パスワードを忘れた? アカウント作成
13303955 story
プログラミング

未成年が作成したというランサムウェアの詳細をトレンドマイクロが分析 52

ストーリー by hylom
稚拙で不備はあるとはいえ機能は揃っている模様 部門より

大阪府の中学3年生男子生徒がランサムウェアを作成したとして不正指令電磁的記録作成・同保管容疑で神奈川県警に逮捕される事件があったが(読売新聞)、この生徒が作成したと見られるランサムウェアをトレンドマイクロが分析している。

これによると、このランサムウェアはWindowsのバッチファイル機能を利用して実装されており、すべてのファイルに対してオープンソースの暗号化ツールAES Cryptを使って暗号化を行うものになっているという。

ただし、暗号化の対象は特定のフォルダのみで、すべてのファイルを暗号化するようにはなっていないとのこと。また、暗号化の鍵として使用するランダムな文字列はStackOverflow上に掲載されていたサンプルコードと同一だったという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 少年は「不正指令電磁的記録作成・同保管容疑」で逮捕されたとのことですが、この少年が作ったプログラム ransomware.zip は、そもそもzipアーカイブに含まれる「最重要機密」フォルダ(このフォルダ自体がzipアーカイブにサブディレクトリとして含まれており、「最重要機密」というフォルダが既存だったとしても影響しません)の中身しか暗号化しない上、復号手段が用意されており、ランサムウェアとして機能しないことから、単なる暗号化ツールであり、そもそも不正指令電磁的記録に該当しないと解釈すべきだと個人的には思います。

    しかし、法制審議会刑事法(ハイテク犯罪関係)部会第1回会議 議事録 [takagi-hiromitsu.jp] によると、「●ほんの少し手を加えただけで不正な指令として完成するような実体であるものは,ここでいう完成している電磁的記録,完成しているウイルス・プログラムとしてとらえるべきだと考えております。」とのことなので、当該プログラムが「不正指令電磁的記録」として解釈される可能性があります。

    しかし、当該プログラムが「不正指令電磁的記録」だとしても、今回のケースでは、犯罪構成要件の「人の電子計算機における実行の用に供する目的で」を満たしていないので、冤罪です。

    ちなみに、少年を逮捕したのは、遠隔操作事件で「冤罪」の前科がある、神奈川県警サイバー犯罪対策課です。

    (不正指令電磁的記録作成等)
    第百六十八条の二  正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
    一  人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
    二  前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
    2  正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
    3  前項の罪の未遂は、罰する。
    (不正指令電磁的記録取得等)
    第百六十八条の三  正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。

    刑法 第十九章の二 不正指令電磁的記録に関する罪 [e-gov.go.jp] より

    立案担当者の解釈 (法務省Webサイトより) [moj.go.jp] によると、

    「人」とは犯人以外の者をいう。なお,後記のとおり 「実行の用 ,
    に供する」に当たるためには,不正指令電磁的記録が動作することと
    なる電子計算機の使用者において,それが不正指令電磁的記録である
    ことを認識していないことが必要であるから,そのこととの関係で,
    ここにいう「人」には,不正指令電磁的記録であることを認識してい
    る第三者も含まれないこととなる。
    (引用部の太字強調は引用者)

    とあり、不正指令電磁的記録作成は、不正指令電磁的記録であることを認識していない第三者の電子計算機における実行の用に供する目的でなければ犯罪の構成要件に該当しないのです。保管罪についても同様です。

    少年の Twitter では プログラムの動作を動画で明示 [twitter.com] して、説明書 (ドキュメント) で動作を説明 [twitter.com] した上で配布しています。アーカイブファイル名も "ransomware.zip" であり、使用者が不正指令電磁的記録であることを認識できるようにしています。

    * 安全なのですか?
    はい、初期状態はね。暗号化されるのはこの中の「最重要機密」フォルダだけでそれ以外の暗号化は行いません。ま
    た警告を表示するhtaファイルもレジストリ等に残しません(ただソースコードを改変しほかのフォルダも暗号化し
    たり警告をスタートアップにしたりできます)
    * iXintLockerをベースに作成されたランサムウェアを実行(あるいは実行させられ)必要なファイルが暗号化されて
    しまいました
    マスター暗号鍵が変更されていない場合、ransom(コピー).batに問い合わせコードを入力し、復号することが
    可能です。変更されている場合かつコンパイルされていない場合、マスター暗号鍵をソースコード中から確認が可能
    です。
    コンパイルされていて暗号鍵が不明な場合、問い合わせコードを紛失した場合、ファイルの復号化は不可能です。
    * ソースコードの改変方法を教えてください
    お断りします。どこを書き換えるかぐらい自分で探してください。それでも分からないのなら非難を浴びるでしょう
    が知恵袋にでも行って聞いてください
    免責事項として、ダウンロードした人の使い方には一切関知しません。又、ファイルの復号化に関する問い合わせは
    受け付けません
    (プログラム ransomware.zip の説明文より引用)

