遠隔ウィルスの調査に携わる人たちの質がひどすぎる件
プロの開発者が作成か=高価な専門ツール使用―証拠隠滅の痕跡も、PC遠隔操作 (時事通信) - Yahoo!ニュース
| 情報セキュリティー会社「ラック」(東京都千代田区)の西本逸郎専務理事によると、ウイルスは「VisualStudio2010」というソフト開発ツールを使って作成されていた。数万円から数十万円以上する専門的なソフトで、素人が購入することは考えにくい |
Visual Studio 2010 Ultimate 評価版 は90日間無料で使える
Visual Studio 2010 Trial Downloads | Microsoft Visual Studio
DreamSparkに登録した学生は Visual Studio 2010 Professional を無料で使える
Visual Studio 2010 Express はだれでも永続的に無料で使える。
そもそも、韓国では海賊版やクラックソフトが常備されていて、無料で使うのが当たり前
マイクロソフト、韓国軍に対し「ライセンス違反を行っている」として141億円を請求 | スラッシュドット・ジャパン YRO
私が、韓国に企業研修に行ってみてきた会社が本当に全部そうだった。
| 作成者はウイルス関連のファイルを外付けの記憶媒体に保存していた痕跡があることが判明 |
たぶんこれのことだよね。
Visual Studio で作ったプログラムには個人情報が?
なんか、このニュースでセキュリティ会社ラックのコンピュータリテラシーの低さが浮き彫りに。
というか、報道する前に周りの技術者もなんか言えよって感じ。
それとも、 製品版をクラックして使うのが当たり前だから、できるだけ安く購入したり使う方法調べることなんてなかったのかな・ω・?
ところで、 検出されたウィルスって Visual Studio C# 2005 で開発されたものだったはずだけど…?
PC乗っ取りウィルス IESYS.EXE。正しい情報は?
それだと、ウィルスXP以降じゃないと動かないじゃん…本当に大丈夫なのか。この会社
信濃毎日新聞[信毎web] PC遠隔操作 厳密な捜査で退けよう
なりすまし事件、想定外が油断に 警察、被害者に自白強要か (1/2) - ITmedia ニュース
| 「IPアドレスが判明すれば、捜査は半分終わったようなものだと思っていた。想定外の事態ですよ」――ある警察幹部はこう漏らす |
ダウンロード違法化でも、誰かになりすましでダウンロードされたらどうするのかとか問題になってただけでなく、15年以上前からある古典的手法なのに何をいまさらって感じですよね。
これじゃあ、日本のセキュリティ会社と警察じゃ10年かかっても逮捕できないよ|・ω・)
【新たな「冤罪」】PC遠隔操作の恐怖(下) 早期の「白旗」、先延ばし批判回避+(1/3ページ) - MSN産経ニュース
| ■遅れる法規制
「先進国の中でみても、日本はネット犯罪の法規制など対策が圧倒的に遅れている。『通信の自由』は保障されるべきだが、それを『錦の御旗』のように掲げて法規制を骨抜きにしようとする官僚が政府部内にいるのでは、話にならない」 |
今回のようなウィルスが作成されたのがネットワークの法規制ができてないからだって話にすりかえられてる件。
確かに、これには一理あって、被害などの絶対件数は経るかもしれない。
しかし、法をすり抜けるユーザーがいたときに、さらにひどい経験不足で、被害が拡大する可能性のほうが高い。
そもそも、ウィルス作成した時点で法の拘束が作成者にとって無意味になってしまっている。
本気で言ってるなら、仕事から足洗ったほうがいいよ・ω・
よろず屋 BEBOP: Jアラート作動せず。・・・技術うんぬんより人的問題。
| マンガ・パタリロで空港の人物識別システムが国際テロリストを即座に識別する場面がある。 但しそれにかかわる職員に問題があり、官邸に電文が着く頃には電文の内容が明後日の内容になるという伝言ゲームを展開している。 |
わたしも、パタリロのあれ思い出したよ。
こういうのも人的問題だよね。うん
#追記
Internet Watch も見てみるように指摘があったので見てみました。
“遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感? -INTERNET Watch
| 開発にはC#や.NET Frameworkが使われており |
っていうか、 .Net Framework の開発ツールのひとつが C# 何じゃなかったっけ・ω・ はて
| 今回のIEsys.exeの感染者は比較的少ないとしながらも、検出されない状況の中でマルウェアが目立った行動をせず静かに拡散すれば、PCの利用者は気付きにくく、知らない間に数万台規模に感染が拡大することもありうると指摘する |
今回の場合は配布による自分での実行が感染理由で、『ウィルス』とされているそのものに拡散するような機能はなく、大手セキュリティ会社の評価、感染力は「低」ですからね。
数万規模で拡散するソフトになると、コントロールするの大変ですよ
指令を定期的に受け取る仕組みもあったわけですから、異常も分かりやすくなりますしね
| 痕跡が残っていなければ無実の立証は困難 |
今回の場合は、書き込み時間や、PCから見つかった文書の作成時間をアリバイに使われて内装なんですよね。
不正に時間を変更していればイベントログにものこりますし。
自称セキュリティの専門化がついていながらも
本当に、IPだけで決め付けて冤罪につながったんでしょうね
| 西本氏も「専門家からすると、不審なものをダウンロードして実行するのはおかしい」とコメント |
だから、ソフトウェアの作成を依頼して、誰かが作ってくれる仕組みを悪用したのが今回の事件だったのに、おかしい(そんなことありえないから、)第三者による遠隔操作の疑いが晴れたとはいえないなんて、論調がまだ警察関係者に残ってるんだと思う。
上から目線じゃなくて、ユーザーがどういう傾向なのかとか把握してなきゃ、セキュリティ対策ってちゃんとできないんじゃないんですかね?
