パソコン遠隔操作事件について

掲題の件に関して私なりの意見を述べさせてもらいたい。

要旨

あの程度のコンピュータウイルスは、それなりにプログラムの知識がある人間だったら作れてしまう。警察が犯人特定のために何ら有効な手段を打つことができず、結局は防犯カメラの映像から割り出して容疑者を逮捕するほか無かったという情けない事態そのものが大きな問題である。今後、警察はサイバー犯罪を専門とする部門を創設して人材の確保に早急に取り組むべきである。

犯人の技術レベルについて

「犯人はプログラムに対する高度な知識を有している」などと言われているが、はっきり言ってあの程度のコンピュータウイルスならば、そこらへんのプログラマならば大体作れてしまう。遠隔操作だけでなく、

  • クレジットカード番号を抜き出す
  • Webカメラで室内を盗撮する
  • ブログやSNSのパスワードを抜き取る
  • 保存されているWordファイルやデジカメの画像を盗み見る

くらいは、私の思いつく限り簡単に作れるだろう。

情報の送信元を隠蔽するために使った「Tor」も大して特殊なプログラムでもない。インストールすればバカでも使える。私自身、何度か使ったことがあるくらいだ。

IPアドレスと誤認逮捕について

「IPアドレスを特定してプロバイダに問い合わせ、犯人を逮捕する」というのは警察が手慣れた捜査方法だ。それ自体に特に問題があるわけではないが、IPアドレスが特定できればそれがもう犯人逮捕と動議であるかのごとく扱い、無実の一般庶民を逮捕して執拗な取り調べの末に「自供」させるなどという、とんでもないやり方が非常に問題である。なぜか。発信元のIPアドレスを隠蔽することなどたやすく出来てしまうからである。

そもそも、IPアドレスとは何かを簡単に説明したい。

IPアドレスとは、簡単に言うとパソコンに割り振られた「住所」のような物であるとよく説明される。具体的に見た方が分かりやすいだろう。確認くんというサイトにアクセスすると、ドットで区切られた4つの数字が出てくるが、これがあなたのIPアドレスである。つまりあなたのネット上の住所である。

たとえばあなたはこの文書を読んでいるわけだが、それはあなたの端末(スマホ、PC)が私のこのブログを格納しているサーバーに対して「このIPアドレスにブログのデータを送って頂戴」と要求してデータを受け取る、という仕組みになっている。従って、あなたが何かするたびあなたの住所は他のコンピュータに公開される。

このIPアドレスはいとも簡単に偽装可能である。たとえば、「Tor」というソフトがどのような仕組みになっているかというと、複数のコンピュータが伝言ゲームのように命令を転送するようになっている。たとえば「犯罪予告を掲示板に投稿してね」という要求をこれに送ったとすると、それらのコンピュータは伝言ゲームのように次々に命令を転送した後に、目的のコンピュータにたどり着くようになっている。これらの接続関係は動的に変わるので、本当の発信者を見つけるのが難しい。

これは最近になって開発された高度な技術ではなく、10年以上前から類似のものはあった。「多段串」と言えば、分かる人はわかるだろう。それから10年も経ってるのに、未だに日本の警察は「IPアドレスが分かればもうおしまい」というレベルである。情けないことこの上無い。一時期、2chでの犯行予告を行った学生やニートが相次いで逮捕される、という事件が起こったが、その一連の流れで「IPアドレスを割り出せれば逮捕」という悪しき慣習が出来てしまっているのではないかと思う。

どのようにしてサイバー犯罪に対処すべきか

先に述べた以外にもIPアドレスから発信者を隠蔽する方法はいくつかあって、たとえば暗号化されていない無線LANを見つけ出し、そこからインターネットに接続するとか、セキュリティの甘い無線LANネットワークを見つけ出してセキュリティを突破してアクセスするとか、いくらでも考えつく。これらは誰でも簡単に思いつく方法である割に、犯人を特定するのがそれなりに難しい方法だ。結局、IPアドレスも「住所である」という説明はされるが、本当の住所と違って役所が戸籍管理しているわけでも無いし、そういう曖昧な根拠に基づいて捜査を進めるのはかなり限界がある。

じゃあIPアドレスを隠蔽できないようにすればいいじゃん、と思うかも知れないがこれは現実的ではない。技術的に可能だったとしても、コスト的に不可能である。IPアドレスという仕組みはインターネットの根幹に位置する重要な技術で、いわば家で言ったら基礎みたいなものだからだ。基礎を取り替えるのなら、一度家を取り壊す必要がある。つまり、通信事業者が持っている設備を全てリプレースし、消費者個人が持っているパソコンのインタフェースカード全てを取り替えなければならない。これがいかに非現実的であるかどうかは想像に難くないだろう。

ちなみに、RFCのエイプリルフール・ジョークでEvil bitをパケットヘッダに付与して攻撃者がそれをONにすることで、悪意の持ったパケットとそうでないパケットを区別できるようにしよう、というネタがあった。(If the bit is set to 1, the packet has evil intent.と書いてある)

現実では攻撃者が「私は今から攻撃しますよ」とわざわざ教えてくれるということはあり得ないので、あと、残るは泥臭い方法しかない。つまり、警察かどこかの組織にサイバー犯罪を専門に扱う部署を立ち上げて、継続的にお金を投入し、優秀な人材を集める。コストも時間もかからない簡単な解決方法など無い。

また、どのようにして人材を確保するかも難しい。サイバー犯罪に対処出来る程度の技術的なスキルを持った人が、警察学校に入って拳銃の撃ち方を勉強したがるだろうか?サイバー犯罪に対処出来る程度に優秀な人材ならば、そんな事をしなくても一流のセキュリティアナリストとして高給をもらえるだろう。一番単純なのは、警察に移っても良いと思わせるだけの報酬を用意することだが、それで国民の理解が得られるとは思えないし、保守的な組織でどこまでそれが許されるか・・・。

しかしだからといって足踏みは許されない。国内犯罪のみならず、海外のクラッカーが国家機関の機密文書を狙う時代なのだから。