「遠隔操作」、あなたはこの言葉からどんなことを想像しますか?インターネットが普及した現在、パソコンやスマートフォンを使ってWebサイトを閲覧したり、メッセージを送り合ったりするだけでなく、離れたところにあるパソコンや家電を操作することもできるようになっています。例えば、自宅のパソコンに保存したファイルを取り出したり、ビデオレコーダーに録画予約を追加したり、エアコンの電源を入れたり、さまざまな応用が期待されています。この歴史は古くUNIXと呼ばれるオペレーティングシステムでは、telnetやrshなどのプログラムを使って、遠隔のコンピュータにあたかもそのコンピュータの前に座っているかのように操作できていました。Windowsでもリモートデスクトップを使うと、遠隔のパソコンであっても、手元のパソコンと同様に操作し、作業することができます。通信の状況が良ければ、動画を見たり、ゲームをしたりすることもできます。
しかし、これらの遠隔操作には条件があります。それは、遠隔のパソコンや機器を操作する利用者の認証と使用権限の確認です。つまり、自宅のパソコンや家電は、許された利用者だけが使用することができ、また、利用する場合にもできることとできないことを定める必要があります。そうでなければ、自宅のパソコンから見ず知らずの第三者が操作してファイルをコピーしたり、勝手にエアコンの電源を入れて夏なのに暖房運転させられたり、困ったことになります。それだけではなく、知らないうちに自分のパソコンが乗っ取られて犯罪の加害者にされたら、あなたはどうしますか?
2012年にパソコン遠隔操作事件(報道における名称:遠隔操作ウイルス事件)が発生しました。インターネット上に爆破などの犯行予告が6月29日~9月10日までに13件書き込まれ、全国で4人の人物が逮捕・起訴されるという事態に発展しました。しかし、その後の調査によって犯行予告を行ったとされるパソコンにトロイプログラム(報道ではウイルスと呼称)が発見され、逮捕された男性のパソコンを踏み台とした(なりすましによる)第三者の犯行による疑いが出て、逮捕・起訴された人物は釈放されました。全くの誤認逮捕で、4名は著しく名誉を傷つけられてしまいました。その後、10月15日真犯人と思われる人物から、犯行声明とされるメールがラジオ局などに送られました。
なぜこのようなことが起きたのでしょうか?この事件での遠隔操作は二つに分けられます。一つは、Webサイトのセキュリティ対策不備を突いた攻撃で、そのページへのリンクを掲示板等に書き込み、クリックさせることで犯行予告文をターゲットのサイトに自動送信させました(図1参照)。
もう一つは、トロイプログラムによる遠隔操作です。トロイプログラムの「トロイ」とは、ギリシャ神話でトロイを滅亡に追い込んだ兵器「トロイの木馬」を語源にしています。兵器「トロイの木馬」では巨大な木馬にギリシャ兵士を隠して市内に進入し、深夜に木馬から出てきたギリシャ兵士によって、トロイは滅ぼされてしまいました。トロイプログラムでは、正体(悪意のあるプログラム)を気付かない利用者が実行することにより、保有するデータを盗み出したり、パソコンそのものに損害を与えたりします。今回のトロイプログラムでは、まずバックドアという正規手段以外の出入り口を作り、外部からの指示を受け付け実行するように作られていました。攻撃者はこのトロイプログラムにインターネットを通じてアクセスし必要な指示を送って実行し、文字通り遠隔操作していました。トロイプログラムは何ができるのでしょう?一言で言えば何でもです。具体的には、利用者の使用するデスクトップ画面の保存、ファイルの送受信、プログラムファイルの実行、利用者が入力する文字の取得、プログラム自身の更新、そして自身の削除などです。
被害者がこのトロイプログラムと知らずに入手し実行してバックドアを仕込まれてしまったのはなぜでしょうか?手順は共通していて、巨大匿名掲示板の「2ちゃんねる」がその舞台となりました。まず、ソフトウェア板という話題別の掲示板で、利用者は自分が探しているソフトウェアがないかと書き込みます。すると、「あなたの希望するソフトウェアを作ってみました」との応答が書き込まれました。この書き込みを見た利用者は指定されたURLからソフトウェアをダウンロードし、実行しました。そのソフトウェアには、トロイプログラムが仕込まれていて、本体の実行時にパソコンにインストールされてしまいました。そして、インストールされたトロイプログラムは、特定の掲示板を定期的にアクセスするように作られていました。攻撃者は掲示板に指令を書き込み、その指令を読み取ったトロイプログラムは、ある市と航空会社のWebサイトに犯行予告を書き込みました(図2参照)。
航空会社には航空機の爆破予告が書き込まれたため、対象となった航空機は空港に引き返すこととなって、航空会社と利用者に多大な迷惑と損害を与えることになりました。
トロイプログラムを自身のパソコンに仕込まれてしまった被害者はなぜ気付かなかったのでしょうか?被害者は掲示板というコミュニティを利用した経験から信頼していたからです。したがって、自分の求めるソフトウェアを提供してくれた攻撃者を疑うことができませんでした。これは誰にも起こりえます。もう一つは、入手したソフトウェアの偽装工作のために、実行後は本体のソフトウェアからトロイプログラムが切り離され判別できなくなってしまったからです。もちろん、未知のトロイプログラムなのでセキュリティ対策ソフトウェアも検知できませんでした。
この「パソコン遠隔操作事件」では、4名の誤認逮捕がありました。なぜ警察は誤って犯人でない人物を逮捕してしまったのでしょうか?この事件では犯行予告がWebサイトに書き込まれました。Webサイトではアクセスログという記録を持っています。このアクセスログには発信元のIPアドレスという固有の番号が記録されます。このIPアドレスはインターネットに接続されるパソコンに基本的に1台に1個割り当てられるので、この番号をたどることで発信元にたどり着ける可能性はあります。このような事例は過去にもあり、警察は発信元の特定に成功していますので、今回も例外なくその手法が通用すると考えていたようです。その上、経験のない「遠隔操作のトロイプログラム」を想定していなかったので、発信元となったパソコンの調査が不十分だったのです。これらの逮捕・起訴が誤認であることがわかったのは、発信元となったパソコンにトロイプログラムの痕跡が残っていたからです。前に述べたようにトロイプログラムでは自分自身を消去することもできます。ですから、犯人が痕跡を完全に消していたら、釈放された人たちが犯人とされていたかもしれませんし、無実の立証はさらに難しくなったに違いありません。
インターネットにつながったパソコンを私たちはどうしたら安全に使用することができるでしょうか?利用者それぞれがインターネットのセキュリティの知識を持つなどリテラシーを高めていくことが大事です。インターネットは現実社会と同じで、性善説は通用しないと理解することも、自分を守る上では大事な感覚です。自己管理のパソコンへセキュリティや通信記録のソフトウェアの導入はもちろんのこと、不確かな情報への盲信を止め、出所不明のソフトウェアの取得利用を回避する、「怪しい」に正しく対処していく能力を養うことが誰にも求められます。
解説者紹介
