未成年が作成したというランサムウェアの詳細をトレンドマイクロが分析 52
ストーリー by hylom
稚拙で不備はあるとはいえ機能は揃っている模様 部門より
稚拙で不備はあるとはいえ機能は揃っている模様 部門より
大阪府の中学3年生男子生徒がランサムウェアを作成したとして不正指令電磁的記録作成・同保管容疑で神奈川県警に逮捕される事件があったが(読売新聞)、この生徒が作成したと見られるランサムウェアをトレンドマイクロが分析している。
これによると、このランサムウェアはWindowsのバッチファイル機能を利用して実装されており、すべてのファイルに対してオープンソースの暗号化ツールAES Cryptを使って暗号化を行うものになっているという。
ただし、暗号化の対象は特定のフォルダのみで、すべてのファイルを暗号化するようにはなっていないとのこと。また、暗号化の鍵として使用するランダムな文字列はStackOverflow上に掲載されていたサンプルコードと同一だったという。
【冤罪】不正指令電磁的記録作成・同保管の構成要件を満たしていない (スコア:5, 興味深い)
少年は「不正指令電磁的記録作成・同保管容疑」で逮捕されたとのことですが、この少年が作ったプログラム ransomware.zip は、そもそもzipアーカイブに含まれる「最重要機密」フォルダ(このフォルダ自体がzipアーカイブにサブディレクトリとして含まれており、「最重要機密」というフォルダが既存だったとしても影響しません)の中身しか暗号化しない上、復号手段が用意されており、ランサムウェアとして機能しないことから、単なる暗号化ツールであり、そもそも不正指令電磁的記録に該当しないと解釈すべきだと個人的には思います。
しかし、法制審議会刑事法(ハイテク犯罪関係)部会第1回会議 議事録 [takagi-hiromitsu.jp] によると、「●ほんの少し手を加えただけで不正な指令として完成するような実体であるものは,ここでいう完成している電磁的記録,完成しているウイルス・プログラムとしてとらえるべきだと考えております。」とのことなので、当該プログラムが「不正指令電磁的記録」として解釈される可能性があります。
しかし、当該プログラムが「不正指令電磁的記録」だとしても、今回のケースでは、犯罪構成要件の「人の電子計算機における実行の用に供する目的で」を満たしていないので、冤罪です。
ちなみに、少年を逮捕したのは、遠隔操作事件で「冤罪」の前科がある、神奈川県警サイバー犯罪対策課です。
立案担当者の解釈 (法務省Webサイトより) [moj.go.jp] によると、
とあり、不正指令電磁的記録作成は、不正指令電磁的記録であることを認識していない第三者の電子計算機における実行の用に供する目的でなければ犯罪の構成要件に該当しないのです。保管罪についても同様です。
少年の Twitter では プログラムの動作を動画で明示 [twitter.com] して、説明書 (ドキュメント) で動作を説明 [twitter.com] した上で配布しています。アーカイブファイル名も "ransomware.zip" であり、使用者が不正指令電磁的記録であることを認識できるようにしています。
これらの説明から、プログラムの実行者は、その動作を十分に認識できることから、犯罪構成要件を満たさないことは明らかです。
補足 (スコア:5, 興味深い)
立案担当者の解釈 (法務省Webサイトより) [moj.go.jp] に、もっと分かりやすい説明があったので引用します。
少年は、プログラムの動作を動画・文章の両方で説明しており、ファイル名にも「ransomware」を含めていることから、「事情を知らない使用者にそのファイルをダウンロード」させているわけではなく、「実行する意思のない使用者のコンピュータ上でいつでも実行できる状態に置く行為」にも該当しません。
Re:補足 (スコア:1)
いやいや、そもそも罪名は供用のほうではなく作成と保管ですよ。
Re: (スコア:0)
いやいや、そもそも罪名は供用のほうではなく作成と保管ですよ。
「正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成」するのが犯罪
作成罪の方にも「人の電子計算機における実行の用に供する目的」という要件が入ってて、「人の電子計算機における実行の用に供する」の解釈が論じられてる
Re:補足 (スコア:1)
そうですね。「人の電子計算機における実行の用に供する目的」があればよく、実際に「人の電子計算機における実行の用に供する」必要はありません。
Re: (スコア:0)
どっかの図書館のbot問題では高木浩光と技術者が大騒ぎしたのに
今回はあんま騒がれてないように見えるのが残念
Re: (スコア:0)
「 ランサムウェア作ったったwwwwwwww [twitter.com]」って言ってるんだから、
「人の電子計算機における実行の用に供する目的で」を満たすんじゃないの?このままではランサムウェアとして
動かないとしても、このパッケージを手に入れた人が手を加えて「人の電子計算機における実行の用に供する目的で」使うことを
想定して作っている。実行との間に第3者をワンクッションとして置いたからと言って、言い逃れはできないように思える。
しかし、この子、海外のウェブサイトやオープンソースのツールの英文ドキュメントを読みこなして情報をあつめ、
Re: (スコア:0)
その第三者が存在してないのに、幇助罪では立件できないでしょ?
