ウイルスに犯された某ネットカフェ、その後の顛末記 その4
1、サイバーテロの目的
一連のウイルス騒ぎの感染過程を考えると、これが愉快犯ではなく、陰謀であることが推測できる。もちろん、ITマスメディアはこういったことを隠そうとしている。愉快犯であるとの印象を伝えるべく記事にしているのだ。
サイバーテロの目的を考えよう。単純にウイルスをばらまいているだけではない。最終的には個人名と、IP番号を中央コンピュータで編集しリストにできるようにするためである。どうやってか。PCがユーザーのIPを送出できればいいのだ。そのために、さまざまな方法が実施された。だから、何重にも出てくる個人名とIP番号のセットで、もうすでに総背番号化は完了しているだろう。マイクロソフト社のアップデート、PCメーカのサポート、ウイルス対策ソフトメーカーのサポートなどで、ほとんどのPCユーザーのIPリストはできあがっている。それ以外のPCユーザーのIPリストをつくるためには、未知のコードをPCに入れて、PCがユーザーのIPを送出できるようにすればいいのだ。未知のウイルスが、うようよいる状態を作ればよいのだ。
これがウイルス騒ぎの本質なのだろう。ウイルス駆除してクリーンなはずのPCからマルウエアが、IP番号をどこかに知らせるのである。インターネット統一管理機構の存在がなんとなく感じられる。このウイルス騒ぎは、実は個人のPCのIP番号の同定や、ネットカフェユーザーの同定を目的とした一連の動きにちがいない。これが第一段階である。
第2段階。つぎにIPが確定したPCに対してのリモートコントロールだ。不正進入は、つねにひっそりこっそりしのび足、と、まるでこそ泥のように行われる。あたりまえか。まだ、この段階では、気がつかれることはいっさいしない。
ここで行われるのは、主として利益のあるファイルの窃盗だ。個人情報やメールや写真、なんらかのデーターなど金銭的価値のあるものが密かにコピーされる。流出がPC機の操作者本人の責任になるようWinnyなどP2Pのダウンロ−ド・ソフトが作られ、アダルト動画などをえさに大流行させる。ITマスメディアは特集を組み、流れをつくる。Winnyウイルスを作り、流布させる。そうすると、さまざまなデーターが流出するが、しかしそれはWinnyを通じてではないだろう。不正アクセスで流出するのだ。こうして本人のIPと流出ファイルによって思想調査、プロファイリングが行われる。ついでに、お楽しみのばかさわぎだ。本人のエロ写真やエロ動画が出てくれば祭りになる。
第3段階では、日常的監視である。これが行われるのは特定の要注意人物だろう。アマゾンの書籍購入リストやホームページ、掲示板の主張などから抽出されたブラックリストにある人物だ。まるで警察の張り込みのようにチェックされるのだ。私も絶えず監視されているのはブラックリストにあるからかも。どのホームページを読みにいくか、メールはどこへ出しているか、どんな内容か、など、つぶさにしらみつぶし、のみつぶし、ごきぶりつぶしということで、私は、しらみ、のみ、ごきぶりの扱いを受けているわけだ。
第4段階では、あらゆる実力行使である。PC機のインターネット接続をカットしたり、ウイルスを放り込んだり、操作不能や終了不能にしたり、PC機を破壊したりすることもしているようだ。彼らは2ちゃんねるのインターネット暴力団なので、ボス猿が歯をむくように、示威行動をとる。CDトレイを開け閉めしたり、いきなりシャットダウンさせたりして、脅かすのだ。こうした長期間のいやがらせで、インターネットから遠のいた人もきっとたくさんいるのだろう。
しかし、ウイルスマンに愛され、ぼこられたネットカフェの被害も甚大である。例の某ネットカフェでは、今10台ほどがPC使用不能の札が貼ってあった。彼らウイルスマンに愛され、なぶり殺しにされたPCのご冥福を祈ります。でもこのネットカフェからウイルスを、知らず拾っていく人もいるんだよねえ。
監視ということでは、ネットカフェのIPはおおむね1つなので把握はしやすい。ネットカフェを見張れば10個くらいのIPで数千人の人を監視できるのだ。ウイルスやマルウエアの拡散も効率的に一気に行える。
誰かが、ネットカフェで感染したデーターを自宅にUSBメモリー経由で持ち込むと、「S.ISODAウイルス」が自宅のPCに入るのだ。ウイルス対策ソフトがこのAutorun.infウイルスの一種を検知するかしないかははっきりわからないが、そこを素通りして、職場へデーターを持ち込むと、さらにさらにねずみ算で数千台、数万台に拡散していくのだ。そしてそれは取り除けないのだ。深部にもぐりこんだら、ウイルス対策ソフトで検知しないのだ。OS再インストールでもダメなのだ。
2、感染の過程
さて、その侵入過程を考えてみよう。
隠しファイルを見えなくする「S.ISODAウイルス」の感染の過程は、細部は違っているかもしれないが、つぎのようにまとめられる。これらすべてはWindowsの隠しファイルの悪用、(ん、隠された隠しファイルの正しい利用法?)と、トリガーとなる小さなコードの細工なのである。
その方法は最初は、Thumbs.db のマルウエアからはじまる。これはAll Usersのリンクの中に隠れるので発見できない。また削除もできない。システムファイルなので、もちろんウイルス対策ソフトはまったく検知しない。
つぎにRECYCLERに実行ファイルが埋め込まれ、Autorun.infの起動でOSの中に埋め込まれるが、MBR Rootkit マスターブートレコーダールーツキット なので、ネットカフェの再起動では、ネットカフェのOSに潜り込む。ここでは、おそらく、ウイルス対策ソフトはAutorun.infウイルスの警告や駆除をするかもしれない。もし使っていればだが。
さらになんらかの方法で system volume information の中の奥の方に実行ファイルを仕込む。C:とは限らず、発見されにくい別パーテションのsystem volume information の中にも、もぐりこむ。そして、画像や動画ファイルをクリックすると、なにかがトリガーとなって、system volume information 内の実行ファイルが動き出し、OS内にバックドアを開くRATを挿入するのだ。それまでは、なんの動きも見せないが、このトリガーが活火山の引き金となり、あとは異常だらけになる。ここまで仕込まれると、実行ファイルは見つからないし、もちろんウイルス対策ソフトはまったく検知しない。
system volume information の中の偽装された悪実行ファイルは、復元の無効化でもOSの再インストールでも必ず生き残るのである!!
こうして不正アクセスは成功し、ウイルス対策ソフトはまったく検知しないので、システムの調子がおかしいなどと、あまりに脳天気に無反応だと、ウイルスマンは気になって気を利かせてくれ、既知のウイルスを大量挿入し、ウイルス対策ソフトのアラートが真っ赤に出るようにしてくれるのだ。
ネットカフェで大騒ぎするのを画面で見て、ほくそえみしつつ、ビールでも飲んで乾杯しているのだろう。よし、これでミッションは大成功だ、ここでも、またPC機の大量購入になったぞ、と。