ところで、VisualStudioコンパイル時に生成されるRichヘッダには、開発者の情報が暗号化されて含まれているのではないかと言ううわさもありますが、どうなんですかね?
EXEヘッダ(MZ)とPEヘッダの間にある Richの謎
ちなみに、LACは ABC(富士通関連会社)とIBMが共同出資してできたA&Iシステムズの後継会社
#時事ニュースの記者が勝手に捏造した可能性もあるのでは?と言う指摘がありますが、報道関係者向けの緊急説明会は17日、一方時事ニュースの記事では18日に判明したとあるので、別の記事じゃないのかな?
# ・ω・ ちょっと今日は病院の検査でお休みの日だったのです記事1本になっています(結果はツイッターで知ってる人もいるので省略)
Translate
impressの記事を読めば糾弾されるべきは時事であってLACではないとすぐにわかりませんかね。
http://internet.watch.impress.co.jp/docs/news/20121018_566933.html
取材の日にちが違うので、別の記事だという認識です。|・ω・)
セキュリティ会社も会社なら K 察も制服が格好良いものに変更になった頃からほとんど改善されていませんね^ ^;。
黒翼猫さんのご指摘通り捜査手法は旧態依然のままだし、キズの残らない軽度の暴力(言動によるものを含む)による自白強要などはこっそりいや、デフォで横行中。
全面記録の行われていない(しかも弁護士も呼ばせない)時代錯誤の取り調べなど、法治国家では我が国が世界的代表という希有な存在なのが泣けてきます。
そんな私は 10 代のとき通信司令本部勤務に憧れたりして地元 K 察まで K 察官募集パンフをもらいに行ったりしては、K 察 24 時を毎回見ていた K 察ファンなのでした(ボカスカ)。
パンフを頂いた窓口ではパンフと一緒に願書まででてきてしまい「君、何年生まれ?」と訊かれ「○●年です!」(受験可能年齢未到達)、との返事に「うわ~、そっか~」残念がっていたおまわりさんの顔が一生忘れられません。
肝心なことを書き忘れです(ボカスカ)。
以前 Win2K@IPV6 が普通になった件がありましたが、同じ環境で WinXPSP3 や Win7、Android 端末からは以前の通り IPV6 接続が可能でした(フレッツ NGN 網内のみ契約)。
やはりプレビュー版プロトコルですから実装の古さが原因でしょうか。
少し試してみたのですが、
Linker Version が 8.0 だからと言って、VS2005(C#2005) とは限らないようです。
以下の3つのコンパイラにて後述の Hello.cs をコンパイルしてみたところ
Linker Version は、いずれも 8.0 となっていました。
(VC++ であれば、コンパイラバージョンと一致するようですが、C# だと、そうとも限らないようです。)
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe … C#2005
C:\WINDOWS\Microsoft.NET\Framework\v3.5\csc.exe … C#2008
C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe … C#2010
// Hello.cs
class Hello
{
static void Main()
{
System.Console.WriteLine(“Hello, C# World!”);
}
}
>Linker Version が 8.0 だからと言って、VS2005(C#2005) とは限らないようです。
例のウィルス Linkerバージョン以外に イメージバージョンが 4.0だったりするんで
そっちも確認してみてくださいな・ω・
VS2005は5.0未満にできないはずなので・・・
> 例のウィルス Linkerバージョン以外に イメージバージョンが 4.0だったりするんで
> そっちも確認してみてくださいな・ω・
「Windows 7 + 各 C# コンパイラ」の環境で試してみました。
以下は、Dependency Walker の結果より抜粋したものになります。
Module / Image Ver / Linker Ver / OS Ver / Subsystem Ver
hello_dotnet20.exe / 0.0 / 8.0 / 4.0 / 4.0 … C#2005(.NET 2.0)
hello_dotnet35.exe / 0.0 / 8.0 / 4.0 / 4.0 … C#2008(.NET 3.5)
hello_dotnet40.exe / 0.0 / 8.0 / 4.0 / 4.0 … C#2010(.NET 4.0)
何れも、同じ結果となるようです。
また、C# コンパイラのコマンドライン引数の説明にも既定値が 4.0 であることが記載されていました。
■ /subsystemversion (C# コンパイラ オプション)
