セキュリティ事件簿

中学三年生が作成して逮捕されたランサムウェアの観察日記と所感

ちょっと前の話になりますけど、大阪府の中学三年生がランサムウェアを作成して逮捕されたのがニュースになってたのを覚えてらっしゃいますでしょうか。

このランサムウェアに関してはトレンドマイクロさんがちゃんとした解析記事出してて


これ読むと「ああなんだ、意外と大したことなかったんだー」って感じで。
世の中的には収束したなという雰囲気ですが「具体的にどんな感じのウイルスで、なにがまずかったんですか?」ってところに個人的に疑問が残ってたので、自分なりに調べたものをまとめておきます。

少年が想定していたであろうウイルスの挙動

私も少年のものと思われるTwitterアカウントから
ランサムウェア一式が格納されたzipファイルがダウンロードできることを確認しました。

関係ないけど逮捕報道があってから1か月くらいはTwitterが凍結されずに残っていたの
ずいぶん対応遅いんだなーと思ったんですがそんなもんなんですかねー。

zipファイルを解凍すると暗号化するために必要なソフトやらなんやらが一式入っております。

実行にはバッチファイルransom.bat(そのまんま…)を叩いてもらう必要があるようです。
実行されると、バッチがおいてあるディレクトリ直下の最重要機密という名前のフォルダの中身が暗号化されます。

生贄用ファイル(飼い犬の写真)入れて試してみました。
びふぉー

あふたー

拡張子が「.enc」になってファイルが開けなくなりました。
その後めでたく脅迫画面(ランサムノート)が表示されてランサム完了です。

他のランサムウェアによくある、自己増殖したり、他の不正プログラムを勝手にダウンロードしたりするなどの挙動は確認できませんでした。

少年がTwitter上に上げていたFAQに

Q.安全なのですか?
A.はい、初期状態はね。暗号化されるのはこの中の「最重要機密」フォルダだけでそれ以外の暗号化は行いません。(後略)

って書いてあったんですが、その言葉通り、最重要機密フォルダ以外の暗号化はされませんでした。(バッチの中身見ればこのへんは容易に読み解けますが)

ちなみに少年はzipの中に復号用のバッチも入れてくれていて、それを実行すると、お問い合わせ番号を要求され

脅迫画面に書いてあるお問い合わせ番号を入力すると無事復号されました。

(なんか変なファイル残っちゃってるけど一応全部復号できてた)

復号できちゃったらランサムウェアにならないと思うんだけど…
なんで入ってるんだろう。

これに関しては毎日新聞さんの記事で

上原教授は「通常、ランサムウェアに使われる暗号化の仕組みを、男子生徒は理解できなかったのではないか」と推測する。

って書いてたけど、少年は「初期状態なら」「安全です」って言い切ってるから、多分それくらいは解ってやってるんだと思うな。

じゃあ何が悪かったんだろうか

っていう話なんですけど。
もう一回毎日新聞さんから引用で

園田寿・甲南大学法科大学院教授(刑事法)は、「危険性が低かったとしても、重大な犯罪行為だ」と指摘する。

なるほど、危険じゃなくても犯罪は犯罪であると
ちなみに何罪かというと。

要するに、今回の場合は
「正当な理由がないのに」
「他人のコンピュータで動かす目的で」
ウイルスのプログラムを持ってたから犯罪ですよー
ということなんだそうな。
(2年以下の懲役又は30万円以下の罰金)

個人的には、この条文の「正当な理由」がちょっと曖昧だなーとか思ってて

徳丸先生が言うように

これはランサムウェアのPoC(概念実証) です、悪用しないでください!
って言い方してれば、やってることが同じでも
逮捕されなかった可能性はありますよね。

この感じどっかで見たな…と思ってたら基本情報技術者試験の午前問題であったんだった


↑の問題のア(罪にならない)とエ(罪になる)の違いって
現実的には結構ビミョーなんじゃないって思ってたんですよねー。
まぁ、そのへんは今後判例が増えてくるとだんだんはっきりしてくるのかもしれませんが、こういうはっきりしない感じだとどういう影響があるかわかんなくて心配だわ~とか法律ド素人でセキュリティを愛好する民的には思うわけです。

適当なこと書いてすいません。
何かの参考になれば。

2021/08/18追記

かしわばさんがツイートしてくれてて

結構いろんな人のご意見がぶら下がってるのが興味深いのでリンク貼っておきます