2015年11月不正指令電磁的記録保管の容疑で逮捕された少年についてまとめみた

2015年11月4日、警視庁は不正送金をするマルウェアを保管していたとして少年を逮捕したことを発表しました。ここでは関連情報をまとめます。

タイムライン

日時	出来事
2015年6月28日〜7月16日	少年が男子生徒5名にマルウェアを提供した疑い。
2015年6月29日	少年がマルウェア販売のスレッドを掲示板へ投稿。
2015年7月	捜査員が少年の書き込みを発見。
その後	捜査員が購入希望者を装って少年からデータを購入しマルウェアであることを確認。
2015年7月6日	少年がマルウェア販売のスレッドを掲示板へ再度投稿。
2015年7月31日?	少年が女子生徒にランサムウェアを販売した疑い。
2015年8月14日?	少年が女子生徒を騙して遠隔操作するマルウェアに感染させた疑い。
2015年11月4日	警視庁が少年を不正指令電磁的記録保管の容疑で逮捕をしたことを発表。
2015年11月	東京地検が少年の容疑を処分保留とした。
2015年11月24日	警視庁が少年を不正指令電磁的記録提供、同供用の容疑で再逮捕したことを発表。
2015年12月7日	警視庁が少年を不正指令電磁的記録提供の容疑で追送検する方針であると報道。
〃	警視庁と滋賀県警等が少年ら4人を不正指令電磁的記録取得の容疑で書類送検。

事案にかかわる情報

事案名

匿名掲示板利用、不正送金ウイルス販売目的不正指令電磁的記録保管事件

捜査担当

警視庁サイバー犯罪対策課
警視庁愛宕警察署

逮捕された少年

札幌市 14歳中学2年の男子生徒

少年の容疑

No	容疑	逮捕・送検日	送検後の状況
1	不正指令電磁的記録保管	11月3日	処分保留
2	不正指令電磁的記録提供	11月24日(再逮捕)	不明
3	不正指令電磁的記録供用	11月24日(再逮捕)	不明
4	不正指令電磁的記録提供	12月8日(追送検)	不明
5	恐喝未遂	12月8日(追送検)	不明

1．不正指令電磁的記録保管容疑

2015年6月〜9月にかけてインターネットバンキングへ不正送金するマルウェアを販売目的で保管していた疑いがある。
保管場所は自宅のPCと海外のファイルサーバー。
少年は容疑を認めている。
東京地検はこの容疑を処分保留扱いとした。*1

2. 不正指令電磁的記録供用容疑

不正指令電磁的記録供用容疑でも捜査する方針。*2

2015年8月女子生徒をだまして二度にわたり遠隔操作をするマルウェアをダウンロード、感染させた疑い。
Skypeの解析ツールであるとだまして女子生徒のPCにマルウェアを感染させた。
少年は遠隔操作マルウェアの動作検証が目的であったと供述している。
窃取された情報はメールやFacebookのID、パスワード。
二人はLINE上で情報交換をしあう形で知り合った。
少年は容疑を認めている。

3. 不正指令電磁的記録提供容疑 (1)

2015年7月、名古屋市中学2年生の女子に3000円(Amazonギフトカード)でランサムウェアを販売した疑い。*3
少年は容疑を認めている。

4. 不正指令電磁的記録提供容疑 (2)

2015年6月28日〜7月16日にかけ、LINEで知り合った中高生ら5人にZeuS等を販売したり譲渡したりした疑いがある。
LINE(タイムライン)上でマルウェア配布を呼びかけする少年の書き込みを見てやり取りを行っており直接の面識はなかった。*4
そのうち1名は最高100万円の電子マネーで取引を行っていた。

5. 恐喝未遂容疑

愛知県 16歳の高校1年の少年のPCをランサムウェアに感染させ、解除するための身代金として3000円を要求した疑い。*5

その他確認されている行為

中学入学後に複数回にわたって販売を行っていた疑いがある。*6
匿名掲示板にマルウェアの複数の種類を2万〜5万円で販売していた。
海外のファイル共有サーバーに保管していたマルウェアを購入者にダウンロードさせた。
代金としてネットショッピングで使えるギフトカードを受領していた。
購入者との交渉はメールにて交わされていた。