http://msdn.microsoft.com/ja-jP/library/hh965708(v=vs.100).aspx
> 既定では、前のいずれかの条件が true である 4.00 です。
じゃあ、ほんとにVC#2010の可能性も高いですね。
こちらには、手元にウィルス無いんでVirusTotalのスキャン結果による情報しか確認できないのですが・ω・
> じゃあ、ほんとにVC#2010の可能性も高いですね。
.NET 2.0 か 4.0 の判別であれば、ildasm で MANIFEST 情報を見れば分かるので、
.NET Framework 4.0 を使用しているということであば、VC#2010 なのかなと思います。
以下は、ildasm で表示した MANIFEST 情報の抜粋です。
———————————————-
<C#2005(.NET 2.0)>
// Metadata version: v2.0.50727
.assembly extern mscorlib
{
.publickeytoken = (B7 7A 5C 56 19 34 E0 89 )
.ver 2:0:0:0
}
———————————————-
<C#2008(.NET 3.5)>
// Metadata version: v2.0.50727
.assembly extern mscorlib
{
.publickeytoken = (B7 7A 5C 56 19 34 E0 89 )
.ver 2:0:0:0
}
———————————————-
<C#2010(.NET 4.0)>
// Metadata version: v4.0.30319
.assembly extern mscorlib
{
.publickeytoken = (B7 7A 5C 56 19 34 E0 89 )
.ver 4:0:0:0
}
———————————————-
ただ、.NET Framework 2.0 を使っているのだとしたら、
VS2005,VS2008,VS2010 の何れでも開発可能ですし、
C# コンパイラも、同じコンパイラ
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe … C#2005コンパイラ
が使用されるので、どの開発環境で開発したのか判別は難しそうな気がします。
時事通信の記事に関するラック西本逸郎氏のコメント http://togetter.com/li/392732
時事通信社の報道がおかしいことがわかります。
情報セキュリティ業界では、ラックは著名な企業でその実力も広く知られています。
情報セキュリティに詳しい人は皆、おかしいのはラックの西本さんではなく時事通信社の記者であると気付きましたよ。
セキュリティ業界で有名な企業の人間だから、おかしいことを言うはずがないって前提が変かなって。
時事通信社がおかしいって言ってる人たちは、時事通信が「17日の記者会見の記事」を端折ってこうなったという前提ですが、時事通信社の記事には「18日の取材で」と書いています。
完全に、どちらかは断言することはできませんが、セキュリティの中心人物がおかしいことを言っていたという見方もあったわけです。(西本さんの発言には他にも突っ込み所があるわけですし…)
まぁ、これ見ると、後ろの「Visual Studio 2010で開発されたものだ」っていうことだけ西本さんがいって後のは時事.COMさんが勝手に付けたようにも聞こえますが、微妙な言い回しですね・ω・
「発信者不明のファイルを実行するなんておかしい」なんて考え方も出てくるわけですから、実際どうだったのかは断言できないです。
真相は時事の記者さんのみぞ知るという所ですね…。
「セキュリティ業界で有名な企業の人間だから、おかしいことを言うはずがない」のではなく、私も含めセキュリティ業界の人間はほとんど西本さんと知り合いなので、あんなおかしなことを言うはずがないとわかるのです。
先日紹介したtogetterのツイートの予告通り、西本さんが28日にこのような勉強会を開いています。参考にしてください。
http://internet.watch.impress.co.jp/docs/news/20121029_569333.html
> めセキュリティ業界の人間はほとんど西本さんと知り合いなので、あんなおかしなことを言うはずがないとわかるのです
なるほど、ただの役職で上にいる人ではなく、ちゃんとセキュリティ以外の情報にも
精通してる人のはずなので、いうわけがないという確信があるのですね。
ITMediaの記事で 西本さんが「専門家からの立場からは出所不明な実行ファイルを実行する
のはおかしい」と発言して、他のセキュリティ専門家から説明を受けてるシーンもあった
ような記事もあって、技術的に偏った知識を持っているイメージもあったのですが、
それなら あれも、メディアの偏向報道なのだろうかっていうのがちょっと気になるところです。