kensyou_jikenboのブログ

yahoo!ブログの同名ブログを移行しました

アクセスログによる犯行立証に関して

日記 #練習用
今回の事件では、最終犯行結果は例えば2chへの犯行予告書込となる。
それを遠隔操作で実行したのが犯人。
つまり、入口が被疑者の派遣先PC、最終出口が2chや他のHPなど(被疑者が犯人の場合)。

犯行時のアクセスのデータの流れの概要を記すと以下になる(最終出口は2chで代表)

①派遣先PC
③派遣先ルータ
④派遣先契約ISP(インターネットサービスプロバイダ)
⑤インターネット(Tor経由)
⑥したらば掲示
⑦インターネット(通常)
⑧被害者ISP
⑨被害者宅内装置(ブリッジやルータなど)
⑩被害者PC
⑪被害者宅内装置(⑨と同じ)
⑫被害者ISP(⑧と同じ)
⑬インターネット(通常)
2ch掲示

(上記は①↔②↔③ ・・・・ ⑫↔⑬↔⑭のように直列にデータが流れる)

長い経路になるが、赤字(②、④、⑥、⑧、⑫、⑭)がアクセスログが残る可能性があるポイント。
ルーターや宅内装置にも残る可能性はあるが、あまり期待できない)
この経路において、できるだけ分かりやすくするために、ログが残る可能性があるポイントの中でも、
特に以下の3つ(+派遣先PCと被害者PC)を抜き出して考える。
(①↔②↔⑥↔⑩間で命令・応答等のやり取り、⑩→⑭は犯行予告最終書込)

①派遣先PC
↓↑
↓↑
Tor経由・・・宛先アドレス変換、データ(命令・応答等)及び発信元アドレスはそのまま
↓↑
⑥したらば掲示
↓↑
⑩被害者PC
2ch掲示

端的に云うと、上記の太字部分(②⑥⑭)のログ照合を行うと、犯行の有無は掴める.。
(犯行があった場合は、②⑥⑭に連動性を持ったログが残る)

2ch掲示板への書込は、過去ログに日付時刻が正確に残っている。
したらば掲示板も詳細な残し方は分からないが、何からの記録は残っているであろう。
(もし、したらば掲示板のアクセスログが残っていない場合は、被害者ISPのログも使用可能)

そして、ファイヤウォールのアクセスログに関しては以下の様な考え方になる。
(なお、ファイヤウォールの存在については今回確定情報はないが、派遣プログラマを受け入れてソフト
 開発まで行なっている会社で、今時ファイヤウォールを導入してないことは有り得ないと考えている)

アクセス状況を考える際に分かり易い例として、三重の事件ではリアルタイムの遠隔操作が行われている。
これは、トロイをロードしてから約30分後に最初の2ch書込みが始まり、
1時間強の間に伊勢神宮など3箇所に計13回もの2ch書込みが行われている(wiki参照)。
この間三重の男性はCPU稼働率をチェックしていて、異常に高いことに気がついており、
トロイが動作していたものと考えられるので、リアルタイム操作と見て良い。

ただし、リアルタイムといってもTorの遅延やトロイのしたらばアクセス間隔などで、
若干のズレは発生するが、書込み間隔が短く(2~3分間隔もあり)、ズレも大きくなりようがない。

この状態で2ch掲示板及びしたらば掲示板のアクセス時刻と、派遣先ファイアウォール
アクセス時刻とを照合すれば、ファイアウォールのログに掲示板アクセス時刻に連動した
アクセスパターンが表れることになる。
これが、ファイアウォールのログの重要な点である。
(なお、今回のトロイは 命令応答を繰り返すことが方式なので、1回の2c掲示板書込に
 複数回のしたらば掲示板書込が発生するのは確実で、ファイアウォールのログに残るアクセス回数も
 犯行予告書込件数の数倍かそれ以上になると想定される・・・当局はトロイのソースコード
  持っているので必要書込回数は分かる)

この時派遣先PCからのアクセス先アドレス(実際はしたらば掲示板)はTorで隠蔽されるが、
通常のインターネットアクセスと同じ回数はアクセスしないと遠隔操作は原理的に出来ない。
それで、被疑者が普段は通常のインターネット回線でアクセスしていたとすると、
もし遠隔操作の犯行をおこなっていなければ、多くのTorアクセスがファイヤウォールの
記録に残るはずがない。

もし犯行を行なっていたとすると、前述のように特有のアクセスパターンが現れる。
このアクセスパターンについては、トロイのソフトを当局は入手済みのため、三重の書込の
回数と時刻に大体合致するような再現実験も容易にできるので、それから得られた
アクセスパターンと照合する事もできて、確度を高められる。

もし、被疑者が日常的にTorアクセスを使用していたとしても、派遣先における主業務と思われる
プログラムを書いている時はインターネットアクセスはほとんど発生しない。
インターネットを使ったオークションソフトを開発していたという話もあるので、
ソフトのテストの際は多くのアクセスが発生する可能性がある。
しかし、業務でのテストのアクセスをTorで行うことは、実際の顧客の使用環境と異なってしまって
テストにならないため、Torを使用することは有り得ず、Torアクセスとはログの情報で区別がつく。
(25日の当ブログ記事「Torの通信履歴(アクセスログ)取得実験」参照)
隠れて趣味などのサイトを見ていたり、仕事で使う情報の検索などをTorで行なっていた場合は、
犯行時のアクセスパターンと同じになる可能性はゼロではないかも知れないが、
掲示板書込回数が多いので時刻も含めると実際に合致する可能性は極めて小さくなる。

更に、三重の件だけでなく、他の10数件も掲示板書込の日付時刻は正確に残っているので、
ファイヤウォールのログが残っていれば全て照合することが出来る。
趣味や仕事に使うサイトなどの閲覧との見分けがつきにくい場合が仮にあったとしても、
犯行件数が多いので多数を照合していけば必ず精度高く判定できるようになる。

また、念の為に三重の事件以外の遠隔操作がリアルタイムアクセスかどうか定かでない場合も考えてみる。
まず、犯行時間帯に遠隔操作に相当するアクセスパターンが見つけられなければ、派遣先PCでは
少なくともリアルタイムの遠隔操作は行われていないことになる。
リアルタイムの場合は、これでまず被疑者のアリバイが成立してしまう(遠隔操作が行われていない
PCの前にいた)。
もしリアルタイムでなくて、どこか他所にあるPCに(被疑者がソフトを作成するなどして)自動でやらせた
というような方向に話を持って行ったとしても、その場所や具体的方法などの立証責任は検察にある。
今までそのような情報がリークを含めても全く出て来ていないこともあり、実際立証できるのかと
云うことになると、相当無理があるであろう。

このように、派遣先ファイアウォールアクセスログが残ってさえいれば、
Torで接続先が分からなくても、アクセスパターンで白黒は容易に付けられる。
要はファイヤウォールのログが残っているかどうかだけの単純な話。
これを検察がログ残存の有無さえ明らかにしないので、曖昧な状態が長引いている。
文章も長くなってしまったがw、これが当方の本事件の見立てのポイントとなる。
(つまり白か黒かというより、白黒を容易に付ける方法があることを示すことが当方のポイント)

本事件の立証における核心になる部分と考えているので、もしこのような内容でも見ておられる方がいて、
ご質問等がある場合はコメントいただければ分かる範囲で回答してみます。
なお、自動遠隔操作ソフトの可能性などは本日の別記事の最後に記したように後日見解を書く予定。