PC遠隔操作 真犯人のメール

進展がありましたね。「自称真犯人からのメール(本日午前11時37分に送付されてきた)

内容を読んでビックリしたので書いてみます。

以下、”真犯人”が本当にいると仮定して述べていきます。

技術的な内容

GUIDを利用した証拠偽造

AssemblyInfo.cs というのはVisual C#でプロジェクトを作成した際に自動的に作成されるファイルですが、中には(書き換えを前提とした)作成者の情報とプログラム(アセンブリ)を識別するためのGUIDが含まれます。

ここで、もっと簡単に片山さんに容疑を着せるのなら ”kyusuke” とでも書いておけばいいのですが、真犯人はわざわざGUIDを利用したそうです。ということは、真犯人はGUIDが技術的に「乱数に基づいていて、同じ識別子はほぼ生成されない」「VC#が自動的に生成する」「コンパイル後のプログラムにも情報が残る」ことなどを知っていて、応用したってことです。

apkについての言及

真犯人のメールにはこのような記述があります。

携帯マルウェアについては、片山氏がスーファミエミュのapkファイルなど入れて動かしていたので、一瞬のタイミングで紛れ込ませることに成功しました。

apkってなんなのかご存じの方って意外と少ないですよね。Androidのアプリの配布ファイルで、Windowsでいえば.msiみたいなものです。apkはつまりアプリのソフトウェア一式で、普通Google Play経由で端末にインストールされます。

ただし、開発用の特別な方法があります。PCに接続したAndroid端末に対して、adbというプログラム経由で命令すると、独自のapkを端末にインストールできます。これはAndroid開発者なら大抵知っていることですが、エンタープライズやWeb系の開発者には縁のない知識です。真犯人の「apkファイルなどを入れて動かしていた」というのはこの手順を指しているの思います。真犯人はAndroid開発についてある程度詳しいんですね(とはいえ、野良apkを入れるために、詳しくないけどAndroid SDKを入れている人もいるようですが)。

「一瞬のタイミング」というのは、いくら遠隔操作でも端末を物理的に接続させることはできないので、「片山さんがたまたまAndroid端末をPCに接続していて、遠隔操作してもバレないタイミング」ということでしょう。端末が開発者モードになっていれば、「一瞬」というのは大げさな気がしますが。

なんにせよ、真犯人はAndroidにある程度は詳しいということで、C#に加えてJavaについても理解があることが分かります。

プログラムの改造

iesysの開発については次のようにのべています。

egserviceは片山氏のIP【60.36.185.80】の会社のPCから盗んできたものです。

リネームの上、AssemblyInfo.csなどビルド情報をそのままにしたまま、全く違うプログラムに改造しました。

こういうのって、スクリプトキディの域を超えていると思いますが、どうなんですかね。

改造はすでに明らかになったようにコピペの集合のようですが、どんな方法でも所望の成果物を作れるなら、完全にいっぱしの開発者ですよ。

それにすでに私が指摘したように、iesysのC#プログラムはどことなくJavaの香りがします。真犯人はAndroid, Javaに詳しくて、コードはコピペ、クラスレベルの設計は自分の好みに合わせて修正したのだと思います。

計画の周到さ

メールには真犯人の計画的行動についても記載があります。

他に確認したのは、鹿島神宮、鹿島ハイツ、伊勢神宮、道の駅富士川楽座駿河健康ランド会津若松駅会津桧原駅、高崎駅行田市などです。

すごいと思います。

なぜって、こうして調べた内容を現在でもメールに起こせるということは、真犯人は下準備の段階でも綿密に記録を残しながら行動していたってことです。

最近某研究者が碌な研究ノートを残していなかったと話題になっていますが、言うは易し、普通は個人的な作業の記録を残したりできません。しかしこの犯人の”ノート”にはかなりの情報量がありそうです。そういう、地道で几帳面な性格なんだなと思います。

几帳面な性格

几帳面な性格でいえば、これもその証拠です。

単語の記述

真犯人のメールには、下記の英字の単語が出現します。

1000, iesys, B-CAS, Jane, USB, OS, OCN, PC, IP, toshiba, PC数台, IE, .exe, .bat, apk