    これらの説明から、プログラムの実行者は、その動作を十分に認識できることから、犯罪構成要件を満たさないことは明らかです。

    • 補足 (スコア:5, 興味深い)

      by Printable is bad. (38668) on 2017年06月08日 16時22分 (#3224354)

      立案担当者の解釈 (法務省Webサイトより) [moj.go.jp] に、もっと分かりやすい説明があったので引用します。

      ■行為及び正当な理由について
      処罰対象となるのは 「正当な理由がないのに,「人の電子計算機に 」
      おける実行の用に供(する)」行為である。
      それぞれの文言の意義等については,不正指令電磁的記録作成・提供
      罪の項を参照。
      なお 「人の電子計算機における実行の用に供(する)」とは,不正指
      令電磁的記録であることの情を知らない第三者のコンピュータで実行さ
      れ得る状態に置くことをいうものであり,例えば,
      ・ 不正指令電磁的記録の実行ファイルを電子メールに添付して送付し,
      そのファイルを,事情を知らず,かつ,そのようなファイルを実行す
      る意思のない使用者のコンピュータ上でいつでも実行できる状態に置
      く行為や,
      ・ 不正指令電磁的記録の実行ファイルをウエブサイト上でダウンロー
      ド可能な状態に置き,事情を知らない使用者にそのファイルをダウン
      ロードさせるなどして,そのようなファイルを実行する意思のない使
      用者のコンピュータ上でいつでも実行できる状態に置く行為
      等がこれに当たり得る。

      少年は、プログラムの動作を動画・文章の両方で説明しており、ファイル名にも「ransomware」を含めていることから、「事情を知らない使用者にそのファイルをダウンロード」させているわけではなく、「実行する意思のない使用者のコンピュータ上でいつでも実行できる状態に置く行為」にも該当しません。

      親コメント
      • by monyonyo (43060) on 2017年06月09日 0時19分 (#3224569)

        いやいや、そもそも罪名は供用のほうではなく作成と保管ですよ。

        親コメント
        • by Anonymous Coward

          いやいや、そもそも罪名は供用のほうではなく作成と保管ですよ。

          「正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成」するのが犯罪

          作成罪の方にも「人の電子計算機における実行の用に供する目的」という要件が入ってて、「人の電子計算機における実行の用に供する」の解釈が論じられてる

          • by monyonyo (43060) on 2017年06月09日 6時20分 (#3224623)

            そうですね。「人の電子計算機における実行の用に供する目的」があればよく、実際に「人の電子計算機における実行の用に供する」必要はありません。

            親コメント
      • by Anonymous Coward

        どっかの図書館のbot問題では高木浩光と技術者が大騒ぎしたのに
        今回はあんま騒がれてないように見えるのが残念

      • by Anonymous Coward

        ランサムウェア作ったったwwwwwwww [twitter.com]」って言ってるんだから、
        「人の電子計算機における実行の用に供する目的で」を満たすんじゃないの?このままではランサムウェアとして
        動かないとしても、このパッケージを手に入れた人が手を加えて「人の電子計算機における実行の用に供する目的で」使うことを
        想定して作っている。実行との間に第3者をワンクッションとして置いたからと言って、言い逃れはできないように思える。

        しかし、この子、海外のウェブサイトやオープンソースのツールの英文ドキュメントを読みこなして情報をあつめ、

        • by Anonymous Coward

          その第三者が存在してないのに、幇助罪では立件できないでしょ?

          • by Anonymous Coward

            幇助罪の容疑で逮捕されたんじゃないからな。

        • by Anonymous Coward

          対象のプログラムは、客体としての第1項第1号「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」に該当しない。
          なぜならドキュメンテーションに「ランサムウエアとして動作しますよ」と記載されているから。
          それを実行した結果ランサムウェアの動作を行うのは「意図に沿うべき動作」であって、構成要件に該当しない。
          条文に「ランサムウェア」とか「有害なソフトウェア」といった趣旨の文言が一切ないことに注意。
          人の「意図に沿うべき動作」かどうかのみが問題になる。

          >実行との間に第3者をワンクッションとして置いたからと言って、言い逃れはできないように思える。

          その第三者は少なくとも、プログラムの一部であるドキュメンテーションを改変し、「ランサムウェアである」という記述を隠す必要がある。
          その改変行為が第1項にいう「作成」であって、その目的が「人の電子計算機における実行の用に供する目的で」であるとき、
          初めて構成要件に該当する。

          • by monyonyo (43060) on 2017年06月09日 0時25分 (#3224572)