発端

2015年7月にサイバーパトロールを行っていた捜査員が少年の書き込みを発見したことによる。*7

押収品

デスクトップPC1台
ディスプレイ2台
ノートPC2台
MacBookPro 1台
スマートフォン、タブレット6台
ルーター1台
書籍詳細は次の項記載
服複数点

押収された書籍

CentOS7 で作るネットワークサーバ構築ガイド
Pythonスタートブック
ハッカーの学校
実践Metasploit
iP! 2015年 01月号
iP! 2015年 02月号
ハッカージャパン 2012年11月号
ハッカージャパン 2013年7月号
いきなりはじめるPHP ワクワクドキドキの入門教室
Webサイト制作者のためのJavaScript入門講座
HTML&CSS 標準デザイン講座
C言語プログラミング入門口座
Visual C# 2013パーフェクトマスター
スッキリわかるJava入門
スッキリわかるJava入門第二版

少年について

小学校高学年頃よりPCに興味を持ち始め、独学で技術習得をした。*8
警察側捜査幹部によれば普通の中学生であり、専門教育を受けたわけではないとコメント。*9

少年がマルウェアを提供した少年少女について

この少年がマルウェアを販売、譲渡したとして少年少女6名が報じられている。*10
マルウェアを使った金儲けが目的との供述をしている人も含まれるが、被害は確認されていないと報道。*11
少年少女は自分たちの専用PCを所有しており、保護者は捜索を受けるまで事案を認知していなかった。

都道府県	年齢	性別	容疑	処遇	少年からの提供内容	少年への見返り
滋賀県	15歳(中学3年)	男子	不正指令電磁的記録取得	書類送検	1種類のマルウェア	攻撃ソフトを提供
千葉県	17歳(高校2年)	男子	不正指令電磁的記録取得	書類送検	1種類のマルウェア	電子マネー(100万円？)を提供
静岡県	14歳(中学3年)	男子	不正指令電磁的記録取得	書類送検	ランサムウェア	不明
愛知県	14歳(中学2年)	女子	不正指令電磁的記録取得	書類送検	ランサムウェア	電子マネーを提供
愛知県	17歳(高校2年)	男子	不正指令電磁的記録取得	書類送検予定	ランサムウェア	不明
福島県	15歳(高校1年)	男子	不正指令電磁的記録取得	書類送検予定	ZeuS、ランサムウェア、他1種類のマルウェア	攻撃ソフトを提供

闇サイト

報道情報によれば「闇サイト」「海外の匿名掲示板」等と報じられているのはproxy channelのアングラ板だった模様。*12

Proxy Channel アングラ板 http://proxy-channel.com/underground/
2015年9月頃閉鎖されており、現在はアクセスすることはできない。

所有していたマルウェア

掲示板に書き込まれていた内容から次のマルウェアを保管していた可能性がある。

種類	バージョン	販売価格
ZeuS	ver 2.2	10,000円
SpyEye	ver 2.6	30,000円
WERDLOD	ver 1.7	50,000円
Andoromeda	ver 2.1	30,000円
jrat	ver 4.0.2	50,000円
DarkCommetRAT	ver 5.4	40,000円 (Bot40付)

これらソフトウェアについて、少年はインターネット(海外の闇サイトと報じられている)より無料で入手したことを供述している。
少年のPCからは4種類のマルウェアが確認されている。

少年の書き込み

支払いはAmazonギフトカード
連絡先のメールアドレスが記載されている。
販売の書き込みに際して次のようなコメントが記載されている。

メールアドレス見ていただいたらわかると思いますが私は****です。
本物です Silk Road時代からいたら私の事知ってるかと思われます。
取引はギフトコードのほうを確認いたしましたらインストーラーとアクティベートコードをお送りいたしますので
インストールしてください。
PCを変えるなどのことがありましたら　前回のアクティベートコードと一緒にここにメールください。無料で再発行いたします