Re: (スコア:0)
幇助罪の容疑で逮捕されたんじゃないからな。
Re: (スコア:0)
対象のプログラムは、客体としての第1項第1号「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」に該当しない。
なぜならドキュメンテーションに「ランサムウエアとして動作しますよ」と記載されているから。
それを実行した結果ランサムウェアの動作を行うのは「意図に沿うべき動作」であって、構成要件に該当しない。
条文に「ランサムウェア」とか「有害なソフトウェア」といった趣旨の文言が一切ないことに注意。
人の「意図に沿うべき動作」かどうかのみが問題になる。
>実行との間に第3者をワンクッションとして置いたからと言って、言い逃れはできないように思える。
その第三者は少なくとも、プログラムの一部であるドキュメンテーションを改変し、「ランサムウェアである」という記述を隠す必要がある。
その改変行為が第1項にいう「作成」であって、その目的が「人の電子計算機における実行の用に供する目的で」であるとき、
初めて構成要件に該当する。
Re:補足 (スコア:1)
少し改変すればランサムウェアになるならその時点で「作成」ですし、少し改変すれば実行のように供され得ることを予見していたのであれば「人の電子計算機における実行の用に供する目的で」にも該当するのでは。
Re: (スコア:0)
本来そういうのはほう助罪で罰するべきことだから拡大解釈すべきじゃない
Re: (スコア:0)
> 本来そういうのはほう助罪で罰するべきことだから
なぜ?
「不正指令電磁的記録作成等罪」というのは、実際にソフトウェアが動作してそれによる被害者が出ていないような場合でも、
作成や保持だけでも罪に問うという趣旨の法だ。
実際に被害者が発生するまで待つのは、それこそ、その法の趣旨に反するというものだろう。
Re: (スコア:0)
配布されたプログラムは、実際にはランサムウェアとして動作しない。
それなのにドキュメントに「ランサムウエアとして動作しますよ」と記載されているなら、それはまさに
「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、
又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」に該当するのではないか?
