【ネット】遠隔操作ウイルスの冤罪から防衛、ソフトイーサが無償ソフト「パケット警察」

このエントリーをはてなブックマークに追加
1ハマグリのガソリン焼き(121204)φ ★
 ソフトイーサ株式会社は22日、Windows PCの通信内容とプロセスの起動を記録するソフト「パケット警察 for Windows」をリリースした。
Windows 8/7/Vista/XP/Me/98 SE/98、Windows 2000/NT 4.0、Windows Server 2012/2008 R2/2008/2003に対応しており、
同社サイトより無償でダウンロードできる。

 いわゆる“遠隔操作ウイルス”“なりすましウイルス”により、PCの持ち主の知らない間にそのPCを踏み台として犯行予告の書き込みなど
の犯罪が遠隔操作で行われ、本来は被害者であるPCの持ち主が誤認逮捕されてしまった事例が複数確認されている。インターネット
ユーザーに不安が起きていることを受け、冤罪防止に役立てるために緊急リリースしたという。VPNソフト「PacketiX VPN」などを手がける
ソフトイーサが、同ソフトで使用しているパケット解析モジュールなどを活用して開発した。
http://internet.watch.impress.co.jp/img/iw/docs/567/672/softether01_s.jpg
パケット警察 for Windows


 パケット警察 for WindowsをPCにインストールして初期設定すると、以降、Ethernetの通信内容とプロセスの起動・終了を常時監視し、
日時(ミリ秒単位)とともにそれぞれCSV形式のログファイルに記録し続ける仕組み。

 通信内容のパケットログには、デフォルト設定では、TCP/IPパケットの重要なヘッダー情報を記録する。通常、遠隔操作ウイルスの挙動を
記録するためには十分と考えられるとしているが、ペイロードまで記録したり、TCP/IP以外のパケットも記録するよう設定することも可能。
一方、プロセスのログは、そのプロセスの実行ファイルが消去されてしまった後も残るため、ウイルスなどが消去された後でもそのウイルスの活動
記録は残るとしている。
http://internet.watch.impress.co.jp/img/iw/docs/567/672/softether02_s.jpg
プロセス起動・終了ログの例(「iesys.exe」というファイル名のプロセスの動作を捕捉している様子)

>>2以降へ続きます
2ハマグリのガソリン焼き(121204)φ ★:2012/10/22(月) 17:41:09.60 ID:???
>>1の続き

 ログファイルはハードディスク上に保存されるが、パケット警察 for Windowsは、Windowsのシステムサービス権限で動作するため、通常の
一般ユーザー権限では消去できない設定になっているという。また、Windows 8/7/Vistaではユーザーアカウント制御(UAC)に対応してお
り、一般的な遠隔操作ウイルスの手口では、動作を止めたりログファイルを消去・改ざんすることを困難にできるとしている。

 ただし、遠隔操作ウイルスがシステム管理者権限で何らかの作業を行うことをPCのユーザーが許可してしまった場合、ハードディスクの
パーティションがNTFSではなくFAT32などセキュリティ機能のないフォーマットを用いている場合、OSがWindows 98系のようにセキュリティ機能
のない場合など、遠隔操作を行う者がシステム管理者権限を取得してしまう場合がある。こうした場合、ログファイルが消去・改ざんされる可
能性はあるが、ソフトイーサによれば、プロバイダーやサーバー側に保存されているログまで含めてすべて改ざんし、矛盾のない状況をねつ造
することは極めて困難だと説明。ログファイルがねつ造された痕跡を消去することはほぼ不可能だとしている。

http://internet.watch.impress.co.jp/img/iw/docs/567/672/softether03_s.jpg
パケットログの例
http://internet.watch.impress.co.jp/img/iw/docs/567/672/softether04_s.jpg
プロセス起動・終了ログの例(「iesys.exe」というファイル名のプロセスの動作を捕捉している様子)


 ソフトイーサでは、ユーザーが万一、遠隔操作ウイルスに感染し、犯罪の踏み台になった場合に、ウイルスの通信記録や起動記録がすべて
ログに残るため、自身の無実を証明する際の有力な証拠になるほか、真犯人を追跡するための重要な証拠としても利用できるとしている。

