kensyou_jikenboのブログ

yahoo!ブログの同名ブログを移行しました

夏休みとバージョン番号

日記 #練習用
7月18日記者会見での発言。
佐藤「8月20日の直前、長めの休みをとって北海道に行っている。
確か9日間の休みを取っているので、検察官の言っている約2ヶ月はフルの2ヶ月ではない」

夏休みとウィルス(トロイ)作成の関係について考えてみる。
参考資料として、シマンテック社の興味深い解析結果がある。
---------------------------------------------------------------------------------------------
 "遠隔操作ウイルス" Rabasheeta ドロッパーの詳細
  バージョン番号 
  メインモジュールに 3 つの亜種があり、それぞれがバージョン番号を持っていることを報告しました。
  メインモジュールのバージョン番号と、ドロッパーも含めた作成日は以下の表のとおりです。
イメージ 1

  タイムゾーン日本標準時JST・・・協定世界時UTCより9時間進んでいる)で、作成者が使っているコンピュータの時間設定に依存しています。ただし、コンピュータの時刻は簡単に変更できることに注意してください。 
  この表を見るかぎり、作成者は 1 カ月の間に定期的にマルウェアを更新しています。これまでに確認されたバージョン番号からすると、ほかにも亜種が存在する可能性があります。 
  シマンテックが調べたドロッパーには、バージョン 2.35 のメインモジュールが格納されていました。作成日によれば、このドロッパーは格納されていたメインモジュールの 22 日後に作成されたことになります。
  この間、作成者がメインモジュールの更新を停止していた理由はわかりませんが、バージョンの異なるメインモジュールを含むドロッパーが、ほかにもあるのかもしれません。

---------------------------------------------------------------------------------------------

これを考察してみると、まずシマンテックの人も書いている「コンピュータの時刻は簡単に変更出来る」という点をどう考えるか。上記表の作成日付を見てみると、遠隔操作の犯行によく符合している。よってPCの時刻設定はカムフラージュのために変更されていると考える必要はないと推測する。(検察が職場PCで開発したと見ていることとも基本的に合致する)

次に、バージョンはファイル名(iesys.exe)には付いていないようなので、バージョン番号はどこに書かれていたかと云う問題がある。
ソースコードの方に書かれていたと今は考えるしか無いだろうと思うが、以下にシマンテックの参考記述があり、図2を見ると「version」はソースコードに書かれているような書き方(最後がセミコロン;)になっている。
ただ、ソースコードに書いた場合は逆コンパイルすれば出てくるかもしれないが、exeファイル名だけ見ての判別は出来なくなるため、犯人がどのような考え方でバージョン番号管理していたかは不明。
  "シマンテックブログ”
  図 2. これまでに確認された亜種のバージョン番号
イメージ 3イメージ 2

最後に本日の本題として、バージョン番号の変遷と犯行及び夏休みの関係を見るために、トロイによる各犯行日付(①~⑥)の間隔と夏休みの時系列を以下に示す。
これを見ると、上手く夏休みが間にはまり、上記の「メインモジュールの更新停止22日間」の話とも符合する可能性が出てくる。
逆に夏休み旅行中のコンパイル履歴や「したらば掲示板」アクセス(遠隔操作やってなくても開発のために「したらば掲示板」にアクセスしていることはあり得る)などのログが出てくれば、旅行中は派遣先PCを触れないからアリバイ成立する可能性がある。

 ①7月29日(日)大阪1
 ②8月1日(水)大阪2・・・①-②3日間(①と②の間隔、以下同様)
 ③8月9日(木)愛知・・・②-③8日間
 -------------------------------------
 8月11日(土)~19日(日) 9日間夏休み(20日直前迄で土日利用考えると多分この日程であろう)
 -------------------------------------
 ④8月27日(月)福岡・・・③-④18日間
 ⑤8月29日(水)横浜・・・④-⑤2日間
 ⑥9月10日(月)三重・・・⑤-⑥12日間

以上、夏休み期間も重要な検討課題になる可能性を示してみた。

なお、話は変わるが昨日記事で以下のコメントを頂いた。
>いわゆる躁うつ病躁状態であったとするとどうでしょう。

当方も、もし被疑者が犯人とした場合の心理状態はどのようなものであろうかとずっと考えて来た。そこにタイミングよくコメントを頂いたと思っている。
「躁(そう)うつ病」についても考えて調べてみてきているが、分類的に「精神病」の範疇に入るようである。それに対して今や大きな社会問題になっている「うつ病」は「精神障害」に当たるとのこと。
当方が今考えているのは後者の方である。流行に流されて考えているるわけではないが、「新型うつ」的症状の可能性で、「嫌なことをする場合は鬱になるが、やりたいことをする時は元気になる」という症状との符合である。
ただ、「精神病」と「精神障害」の分類の仕方も色々な考え方があるようだ。また症状的にも、本来仕事で鬱になっていることが考えられるのに、その仕事場で自分がやりたいこととはいえ自宅より格段に高い見つかるリスクを背負った上で、これだけの開発を行える心理状態というものが本当にあり得るか。もしあったとしても、非常に特異な状態と言わざるを得ないと思われ、被疑者が犯人の場合の心理状態は相当奥が深いものになりそうである。
もう少し物的証拠の痕跡類の検証を続けてから、来週深層に迫ることは当然難しいが心理状態の考察を書きたいと考えている。

以上