パケット警察 for Windows (フリーウェア)
遠隔操作ウイルスによる冤罪を防止するための通信記録・プロセス起動記録ソフト
2012 年 10 月 22 日公開
筑波大学発ベンチャー
ソフトイーサ株式会社 「パケット警察 for
Windows」は、あなたのパソコンの通信記録やソフトウェアの起動記録を見張り、自動的にハードディスク上に蓄積するソフトウェアです。
Windows 98, ME, NT 4.0, 2000, XP, Server 2003, Vista, Server 2008, 7,
Server 2008 R2, 8, Server 2012 で動作します。さらに、IPv6 にも対応しています。
万一、遠隔操作ウイルスによってあなたのパソコンが犯罪者にリモート操作され「踏み台」となった場合に、ウイルスの起動記録や犯人の通信記録がすべてログに残りますので、あなたの無実を証明したり、真犯人を追跡したりするための有力な証拠として利用可能です。
(アイコンは警察官のイメージですが、ログを勝手に警察に送信する機能などはありません。)
初期設定は簡単。一度設定すると常時監視し続けます。 「パケット警察」は Windows
のシステム権限で動作し、ログファイルも一般ユーザー権限で消去できない設定で記録します。Windows Vista / 7 / 8 の UAC
(ユーザーアカウント制御)
に完全対応しており、一般的な遠隔操作ウイルスの手口では「パケット警察」の動作を止めたりログファイルを消去・改ざんしたりすることを困難にすることができます。
背景
遠隔操作ウイルスによってパソコンが第三者に操作されてしまい、知らない間にインターネットに対する不法な書込みやメール送信などの踏み台にされ、さらには発信元
IP アドレスを頼りに捜査を行った警察が本来は被害者であるパソコンの所有者を逮捕してしまうという事件が問題となっています。
特に最近問題となっている遠隔操作ウイルスは犯人による自作であると考えられ、ウイルス対策ソフトによる検出が困難であり、インターネット初心者にとって有効な対策方法がありません。
現状のままでは、インターネットを利用する方であればだれでも犯人による踏み台となり、かつ真犯人がウイルスのプログラム自体を消去してしまった場合は証拠が残らず、パソコンの所有者が犯人であると誤認され逮捕されてしまうリスクがあります。このリスクによって生じる不安を早急に解消するため、ソフトイーサ株式会社は「パケット警察
for Windows」を急いで開発し、フリーウェアとして公開しました。
機能 1.
パケットログの記録
「パケット警察」をインストールして初期設定を行うと、それ以降にコンピュータがインターネットとの間で通信を行った場合に、その通信内容をパケットログとして記録します。ログファイルはテキスト形式のため、メモ帳などのテキストエディタで内容を読むことができます。ログファイルは
NTFS の透過的な圧縮機能によって圧縮されて記録され、ハードディスク容量を節約します。
パケットログの記録設定画面 デフォルト (標準) の設定では、TCP/IP
パケットの重要なヘッダ情報がログファイルに記録されます。通常、遠隔操作ウイルスの挙動を記録するためには TCP/IP
パケットのヘッダ情報のみの記録で十分だと考えられます。しかし、設定によってヘッダのみでなくペイロード (データ)
もすべて記録したり、TCP/IP 以外のパケットについても記録したりすることができます。 パケットログには日付と時刻 (ミリ秒単位)
が記録されます。 TCP/IP パケットのうち、HTTP (Web サイトへの通信) パケットについては、単なるヘッダ情報だけではなく
HTTP でアクセスした URL やパラメータ、UserAgent などの情報も記録できます。たとえばウイルスが定期的にリモート制御のための
HTTP 通信を海外のサーバーとの間で行っている場合は、その HTTP 通信記録を取ることができます。
記録されるパケットログの例
機能 2. プロセス起動・終了の記録
遠隔操作ウイルスなどは EXE ファイル (実行可能ファイル)
形式で固定記録される場合がほとんどです。この場合、ウイルスが起動すると「プロセス」と呼ばれる Windows
上のオブジェクトが起動されます。また、犯人がウイルスを停止させると「プロセス」は終了します。
「パケット警察」を起動しておくと、すべてのプロセス起動・終了ログが日時 (ミリ秒単位)
で記録されます。たとえば「iesys.exe」という名前のウイルスのようなプロセスが起動・終了した記録は以下のように記録されます。
記録されるプロセス起動・終了ログの例
(iesys.exe というファイル名のプロセスの動作を捕捉している様子)
※ 「パケット警察」の "警察"
とは、コンピュータの所有者自身が自分のコンピュータの動作について『警察のように犯罪を見張る』という意味で用いているイメージ的な用語であり、通信ログを警察に対して自動的に送信し提供するための機能は含まれません。
※ 「パケット警察」の "警察" は、日本国の都道府県警察などの官公職を意味するものではありません。
|