            少し改変すればランサムウェアになるならその時点で「作成」ですし、少し改変すれば実行のように供され得ることを予見していたのであれば「人の電子計算機における実行の用に供する目的で」にも該当するのでは。

            親コメント
            • by Anonymous Coward

              本来そういうのはほう助罪で罰するべきことだから拡大解釈すべきじゃない

              • by Anonymous Coward

                > 本来そういうのはほう助罪で罰するべきことだから

                なぜ?
                「不正指令電磁的記録作成等罪」というのは、実際にソフトウェアが動作してそれによる被害者が出ていないような場合でも、
                作成や保持だけでも罪に問うという趣旨の法だ。
                実際に被害者が発生するまで待つのは、それこそ、その法の趣旨に反するというものだろう。

          • by Anonymous Coward

            配布されたプログラムは、実際にはランサムウェアとして動作しない。

            それなのにドキュメントに「ランサムウエアとして動作しますよ」と記載されているなら、それはまさに
            「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、
            又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」に該当するのではないか?

            • by Anonymous Coward

              「ランサムウエアとして動作しますよ」と記載されているなら

              この中学生は「ランサムウェア配布」といってるのにランサムウェアじゃないなら「その意図に沿うべき動作をさせない電磁的記録」に該当する

              けど、

              > 暗号化されるのはこの中の「最重要機密」フォルダだけでそれ以外の暗号化は行いません。
              > また警告を表示するhtaファイルもレジストリ等に残しません
              > (ただソースコードを改変しほかのフォルダも暗号化したり警告をスタートアップにしたりできます)

              という注意書きで動作を説明していて、それを理解した「人」とやらが意図する動作は「最重要機密」フォルダの暗号化で
              その動作はするわ

              • by Anonymous Coward

                という注意書きで動作を説明していて、それを理解した「人」とやらが意図する動作は
                「最重要機密」フォルダの暗号化でその動作はするわけだから、「その意図に沿うべき動作をさせない電磁的記録」
                ではなく「その意図に沿うべき動作をきちんとする電磁的記録」なので問題なし

                そこは説明の中で「ランサムウェアだ」としている部分と「ランサムウェアとしては働かない」
                としている部分がある、単に説明が矛盾しているという話だ。
                字句通りに解釈しようとすると論旨が通らず、ユーザーはそれが何をするのか理解できない。
                やはり「その意図に沿うべき動作をさせない電磁的記録」ということになるだろう。

        • この中3の書いた説明文章読んでみると、論理的で平均的なスラド民より賢そう

          まだダウンロードできるからソースコードも読んでみたけど、スクリプトキディーと違ってシンプルで美しいコードを書いてる
          理系の大卒のプログラマーよりは下だけど専門卒のプログラマーの糞みたいにごちゃごちゃしたコードよりはまし
          暗号化機能を車輪の際発明で脆弱なシーザー暗号みたいな独自実装をしないでopensslを使ってるのも良い

    • 通称ウイルス罪の一連の罪の中には、提供罪もあります。
      提供罪とは、マルウェアを、マルウェアとして使おうとする者に提供する行為が罰せられます。
      この時にマルウェアの提供を受ける相手は、それがマルウェアであることを当然に認識していますが、提供される客体が不正指令電磁的記録であることは否定されません。
      そして不正指令電磁的記録である以上、その作成と保管は、作成罪と保管罪に当たることになります。

      提供罪の存在を踏まえれば、「人の電子計算機における実行の用に供する目的」や「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせる」における「人」(マルウェアだとは知らない人)とは、作成者から直接供用を受けた人だけでなく、マルウェアだと知る第三者を経て、当該第三者から供用される「人」も含んでいると解釈すべきでしょう。
      実際に提供罪で処罰するには、提供を受けた相手の存在の立証も必要になるでしょうが、提供罪を適用しなかったとしても、そのことが「不正指令電磁的記録」の該当性に影響する要素は見当たりません。

      作成者の作成罪の故意としては、マルウェアだと知る誰かが入手して、マルウェアとして供用しうることを、認識・認容していれば足りると。
      この点で、被疑者側の無罪主張としては、
      「簡易なプログラムによる実演と些細なジョークであり、配布目的は検証のためであって、実際にこのプログラムを元にしたものをランサムウェアとして供用する者がいるとは思っていなかった」
      などとして、第三者を経由した供用の目的や故意を否定することが考えられます。

      ツイートを見ると、犯意を肯定してそうな表現、否定してそうな表現の両方があるように感じられ、無罪もありえなくはないように思います。
      とはいえ、年齢や実害がないことを考えれば、起訴猶予で司法判断がないまま終わりな気もします。

      親コメント
    • 今回のプログラムがどういうものなのかよく知らないのですが、プログラムを実行しようとすると必ずその説明書が表示されるのですか?