AKB, docomo, 2012.txt, AMD, blog, 2ch

egservice, VC#, AssemblyInfo.cs, cofee, WindowsFormApplication, GUID

3.4×10の38乗, "TKY_DEV_PC07", "TKY_DEV_PC07_2", "Hewlett Packard", auto, 6682

DNA, onigoroshijuzo2

NHK

すべて半角、PC以外は大文字小文字ばっちり、ハイフンや×記号も正しく使用されています。GUIDC#クラス的にはGuidなんですが、用語としてはGUIDなので、この場合は全部大文字で正解。メールの文面は何度も推敲された上で送信されたに違いありませんが、そうだとしてもこの程度まで整えられる能力はなかなかすごいと思います。

括弧の対応

また、メール本文には括弧を用いた部分があります。

(OCN)

(多分ネットカフェかな?)

(ほかにもAKB脅迫について、踏み台PCを三重の人と書いたのは勘違いでした^^)

(片山氏が福島県出身なので)

(まだ公開されてない…はず)

(長いので以下略)

関心するのは、括弧内が英字だけで構成される場合 (OCN) は半角括弧”()”、日本語文の場合は全角括弧”()”と使い分けをしている点です。

もしかしたら、真犯人はかな入力なのかも??? 私もかな入力ですが、かな入力は英字は英字モードで打ちますから、このような使い分けが自然にできます。ローマ字入力だと全部半角とかって人多いですよね。

不思議な点

以上のように純粋に書き物としては感心するような内容なんですが、不思議な点もあります。

ネットカフェPCへの感染

PCを制御下に置いたことについて、

ほか、一時的に使ったPC数台(多分ネットカフェかな?)を、管理下に置きました。

とありますが、いくらなんでも自宅からネカフェにウイルス感染済みプログラムを持参して使いますかね??

普通にネカフェを利用すればPCはクリーンな状態で起動しているはずだし、ウイルスに感染する可能性はかなり低いと思いますが、、、。ネットカフェPCを制御下におけた経緯の説明はちょっと疑問です。でもネカフェからアクセスがあったということだから、制御できたんだろうし、、、

スクリプトキディ」について

真犯人は

もともと、私は海外サイトで拾ったウイルスジェネレータで作ったものを使うだけのスクリプトキディでした。

といっていますが、私はこれは謙遜か、正体を誤魔化すための方便だと思います。やってのけた事実を考えれば、「配布されているものを使用しただけ」というレベルではないことは明らかです。もしかしたらプログラミング能力については平均的なのかもしれませんが、行動力に相応しくない慎重さ・思考力などは平均的な人のそれを大きく上回ることは間違いないのでは。

あ、「もともと」なので、今はそれを超える能力を持っているというふうにも読み取れますね。

GUIDの数

GUIDの説明について、

3.4×10の38乗通りのパターンを持つ.NetのGUID(128bit)が一致したならさすがに宇宙規模の奇跡ですよね。

という箇所もあり、これは普通は 2 の 128 乗と書くと思うのですが、なんで基数が10なんだ?と思って調べました。基数変換はlogで計算できますけど、わざわざやらないと思うので。

そしたらこれはGUID値を生成するには?からの情報ですね。

その数値の範囲が2の128乗、つまり「およそ3.4×(10の38乗)」(=340億の100兆倍の100兆倍)もあるので、現実的に同じIDが生成される可能性はきわめて低い。

でもなあ、なんでわざわざここからのコピペなのかなあ。Google ですぐヒットする Wikipedia でいいと思うし(ここには有効な空間としては2^122とある)。2進数は一般人には馴染みが薄いから、親切に10進数で表現?

わざわざ手間を掛けて@ITあたりから引っ張ってきたんじゃないかと疑っちゃいます。

まとめ

  • 今回のメールは本当に真犯人からのものだと思う
  • かなり几帳面だが、実利があると判断すれば手を抜けるタイプ。
  • 当事者なのに月単位でダンマリできるくらいの忍耐強さがある。
  • 長期間に及ぶ計画を人知れず遂行できる行動力と慎重さがある。

こんなレベルだと、本人がミスしない限り捕まえられないんじゃないかなあ。