piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2015年11月 不正指令電磁的記録保管の容疑で逮捕された少年についてまとめみた

2015年11月4日、警視庁は不正送金をするマルウェアを保管していたとして少年を逮捕したことを発表しました。ここでは関連情報をまとめます。

タイムライン

日時 出来事
2015年6月28日〜7月16日 少年が男子生徒5名にマルウェアを提供した疑い。
2015年6月29日 少年がマルウェア販売のスレッドを掲示板へ投稿。
2015年7月 捜査員が少年の書き込みを発見。
その後 捜査員が購入希望者を装って少年からデータを購入しマルウェアであることを確認。
2015年7月6日 少年がマルウェア販売のスレッドを掲示板へ再度投稿。
2015年7月31日? 少年が女子生徒にランサムウェアを販売した疑い。
2015年8月14日? 少年が女子生徒を騙して遠隔操作するマルウェアに感染させた疑い。
2015年11月4日 警視庁が少年を不正指令電磁的記録保管の容疑で逮捕をしたことを発表。
2015年11月 東京地検が少年の容疑を処分保留とした。
2015年11月24日 警視庁が少年を不正指令電磁的記録提供、同供用の容疑で再逮捕したことを発表。
2015年12月7日 警視庁が少年を不正指令電磁的記録提供の容疑で追送検する方針であると報道。
警視庁と滋賀県警等が少年ら4人を不正指令電磁的記録取得の容疑で書類送検

事案にかかわる情報

事案名
  • 匿名掲示板利用、不正送金ウイルス販売目的不正指令電磁的記録保管事件
捜査担当
  • 警視庁サイバー犯罪対策課
  • 警視庁愛宕警察署
逮捕された少年
  • 札幌市 14歳 中学2年の男子生徒

少年の容疑

No 容疑 逮捕・送検日 送検後の状況
1 不正指令電磁的記録保管 11月3日 処分保留
2 不正指令電磁的記録提供 11月24日(再逮捕) 不明
3 不正指令電磁的記録供用 11月24日(再逮捕) 不明
4 不正指令電磁的記録提供 12月8日(追送検) 不明
5 恐喝未遂 12月8日(追送検) 不明
1.不正指令電磁的記録保管容疑
  • 2015年6月〜9月にかけてインターネットバンキングへ不正送金するマルウェアを販売目的で保管していた疑いがある。
  • 保管場所は自宅のPCと海外のファイルサーバー。
  • 少年は容疑を認めている。
  • 東京地検はこの容疑を処分保留扱いとした。*1
2. 不正指令電磁的記録供用容疑
  • 不正指令電磁的記録供用容疑でも捜査する方針。*2
  • 2015年8月 女子生徒をだまして二度にわたり遠隔操作をするマルウェアをダウンロード、感染させた疑い。
  • Skypeの解析ツールであるとだまして女子生徒のPCにマルウェアを感染させた。
  • 少年は遠隔操作マルウェアの動作検証が目的であったと供述している。
  • 窃取された情報はメールやFacebookのID、パスワード。
  • 二人はLINE上で情報交換をしあう形で知り合った。
  • 少年は容疑を認めている。
3. 不正指令電磁的記録提供容疑 (1)
4. 不正指令電磁的記録提供容疑 (2)
  • 2015年6月28日〜7月16日にかけ、LINEで知り合った中高生ら5人にZeuS等を販売したり譲渡したりした疑いがある。
  • LINE(タイムライン)上でマルウェア配布を呼びかけする少年の書き込みを見てやり取りを行っており直接の面識はなかった。*4
  • そのうち1名は最高100万円の電子マネーで取引を行っていた。
5. 恐喝未遂容疑
  • 愛知県 16歳の高校1年の少年のPCをランサムウェアに感染させ、解除するための身代金として3000円を要求した疑い。*5
その他確認されている行為
  • 中学入学後に複数回にわたって販売を行っていた疑いがある。*6
  • 匿名掲示板にマルウェアの複数の種類を2万〜5万円で販売していた。
  • 海外のファイル共有サーバーに保管していたマルウェアを購入者にダウンロードさせた。
  • 代金としてネットショッピングで使えるギフトカードを受領していた。
  • 購入者との交渉はメールにて交わされていた。

発端

  • 2015年7月にサイバーパトロールを行っていた捜査員が少年の書き込みを発見したことによる。*7

押収品

押収された書籍
  • CentOS7 で作るネットワークサーバ構築ガイド
  • Pythonスタートブック
  • ハッカーの学校
  • 実践Metasploit
  • iP! 2015年 01月号
  • iP! 2015年 02月号
  • ハッカージャパン 2012年11月号
  • ハッカージャパン 2013年7月号
  • いきなりはじめるPHP ワクワクドキドキの入門教室
  • Webサイト制作者のためのJavaScript入門講座
  • HTML&CSS 標準デザイン講座
  • C言語プログラミング入門口座
  • Visual C# 2013パーフェクトマスター
  • スッキリわかるJava入門
  • スッキリわかるJava入門 第二版

