2012 年 10 月 22 日 (月)

ソフトイーサ株式会社 技術開発部
(茨城県つくば市)

遠隔操作ウイルスによる冤罪防止のための通信記録・プロセス起動記録ソフト

「パケット警察 for Windows」を開発しフリーウェアとして緊急リリース

　筑波大学発ベンチャー企業である ソフトイーサ株式会社 (代表取締役 登 大遊 / 本店所在地 茨城県つくば市、以下「ソフトイーサ」といいます) は、新たに「パケット警察」という名称の、遠隔操作ウイルスによる冤罪防止のための通信記録・プロセス起動記録ソフトを開発しました。「パケット警察」は本日よりフリーウェアとして無償でダウンロード可能です。

　「パケット警察」は、近頃日本において遠隔操作ウイルスにより知らない間にパソコンが踏み台にされ、かつ警察により誤認逮捕される方が発生する事件が頻発しインターネットユーザーの間で大変な不安が発生していることを鑑み、これらのユーザーの方々の不安を解消するとともに今後同様の事件が発生した場合において被害を受けた方が自己の無実を証明し真犯人を追跡するための重要な証拠として利用できるツールとして、ソフトイーサが緊急に開発してリリースするソフトウェアです。

「パケット警察」ソフトウェアの機能

　「パケット警察」は、パソコンの通信記録やソフトウェアの起動記録を見張り、自動的にハードディスク上に蓄積するソフトウェアです。万一、遠隔操作ウイルスによってあなたのパソコンが犯罪者にリモート操作され「踏み台」となった場合に、ウイルスの起動記録や犯人の通信記録がすべてログに残りますので、あなたの無実を証明したり、真犯人を追跡したりするための有力な証拠として利用可能です。

　「パケット警察」は Windows のシステム権限で動作し、ログファイルも一般ユーザー権限で消去できない設定で記録します。Windows Vista / 7 / 8 の UAC (ユーザーアカウント制御) に完全対応しており、一般的な遠隔操作ウイルスの手口では「パケット警察」の動作を止めたりログファイルを消去・改ざんしたりすることを困難にすることができます。

　「パケット警察」は Windows 98, 98 SE, ME, NT 4.0, 2000, XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 (32 bit / 64 bit 両方) で動作します。IPv4 のほか IPv6 にも対応しています。

初期設定は簡単。一度設定すると常時監視し続けます。

　「パケット警察」を使用すれば、インターネットの利用者は、現在日本で不安を生じさせている、遠隔操作ウイルスへの感染および踏み台にされることにより警察に犯人であると疑われ誤認逮捕されてしまうような状況に陥らないようにするため、普段から「パケット警察」を起動しておき、自己のコンピュータの通信記録やプログラムの起動記録を保存しておくことができます。

　もしウイルスに感染してしまい、犯人による不法行為の踏み台にされた場合、警察による家宅捜索などが行われた際に「パケット警察」で記録されたログファイルを任意に警察に提出することにより、自己の無実の証明ができるだけでなく、ウイルスの活動記録・犯人がウイルスのリモートコントロールに使用した IP アドレスや TCP/IP の通信内容などを警察が真犯人を追跡するための有力な証拠として役立てることができます。

保存されるパケットログ

　「パケット警察」をインストールして初期設定を行うと、それ以降にコンピュータがインターネットとの間で通信を行った場合に、その通信内容をパケットログとして記録します。ログファイルはテキスト形式のため、メモ帳などのテキストエディタで内容を読むことができます。

　デフォルト (標準) の設定では、TCP/IP パケットの重要なヘッダ情報がログファイルに記録されます。通常、遠隔操作ウイルスの挙動を記録するためには TCP/IP パケットのヘッダ情報のみの記録で十分だと考えられます。しかし、設定によってヘッダのみでなくペイロード (データ) もすべて記録したり、TCP/IP 以外のパケットについても記録したりすることができます。

　パケットログには日付と時刻 (ミリ秒単位) が記録されます。TCP/IP パケットのうち、HTTP (Web サイトへの通信) パケットについては、単なるヘッダ情報だけではなく HTTP でアクセスした URL やパラメータ、UserAgent などの情報も記録できます。たとえばウイルスが定期的にリモート制御のための HTTP 通信を海外のサーバーとの間で行っている場合は、その HTTP 通信記録を取ることができます。

記録されるパケットログの例

保存されるプログラムの起動・終了のログ

遠隔操作ウイルスなどは EXE ファイル (実行可能ファイル) 形式で固定記録される場合がほとんどです。この場合、ウイルスが起動すると「プロセス」と呼ばれる Windows 上のオブジェクトが起動されます。また、犯人がウイルスを停止させると「プロセス」は終了します。

「パケット警察」を起動しておくと、すべてのプロセス起動・終了ログが日時 (ミリ秒単位) で記録されます。たとえば「iesys.exe」という名前のウイルスのようなプロセスが起動・終了した記録は以下のように記録されます。

記録されるプロセス起動・終了ログの例
(iesys.exe というファイル名のプロセスの動作を捕捉している様子)

本ソフトウェアを緊急に無償で公開する意義

　最近、インターネットの善良な利用者の方が遠隔操作ウイルスに感染し、犯人によってパソコンの画面がリモート操作されてしまう事件が頻発しています。その上で犯人が犯罪行為を行うと、あたかもパソコンの所有者がそのような犯罪行為を行ったような記録が残ります。これにより IP アドレスを元にパソコンの所有者が特定され誤認逮捕されるという事件が大変な問題となっています。

　上記のような犯人による自作の遠隔操作ウイルスはウイルス対策ソフトでは検出が困難であるため、十分な注意をしていても感染してしまう恐れがあります。そのため、インターネットの利用者は誰でも気付かないうちに犯人による踏み台にされ、さらに警察による IP アドレスを頼りにした捜査の結果、誤認逮捕による冤罪の被害を受ける可能性があります。

　このことが現在、一般的なインターネット利用者の間で大変な不安を引き起こしているため、ソフトイーサはこの不安を早急に解消しインターネットの安全な発展に寄与するため、ウイルスに感染して遠隔操作の踏み台となってしまった場合においても確実に通信記録やソフトウェアの起動記録などが残るソフトウェアである「パケット警察 for Windows」を開発して公開することにいたしました。

さらに詳しい情報は

本日公開した以下の Web ページに掲載させていただいております。
「パケット警察」のダウンロードも下記リンクから可能です。

• 「パケット警察 for Windows」 Web サイト

※ 「パケット警察」の "警察" とは、コンピュータの所有者自身が自分のコンピュータの動作について『警察のように犯罪を見張る』という意味で用いているイメージ的な用語であり、通信ログを警察に対して自動的に送信し提供するための機能は含まれません。

※ 「パケット警察」の "警察" は、日本国の都道府県警察などの官公職を意味するものではありません。

Copyright © 2004-2023 SoftEther Corporation. All Rights Reserved.
 Web サイトについて | 個人情報の管理 | SoftEther VPN プロジェクト | お問い合わせ