Re: (スコア:0)
「ランサムウエアとして動作しますよ」と記載されているなら
この中学生は「ランサムウェア配布」といってるのにランサムウェアじゃないなら「その意図に沿うべき動作をさせない電磁的記録」に該当する
けど、
> 暗号化されるのはこの中の「最重要機密」フォルダだけでそれ以外の暗号化は行いません。
> また警告を表示するhtaファイルもレジストリ等に残しません
> (ただソースコードを改変しほかのフォルダも暗号化したり警告をスタートアップにしたりできます)
という注意書きで動作を説明していて、それを理解した「人」とやらが意図する動作は「最重要機密」フォルダの暗号化で
その動作はするわ
Re: (スコア:0)
という注意書きで動作を説明していて、それを理解した「人」とやらが意図する動作は
「最重要機密」フォルダの暗号化でその動作はするわけだから、「その意図に沿うべき動作をさせない電磁的記録」
ではなく「その意図に沿うべき動作をきちんとする電磁的記録」なので問題なし
そこは説明の中で「ランサムウェアだ」としている部分と「ランサムウェアとしては働かない」
としている部分がある、単に説明が矛盾しているという話だ。
字句通りに解釈しようとすると論旨が通らず、ユーザーはそれが何をするのか理解できない。
やはり「その意図に沿うべき動作をさせない電磁的記録」ということになるだろう。
平均的なスラド民より賢い (スコア:0)
この中3の書いた説明文章読んでみると、論理的で平均的なスラド民より賢そう
まだダウンロードできるからソースコードも読んでみたけど、スクリプトキディーと違ってシンプルで美しいコードを書いてる
理系の大卒のプログラマーよりは下だけど専門卒のプログラマーの糞みたいにごちゃごちゃしたコードよりはまし
暗号化機能を車輪の際発明で脆弱なシーザー暗号みたいな独自実装をしないでopensslを使ってるのも良い
Re:【冤罪】不正指令電磁的記録作成・同保管の構成要件を満たしていない (スコア:2)
通称ウイルス罪の一連の罪の中には、提供罪もあります。
提供罪とは、マルウェアを、マルウェアとして使おうとする者に提供する行為が罰せられます。
この時にマルウェアの提供を受ける相手は、それがマルウェアであることを当然に認識していますが、提供される客体が不正指令電磁的記録であることは否定されません。
そして不正指令電磁的記録である以上、その作成と保管は、作成罪と保管罪に当たることになります。
提供罪の存在を踏まえれば、「人の電子計算機における実行の用に供する目的」や「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」における「人」(マルウェアだとは知らない人)とは、作成者から直接供用を受けた人だけでなく、マルウェアだと知る第三者を経て、当該第三者から供用される「人」も含んでいると解釈すべきでしょう。
実際に提供罪で処罰するには、提供を受けた相手の存在の立証も必要になるでしょうが、提供罪を適用しなかったとしても、そのことが「不正指令電磁的記録」の該当性に影響する要素は見当たりません。
作成者の作成罪の故意としては、マルウェアだと知る誰かが入手して、マルウェアとして供用しうることを、認識・認容していれば足りると。
この点で、被疑者側の無罪主張としては、
「簡易なプログラムによる実演と些細なジョークであり、配布目的は検証のためであって、実際にこのプログラムを元にしたものをランサムウェアとして供用する者がいるとは思っていなかった」
などとして、第三者を経由した供用の目的や故意を否定することが考えられます。
ツイートを見ると、犯意を肯定してそうな表現、否定してそうな表現の両方があるように感じられ、無罪もありえなくはないように思います。
とはいえ、年齢や実害がないことを考えれば、起訴猶予で司法判断がないまま終わりな気もします。
Re:【冤罪】不正指令電磁的記録作成・同保管の構成要件を満たしていない (スコア:2)
少年事件に起訴猶予は無いんだった。
Re:【冤罪】不正指令電磁的記録作成・同保管の構成要件を満たしていない (スコア:1)
今回のプログラムがどういうものなのかよく知らないのですが、プログラムを実行しようとすると必ずその説明書が表示されるのですか?
Re: (スコア:0)
ダウンロードリンクがあるとこに説明書きとして書かれているだけでプログラム実行時には表示されない
けど、これが駄目だとなるとダウンロードページに利用規約や説明を書いて
「同意してダウンロード」みたいなリンククリックでダウンロードさせる形式のソフトが全部アウトになる
Re:【冤罪】不正指令電磁的記録作成・同保管の構成要件を満たしていない (スコア:1)
ということは第三者をしてその意図に反してその使用するコンピューター内のファイルを暗号化させてしまうような使い方が(少し改変すれば)できるということですね。そういう使い方は、「人の電子計算機における実行の用に供する」と言わざるを得ないでしょう。
Re: (スコア:0)
ランサムウェア.bat (スコア:0)
aescrypt -e -p apples c:\windows
Re:ランサムウェア.bat (スコア:1)
ランサムウェアを作るだけなら、技術的には簡単。
実用性ではこんなんでも十分。
別に元に戻せる必要はないからな。
for /r C:\ %i in (*.doc) do copy ~
start http://example/ [example]
不正指令電磁的記録に関する罪 (スコア:1)
おまわりさんこっちです
Re: (スコア:0)
ウィルスって、exeやinfなんかに上手く紛れて、持ち主に分からないように、
上手く拡散しているものを指すと思ってたけど、違うんだね。
Re: (スコア:0)
ランサムウェアはコンピュータウィルスではないからな。
Re: (スコア:0)
やっぱりappleは悪い文明!粉砕する!!