少年について

  • 小学校高学年頃よりPCに興味を持ち始め、独学で技術習得をした。*8
  • 警察側捜査幹部によれば普通の中学生であり、専門教育を受けたわけではないとコメント。*9

少年がマルウェアを提供した少年少女について

  • この少年がマルウェアを販売、譲渡したとして少年少女6名が報じられている。*10
  • マルウェアを使った金儲けが目的との供述をしている人も含まれるが、被害は確認されていないと報道。*11
  • 少年少女は自分たちの専用PCを所有しており、保護者は捜索を受けるまで事案を認知していなかった。
都道府県 年齢 性別 容疑 処遇 少年からの提供内容 少年への見返り
滋賀県 15歳(中学3年) 男子 不正指令電磁的記録取得 書類送検 1種類のマルウェア 攻撃ソフトを提供
千葉県 17歳(高校2年) 男子 不正指令電磁的記録取得 書類送検 1種類のマルウェア 電子マネー(100万円?)を提供
静岡県 14歳(中学3年) 男子 不正指令電磁的記録取得 書類送検 ランサムウェア 不明
愛知県 14歳(中学2年) 女子 不正指令電磁的記録取得 書類送検 ランサムウェア 電子マネーを提供
愛知県 17歳(高校2年) 男子 不正指令電磁的記録取得 書類送検予定 ランサムウェア 不明
福島県 15歳(高校1年) 男子 不正指令電磁的記録取得 書類送検予定 ZeuS、ランサムウェア、他1種類のマルウェア 攻撃ソフトを提供

闇サイト

  • 報道情報によれば「闇サイト」「海外の匿名掲示板」等と報じられているのはproxy channelのアングラ板だった模様。*12

所有していたマルウェア

掲示板に書き込まれていた内容から次のマルウェアを保管していた可能性がある。

種類 バージョン 販売価格
ZeuS ver 2.2 10,000円
SpyEye ver 2.6 30,000円
WERDLOD ver 1.7 50,000円
Andoromeda ver 2.1 30,000円
jrat ver 4.0.2 50,000円
DarkCommetRAT ver 5.4 40,000円 (Bot40付)
  • これらソフトウェアについて、少年はインターネット(海外の闇サイトと報じられている)より無料で入手したことを供述している。
  • 少年のPCからは4種類のマルウェアが確認されている。
少年の書き込み
  • 支払いはAmazonギフトカード
  • 連絡先のメールアドレスが記載されている。
  • 販売の書き込みに際して次のようなコメントが記載されている。

メールアドレス見ていただいたらわかると思いますが私は****です。
本物です Silk Road時代からいたら私の事知ってるかと思われます。
取引はギフトコードのほうを確認いたしましたらインストーラーとアクティベートコードをお送りいたしますので
インストールしてください。
PCを変えるなどのことがありましたら 前回のアクティベートコードと一緒にここにメールください。無料で再発行いたします

更新履歴

  • 2015年11月4日 PM 新規作成
  • 2015年12月10日 AM 続報を反映

*1:身代金型ウイルス販売疑い、中2男子を再逮捕,日本経済新聞,2015年12月10日アクセス:魚拓

*2:中2少年がID盗み取るウイルス保管 容疑で逮捕、売買か ,日本経済新聞,2015年11月5日アクセス:魚拓

*3:LINEで「身代金要求型ウイルス」を販売 容疑の少年を再逮捕 警視庁,産経ニュース,2015年12月10日アクセス:魚拓

*4:少年5人にウイルス提供容疑=男子中学生追送検―警視庁,時事通信,2015年12月10日アクセス

*5:<ウイルス提供容疑>札幌の中2少年 他にも5人前後に譲渡,毎日新聞,2015年12月10日アクセス:魚拓

*6:ウイルス保管容疑で14歳逮捕=海外サイトで販売か−警視庁,時事通信,2015年11月5日アクセス

*7:不正送金ウイルス:保管容疑の札幌の中2少年逮捕 警視庁,毎日新聞,2015年11月5日アクセス:魚拓

*8:不正送金に悪用できるウイルス保管容疑、中2男子を逮捕,朝日新聞,2015年11月5日アクセス:魚拓

*9:「普通の生徒」、闇サイト利用か 不正ウイルス保管事件,朝日新聞,2015年11月5日アクセス:魚拓

*10:中高生がLINEでウイルス売買容疑 5人を書類送検,朝日新聞,2015年12月10日アクセス:魚拓

*11:中2が中高生にウイルス販売容疑,Reuters,2015年12月10日アクセス:魚拓

*12:中学生がウイルス不正所持疑い,NHK,2015年11月5日アクセス:魚拓