遠隔操作ウイルス事件でフォレンジックを考えた：セキュリティクラスター まとめのまとめ 2014年3月版

　2014年3月のセキュリティクラスターは「遠隔操作ウイルス事件」に注目していました。ようやく片山被告が保釈されるとともに、第2回から第5回の公判が行われ、複数の証拠が開示される中で、さまざまな視点からの意見が交わされていました。

　また、2月にJALのWebサイトが不正アクセスを受けた事件に続き、予想通り（？）ANAも攻撃を受けたことが話題となっていました。そしてSECCON 2013の全国大会や、OWASP AppSec APAC 2014が開催され、盛り上がりを伝えるツイートも多く行われていました。

遠隔操作ウイルス事件の片山被告がようやく釈放され、公判が進む

　遠隔操作ウイルス事件で、1年にわたり拘束されていた片山祐輔被告が、2014年3月5日に保釈されました。1年にもわたって裁判が行われることなく、ただ勾留されていたのには何かの意図を感じずにはいられませんが、まずは保釈されたことを喜びたいです。

　ようやく保釈が認められたものの、そこからもまた一騒動ありました。検察側が保釈を認めた東京高裁の判断を不服として、検察側が特別抗告を行い、いったん保釈が取り消されたのです。

　これについては手続き上のミスがあったこともあり、保釈の執行停止は次の日には取り消され、片山被告は何とか保釈されました。

　片山被告が保釈されたということで、冤罪（えんざい）だと勘違いしているアカウントもあるようでしたが、これは判決が出るまでの間身柄を拘束しないということです。遠隔操作ウイルス事件については引き続き、これから裁判の行方を見守る必要があります。

　会見で片山被告は「自分が遠隔操作されていたことを、パソコンの記録から自分で解析して証明したい」と話していたこともあり、関連したフォレンジックの話題もツイートされていました。自身が解析しても偽装を疑われるのではないか、すでに証拠として上がっているものなので大丈夫ではないか、解析できたのなら、ウイルスを作成できる能力があると逆に証明することになるのではないかと、心配しているツイートもありました。

　また、遠隔操作ウイルス事件は、フォレンジックを過信したから誤認逮捕された、ということを指摘している人もいました。

　その後、被告の会社のPCから、ウイルスが作成されていた断片を示すような証拠を検察が示し、状況証拠としては限りなく黒であるという声や、遠隔操作されていたにしても派手過ぎるので、どうして気付かなかったのかというツイートもありました。

　第2回から第5回公判まで行われている中で、犯人の意図や残された証拠、フォレンジックなどに関して@connect24hさんや@harusandaさん、@kitagawa_takujiさん、@kyoshimineさんを中心に、継続した議論が行われていました。得意分野が違う人たちの、さまざまな視点からの意見を、興味深く見守っていた人も多かったのではないでしょうか。

SECCON 2013全国大会開催される

　2014年3月1、2日には、SECCON 2013全国大会が開催されました。これまで1年にわたって行われてきた地方大会を突破した、20チームによる熱い戦いが繰り広げられました。

　大会中は参加者がつぶやく余裕もないようで、公式アカウントや関係者がたまにツイートする得点経過を見守るしかありませんでしたが、それでも会場の様子や雰囲気が伝わってきていました。結果はチーム「0x0」が2連覇を果たしています。おめでとうございます。

　CTF終了後は、感想や反省の弁とともに、CTFではおなじみのWriteUpもさまざまな人によって書かれました。参考にした人や、読んだだけで参加した気分になった人も多くいたと思います。

　また会場ではCTF以外にも多数のイベントや講演が行われており、その様子も多くツイートされていました。中でもTwitterで話題だったのは2日目に行われていた、「cybozu.com Security Challenge」の表彰式でした。

　賞金が100万円を超えているのを驚く声とともに、優勝者の@kinugawamasatoさんがもらった表彰状に、幾つかの間違いがあることを言及するツイートが多くありました。バグハンターはアナログな脆弱性を探すことも好きなようですね。

JALに引き続きANAも攻撃されてマイルを勝手に交換される

　2014年3月10日には、ANAのWebサイト「ANAマイレージクラブ」が攻撃を受け、会員が貯めたマイルを、iTunesストアで使えるiTunesギフトコードに交換されていたことが判明しました。攻撃を受けた会員は9人で、計65万円の被害だそうです。これに対し、ANAはマイルからiTunesギフトコードへの交換をストップして、パスワードの変更をお願いするなど、攻撃が見つかってからは素早く対応していたようです。

　まるで2月のおさらいのようですが、手口はJALが攻撃を受けたときと変わりません。今回の事件がよりひどいのは、JALのパスワードが数字6桁だったのに比べ、ANAのパスワードは数字4桁と、余計に攻撃されやすい状態のまま放置されていたことでした。

　2014年2月に高木浩光先生が怒りの連続ツイートを行ったにも関わらず、パスワードの長さ制限などはまったく対策が進んでいないままでした。ANAとしては一応、日々の監視などで攻撃への対処を行っていると主張していたようですが、あっさり攻撃されてしまい、タイムラインがみんながあきれ返っている感じでした。

　そこでタイムラインでは、安全対策を高める方法を提案したツイートも行われていました。IDの代わりに推測されにくいメールアドレスを使う方法や、ロックさせて使うときだけ復活させる方法、そして、数字4桁なら0.0003秒に1回定期変更すれば安全だとするツイートもありました。

　この他にも3月のセキュリティクラスターはこのような話題で盛り上がっていました。2月はどのようなことが起きるのでしょうね。

• ＠wikiが攻撃を受けパスワードが流出して全ユーザーのパスワードリセット
• 三菱東京UFJ銀行のWebサイト、フィッシングに対する緊急警告文が目立ち過ぎ
• OWASP AppSec APAC 2014開催される
• MS Wordの全バージョンに0day脆弱性があって攻撃を受ける
• お隣の国の通信会社、KT1200万人分の個人情報が流出
• 2013年のサイバー犯罪による検挙件数は8113件
• ハッキングコンペ「Pwn2Own」開催され、すべての主要ブラウザーに脆弱性が見つかる