文字通りのScript Kiddie (スコア:0)
まさにScript Kiddie
つまりどういうことです? (スコア:0)
すべてって一体どういう意味なんだ……?
Re: (スコア:0)
前者は、暗号化の対象の”特定のフォルダ”に含まれるファイルのすべて
後者は、暗号化の対象とならないフォルダのファイルも含めてすべて
難しいかな?
Re: (スコア:0)
./* だけど /* ではない
Re: (スコア:0)
リンク先にソースが出ているけど、
「最重要機密」というフォルダの中を暗号化するbatファイルみたいだね。
実験とか、研究とかのつもりで作ってみたんだろけど、こんなんで逮捕されるんだ。
テロ等準備罪なんかより怖い気がするなぁ
Re:つまりどういうことです? (スコア:1)
「ランサムウェア」として配布したせいで目的要件への該当性が認定されてしまったということでしょうね。本当に実験・研究目的ならそんなことする必要はなかったわけで。
Re: (スコア:0)
ランサムウェアじゃなくて暗号化ツールという名目だったら罪に問う事はできなかっただろうね
Re:つまりどういうことです? (スコア:1)
その可能性は高まりますが、単なる暗号化ツールならプログラムを実行する際に暗号化の対象となるファイルを指定できるようにしてあるのが普通でしょうし、やっぱり目的はあったんじゃないかと疑われる要素は残りますね。
Re: (スコア:0)
実験や研究の成果物を配布するのは自然で正当だと思いましたけどね。
こんなことで逮捕されると、悪用される可能性のある技術に関する研究ができなくなってしまいます。
Re:つまりどういうことです? (スコア:1)
ランサムウェアの研究なら配布すべきではないですし、単なる暗号化ツールの研究ならもうちょっと単なる暗号化ツールっぽいものができているはずでは。容易に悪用されるものをそうと知りつつ配布するのは決して自然でも正当でもないです。
どうせ戻す必要ないんだからこれでいいじゃない (スコア:0)
echo "お金払って"
rm -rf /
Re: (スコア:0)
'rm'は、内部コマンドまたは外部コマンド、
操作可能なプログラムまたはバッチ ファイルとして認識されていません。
# "バッチ"の後の空白が気になる...
Re: (スコア:0)
復号できないと思われたら誰もお金払わなくなるでしょ
StackOverflowは閉鎖せよ! (スコア:0)
ウイルス作成を助長する悪質サイトだ!
ジョークソフトを取り締まる神奈川県警 (スコア:0)
実際被害者がいっぱい出ている本物のランサムウェアの作者を捕まえられないから、
代わりに中学生のランサムウェア風のジョークソフトを捕まえて仕事をしているふり(笑)
本物の犯罪者を捕まえられないからといって、犯罪者ごっこして遊んでいる子供をスケープゴートとして捕まえるなんて最低最悪の行為
ツイッターみると草生やしまくってるし、これジョークソフトのつもりなのは明らかなんだけどね
虚構新聞をフェイクニュースとして取り締まるぐらいセンスないわ
Re: (スコア:0)
ガリガリ君の新味ネタとかツイッターのジョークにマスコミが釣られたりしているから世間のメディアリテラシーは相当低い
脳が筋肉ができているような馬鹿な警官だとジョークと悪意の区別すらできないだろう
Re:ジョークソフトを取り締まる神奈川県警 (スコア:1)
> マスコミが釣られたり
フジテレビって書こうよ。
Re: (スコア:0)
そのジョークソフトに対して
って、トレンドマイクロは犯罪認定しっちゃってるんだけど一企業としてどうなの?
Re: (スコア:0)
ジョークでは済まされなかったってことでしょ。馬鹿餓鬼にはきついお灸をすえてやらねばな。
Re:ジョークソフトを取り締まる神奈川県警 (スコア:1)
それは私刑ではないのか?
Re: (スコア:0)
「バカ発見器」の高性能さがまた証明されたということやね。