでは？」など、多くの意見が出ていました。

C#（.NET Framework）での開発経験がないと主張しているならこれは重大。なぜなら、これが嘘なら容易に嘘を立証できるから。会社で使った事実があれば出せる。よって嘘でない可能性が高い。個人で趣味だけで使っていたとして、その痕跡だけ消去することができるか。また、…

— Hiromitsu Takagiさん (@HiromitsuTakagi) 2013年2月16日

　これに関連して、ジャーナリストの江川紹子さんが「Java」と「C#」の違いについてTwitterで質問を投げかけました。すると、ちょっとずれた内容も含め、さまざまなリプライが返され、セキュリティクラスタ以外のユーザーも含め大いに盛り上がりました。

DropBoxにウイルスに関連する全データが保存されていた？

　2月20日には、アメリカのファイル共有サービス、DropBoxのサーバにウイルスに関するデータがすべて残されており、その中に容疑者の派遣先会社PCを使った痕跡があったとの報道がありました。

　この「痕跡」は、内容によっては大きな証拠となり得ます。TLでは「痕跡」というあいまいな情報に対し、「業務で使っていたログイン名やドメイン名がウイルスのコードに記録されていたのでは？」「バイナリに情報が入っていたのなら、FBIから情報提供してもらうまでもなく分かるんじゃないか」「入っていたのはソースのリポジトリではないか」「でもソースのリポジトリだとしたら、なぜわざわざDropBoxに残していたのか」など、TLではさまざまな推測が飛び交いました。

全バージョン残す且つ接続 PC に関わる情報がある、となるとソースのリポジトリっぽいけど、イマドキ Dropbox に置くのかしら？

— NAKATSURU Youさん (@you_0708) 2013年2月20日

「猫の首輪」と容疑者が監視カメラに撮影された日時が合わない？

　さらに、「容疑者は犯行時だけでなく、以前から毎週のように江ノ島に来ていた」という話や、「容疑者が江ノ島にいた3日には、まだ猫に首輪が付いていなかったのでは？」という疑問が持ち上がりました。

　また、テレビに映し出された容疑者の勤務先から押収されたパソコンはiMacでしたが、「Mac OSではC#のウイルスを作成できないのでは」という疑惑や、「ウイルスに残されていた派遣先会社PCの痕跡とは、単にPCメーカーを示す文字列だったのではないか」との疑惑も挙がりました。

　このように、当初「証拠」とされていたものが、証拠とするには微妙なことが判明していきました。さらに、前述の江川さんが容疑者の担当弁護士に取材した記事が公開されたり、担当弁護士がラジオなどで容疑者についてコメントしたりと、容疑者側の立場からの報道が流れるにつれ、Twitterでは「もしかしたら5人目の誤認逮捕ではないか」という声が増えてきています。

　一連の事件と直接の関係はありませんが、リークによって逮捕の数日前からマスコミが容疑者の様子を撮影していたのではないかという指摘に加え、警察側が容疑者の母親に対し、容疑者と親子の縁を切るよう発言していたことが明らかになるなど、警察の行き過ぎた行動に対する非難の声も多く挙がっていました。

　容疑者は3月3日には処分保留で釈放されたものの、すぐにハイジャック防止法違反と偽計業務妨害容疑で再逮捕されました。再逮捕以降のTLの様子については、3月のまとめまとめでお伝えする予定です。

アメリカのメディアが中国から攻撃、名指しで非難

　米ニューヨークタイムズ紙が攻撃を受けて社員全員のパスワードを盗み出され、そのうち53人のパソコンに不正侵入されたという事件が起こりました。同紙は、この攻撃を含む米国企業に対する多数のサイバー攻撃に中国人民解放軍が関与していると名指しで指摘し、海外ニュースウォッチャーの間で話題となりました。

　もちろん中国側はこの指摘を否定しています。しかし追い討ちをかけるように、2月半ば、セキュリティ技術会社のMandiantが、中国によるアメリカへのサイバー攻撃に関する詳細なレポートを発表し、これまた大きな話題となりました。このレポートによると「61398部隊」という数百から数千人規模のサイバー攻撃部隊が、2006年からAPT攻撃などにより情報収集活動を行っていたとのことです。

今回の Mandiantのレポートは、2006年からこれまでに世界中で観測されているサイバースパイ活動の詳細を明らかにしつつ、その実行主体がこの61398部隊と考えられることを、多数の証拠とともに提示している。

— Masafumi Negishiさん (@MasafumiNegishi) 2013年2月19日

　TLではレポートの詳細さに驚く声や日本での報道の少なさをいぶかしむ声とともに、「実は日本も攻撃されているのではないか」と心配するツイートもありました。

@kitagawa_takuji @k_ichida 日本および韓国を担当している第5局(61419部隊)は青島にあるらしいですね。ホントかどうか知りませんが。w

— Masafumi Negishiさん (@MasafumiNegishi) 2013年2月20日

　他にも、Javaの脆弱性を突かれてFacebookが侵入されるなど、2月だけでも多数の企業への攻撃が明らかになり、ますます目が離せなくなっています。

セキュリティクラスタ、2月の小ネタ

　このほかにも、2月のセキュリティクラスタはこのような話題で盛り上がっていました。来月はどのようなことが起きるのでしょうね。

• Twitterがサイバー攻撃を食らって25万人の個人情報が抜き取られる
• Java 7に大量の脆弱性、1カ月で2回のセキュリティアップデート
• Adobe、Flashに大量の脆弱性、1カ月で3回のセキュリティアップデート
• Acrobat/Adobe Readerにもゼロデイが発覚してAdobe祭り
• CTFチャレンジジャパンの決勝大会とSECCON CTFの全国大会開催される
• 外務省、サイバー攻撃を受け機密情報流出
• SSL/TLSに新たな弱点、「Lucky Thirteen」が発見される
• 29Sec2013開催される
• WhiteHacker Z、今度はDBのデータを盗まれた揚げ句全消去されてしまう