      親コメント
      • by Anonymous Coward

        ダウンロードリンクがあるとこに説明書きとして書かれているだけでプログラム実行時には表示されない

        けど、これが駄目だとなるとダウンロードページに利用規約や説明を書いて
        「同意してダウンロード」みたいなリンククリックでダウンロードさせる形式のソフトが全部アウトになる

  • by Anonymous Coward on 2017年06月08日 13時49分 (#3224253)

    aescrypt -e -p apples c:\windows

  • by Anonymous Coward on 2017年06月08日 15時17分 (#3224303)

    まさにScript Kiddie

  • by Anonymous Coward on 2017年06月08日 15時32分 (#3224318)

    すべてのファイルに対してオープンソースの暗号化ツールAES Cryptを使って暗号化を行うものになっているという。

    暗号化の対象は特定のフォルダのみで、すべてのファイルを暗号化するようにはなっていないとのこと。

    すべてって一体どういう意味なんだ……?

    • by Anonymous Coward

      前者は、暗号化の対象の”特定のフォルダ”に含まれるファイルのすべて
      後者は、暗号化の対象とならないフォルダのファイルも含めてすべて

      難しいかな?

    • by Anonymous Coward

      ./* だけど /* ではない

    • by Anonymous Coward

      リンク先にソースが出ているけど、
      「最重要機密」というフォルダの中を暗号化するbatファイルみたいだね。
      実験とか、研究とかのつもりで作ってみたんだろけど、こんなんで逮捕されるんだ。
      テロ等準備罪なんかより怖い気がするなぁ

      • 「ランサムウェア」として配布したせいで目的要件への該当性が認定されてしまったということでしょうね。本当に実験・研究目的ならそんなことする必要はなかったわけで。

        親コメント
        • by Anonymous Coward

          ランサムウェアじゃなくて暗号化ツールという名目だったら罪に問う事はできなかっただろうね

          • その可能性は高まりますが、単なる暗号化ツールならプログラムを実行する際に暗号化の対象となるファイルを指定できるようにしてあるのが普通でしょうし、やっぱり目的はあったんじゃないかと疑われる要素は残りますね。

            親コメント
        • by Anonymous Coward

          実験や研究の成果物を配布するのは自然で正当だと思いましたけどね。
          こんなことで逮捕されると、悪用される可能性のある技術に関する研究ができなくなってしまいます。

          • ランサムウェアの研究なら配布すべきではないですし、単なる暗号化ツールの研究ならもうちょっと単なる暗号化ツールっぽいものができているはずでは。容易に悪用されるものをそうと知りつつ配布するのは決して自然でも正当でもないです。

            親コメント
  • by Anonymous Coward on 2017年06月08日 15時55分 (#3224334)

    echo "お金払って"
    rm -rf /

    • by Anonymous Coward

      'rm'は、内部コマンドまたは外部コマンド、
      操作可能なプログラムまたはバッチ ファイルとして認識されていません。
       
      # "バッチ"の後の空白が気になる...

    • by Anonymous Coward
      普通ランサムウェアは解除に関しては誠実だよ
      復号できないと思われたら誰もお金払わなくなるでしょ
  • by Anonymous Coward on 2017年06月08日 19時42分 (#3224456)

    ウイルス作成を助長する悪質サイトだ!

  • by Anonymous Coward on 2017年06月09日 1時35分 (#3224599)

    実際被害者がいっぱい出ている本物のランサムウェアの作者を捕まえられないから、
    代わりに中学生のランサムウェア風のジョークソフトを捕まえて仕事をしているふり(笑)

    本物の犯罪者を捕まえられないからといって、犯罪者ごっこして遊んでいる子供をスケープゴートとして捕まえるなんて最低最悪の行為

    ツイッターみると草生やしまくってるし、これジョークソフトのつもりなのは明らかなんだけどね
    虚構新聞をフェイクニュースとして取り締まるぐらいセンスないわ

    • by Anonymous Coward

      ガリガリ君の新味ネタとかツイッターのジョークにマスコミが釣られたりしているから世間のメディアリテラシーは相当低い
      脳が筋肉ができているような馬鹿な警官だとジョークと悪意の区別すらできないだろう

    • by Anonymous Coward

      そのジョークソフトに対して

      今回の中学生も、誰もがアクセス可能な Twitter などのソーシャルメディア上にランサムウェアを作成した「自慢」を書き込むなどの証拠を残しています。また、報道によれば逮捕後には「力試しに作った」などと語っており、作成されたランサムウェアを見ても他のランサムウェアにみられるような足がつきにくくするための細工も特に見られない稚拙なものであることからも、自らを誇示したいがためだけに作成、公開したものと考えられます。

      って、トレンドマイクロは犯罪認定しっちゃってるんだけど一企業としてどうなの?

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...