写真1●遠隔操作ウイルスによる冤罪防止用ソフト「パケット警察 for Windows」
写真1●遠隔操作ウイルスによる冤罪防止用ソフト「パケット警察 for Windows」
[画像のクリックで拡大表示]
写真2●パケットログの記録例。Webアクセスで使うHTTP通信については接続先URLやUserAgent(Webブラウザーなどの識別に使える情報)なども記録できる
写真2●パケットログの記録例。Webアクセスで使うHTTP通信については接続先URLやUserAgent(Webブラウザーなどの識別に使える情報)なども記録できる
[画像のクリックで拡大表示]
写真3●プロセス起動・終了ログの記録例。「iesys.exe」という遠隔操作ウイルスと疑われるプログラムが起動した日時が記録されている
写真3●プロセス起動・終了ログの記録例。「iesys.exe」という遠隔操作ウイルスと疑われるプログラムが起動した日時が記録されている
[画像のクリックで拡大表示]

 ソフトイーサは2012年10月22日、遠隔操作ウイルスによる冤罪を防ぐための専用ソフト「パケット警察 for Windows」(写真1、以下、パケット警察と表記)をリリースした。特設Webサイトからフリーウエアとして無償でダウンロードおよび利用できる。

 パケット警察は、パソコンの通信状況やソフトウエアの起動をバックグラウンドで監視し、詳細なログとして記録するためのソフトウエア。同ソフトを使うことで、遠隔操作ウイルスに感染しても、ウイルスの活動やクラッカ(ネット犯罪者)との通信記録などをすべてログに残せるため、「自分の無実を証明したり、真犯人を追跡したりするための有力な証拠として利用できる」(ソフトイーサ)という。

 対応OSはWindows 98以降のWindows全バージョンで、最新のWindows 8やWindows Server 2008でも動作する。Windowsのシステム権限で稼働し、ログファイルを一般ユーザー権限では消去できない設定で記録する。Windows Vista/7/8のUAC(ユーザーアカウント制御)にも対応しており、「一般的な遠隔操作ウイルスの手口では、パケット警察の動作を止めたりログファイルを消去・改ざんしたりすることを困難にできる」(同社)としている。

 同ソフトは、「パケットログの記録」(写真2)と「プロセス起動・終了ログの記録」(写真3)という二つの機能を備えている。パケットログの記録では、初期状態ではパソコンがやりとりするTCP/IPパケットの主要なヘッダー情報を記録するようになっているが、追加設定によりペイロード(データ部分)を記録したり、TCP/IP以外のプロトコルについても記録したりすることが可能だ。現在のインターネットで主流のIPv4での通信監視に加えて、次世代のIPv6にも対応している。

 プロセス起動・終了ログの記録では、Windows上のすべてのプロセス(EXEファイルなどが起動した際に生成されるオブジェクト)の起動および終了状況が日時(ミリ秒単位)付きでログとして記録される。「遠隔操作ウイルスなどはEXEファイル形式で固定記録される場合がほとんど」(同社)であり、同機能によりウイルスの起動状況やクラッカによる停止日時などを突き止めやすくなるという。