ネット掲示板などに犯行声明が書き込まれた「遠隔操作ウイルス」事件で、容疑者が逮捕された。この事件では、犯人が通信元を巧妙に秘匿していたことから、警察が4人を誤認逮捕するという事態にまで発展した。その脅威は、企業にとっても他人事ではない。一連の経緯を詳しく報じた日経コンピュータ2012年11月8日号の連載「動かないコンピュータ」の記事を、容疑者の逮捕に合わせて公開するので参考にしていただきたい。
「知見を持つ皆さんの知恵を頂き、官民合同で検討を進めたい」。
警視庁は2012年10月23日、ウイルス対策でノウハウを持つセキュリティーベンダーの技術者らと合同協議会を開催した。遠隔操作ウイルス事件を受けて、捜査への協力を要請するためだ。初回の会合では、通信経路を秘とくする各種の技術に対する捜査手法などが話し合われたという。
殺人などの犯行予告がインターネット掲示板などに書き込まれた今回の事件では、警視庁と大阪府警、三重県警、神奈川県警の3府県警がこれまでに4人を誤認逮捕したことを認め、全員に謝罪した。警視庁などには犯人を名乗る犯行声明のメールも送られて来た。犯人しか知り得ない情報として、手口や書き込んだ内容などを詳細に記述しており、大半で事実の裏付けが取れた。
メール送信者は犯行の動機を「警察や検察をはめて醜態をさらすこと」と明言する。こうした犯行目的や一般市民を標的にするという点から、企業もターゲットになり得る。
IPアドレスで容疑者特定するが
ウイルス作成者のメールによると、活動を始めたのは2012年6月。誤認逮捕された4人のうち、大阪府吹田市在住の男性は、同年7月に事件に巻き込まれた。きっかけは、インターネットの掲示板「2ちゃんねる」での議論だ。
「こんな目的に合うツールはないかな」。男性の書き込みに、あるソフトを薦める返事が返ってきた。掲示板にソフトを置いたサイトのURLが書かれ、男性はダウンロードしてしまった。
男性のPCの遠隔操作に使われたウイルス「iesys.exe」はこのソフトに仕組まれていたとみられる。7月末、大阪市役所のWebサイトの掲示板に「(大阪・日本橋の)ヲタロードで大量殺人をする」との犯行声明が書き込まれた。大阪府警は捜査に着手し8月26日、男性を容疑者として逮捕。Webサイトのログに残った書き込み元端末のIPアドレスをインターネットプロバイダーなどに照会して、男性を特定したとみられる。男性は「身覚えがない」と容疑を否認し続けた。
9月14日に大阪地方検察庁が男性を起訴。その後、警察や検察が想定しなかった新たな事実が見つかる。PCが特殊なウイルスに感染していた可能性が浮上したのだ。犯行予告の書き込みはこのウイルスを経由した遠隔操作の疑いが強まった。大阪府警は同21日に男性を釈放。10月19日には起訴を取り消し、同21日には大阪府警幹部が公式に謝罪した。
三重県伊勢市の男性や福岡市の男性らも誤認逮捕された。ほぼ同様の手口でPCが遠隔操作され、伊勢神宮の爆破や東京の私立学校での殺人予告などが男性のPC経由で書き込まれた。