 なお、パケット警察 for Windowsは、“キーロガー”のようにキーボードやマウスのログは記録しない。また、保存されたログファイルをソフトイーサ
や警察に送信・提供する機能もないとしている。ただし、PCが押収された場合や紛失した場合などに備えてプライバシー保護を行いたい場合
には、ハードディスクの暗号化ソフトなどとの併用を検討するよう求めている。

2012/10/22 13:09 INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20121022_567672.html
3名前をあたえないでください:2012/10/22(月) 17:42:42.18 ID:aD9SmJEy
一般人にそこまで入らない
と 言うかそれただのパケットキャプチャーソフトだろう
4名前をあたえないでください:2012/10/22(月) 17:43:13.81 ID:UoW0r5nW
これはいい>>3get
5名前をあたえないでください:2012/10/22(月) 17:43:36.84 ID:LIt3SYr5
犯罪を証明するのは警察の仕事
6名前をあたえないでください:2012/10/22(月) 17:49:14.90 ID:U/5R6gJh
キーロガーを防ぐために、パケットキャプチャを「タダで」いれてやるとな??
7名前をあたえないでください:2012/10/22(月) 17:49:16.13 ID:6JwcatB7


犯罪捜査に協力するのは善良なる市民の義務ですby警察庁


8名前をあたえないでください:2012/10/22(月) 17:54:14.86 ID:mQXnndws
パケット警察wwww
役立たずの冤罪捏造機関の名前使ってんじゃねえよww
9名前をあたえないでください:2012/10/22(月) 17:58:03.79 ID:WJKoFnXQ
IT関係は全然詳しくないんで教えてほしいんだが、
これでどうやって身の潔白を証明すんの?
結局、自分のPCから発信されるパケットを記録したって、
それが遠隔操作によるそれか、PCユーザーの操作によるそれかは分からないんじゃないの?
10名前をあたえないでください:2012/10/22(月) 17:59:44.20 ID:aEs8D+UE
警察にログファイルがあるって言っても意味がわからないから
証拠採用されないと思う・・・
11名前をあたえないでください:2012/10/22(月) 18:04:14.73 ID:H6XXhozV
既に各社のアンチウィルスに入ってないと
怠慢だな
12名前をあたえないでください:2012/10/22(月) 18:08:33.92 ID:Q68j0Yle
>>9
遠隔操作の指示が外部からあれば、そのパケットも記録されるからだろう
今回の事件みたいにアドレス踏んだら掲示板書き込みなんてワザには無効だろうけど
13名前をあたえないでください:2012/10/22(月) 18:08:46.19 ID:C15MLj4B
無料ソフトに飛びついて感染したんだぞ
これも無料ですな(#^.^#)
14名前をあたえないでください:2012/10/22(月) 18:14:14.23 ID:T13FVuf3
>>12
いやフォージェリにも有効だと思うぞ

>>9
完璧を目指すなら公開鍵方式で暗号化して、公的機関にパケットログを
保管すべきだな、むろんタイムスタンプ付きでな
15名前をあたえないでください:2012/10/22(月) 18:18:09.68 ID:uWnLnhnk
でも、2chからダウンロードすると遠隔操作されるんでしょ
テレビが言って多聞
16名前をあたえないでください:2012/10/22(月) 18:22:05.20 ID:LCNeZ9hh
k「意味わかんない。IPアドレスとかなら知ってるけど。」
17名前をあたえないでください:2012/10/22(月) 18:24:51.84 ID:uIe3PQkc
これを入れとけば、無罪を証明できるんか。
でもエロサイトを見たのとかもしっかり記録されちゃうのでは?
18名前をあたえないでください:2012/10/22(月) 18:39:15.83 ID:Gu6d/Kbw
キャプチャされた怪しいパケットが
自分の操作によるものか遠隔指示を受けたトロイによるものなのか 判別できないじゃないかw
ていうかこの会社 VPNとかパケットキャプチャとか
車輪を再発明して情弱に売りつけるなんて 恥ずかしくないのか
19名前をあたえないでください:2012/10/22(月) 18:44:54.69 ID:QTYUoJy5
警察怖い
20名前をあたえないでください:2012/10/22(月) 18:49:05.35 ID:IBL+fx7h
結論 2chなんかやってるやつはクズ
21名前をあたえないでください:2012/10/22(月) 21:18:12.29 ID:ret3WeMb
警察「パケットのヘッダー?なにそれ」
警察「ログだと?」
警察「こっちにはIPアドレスって証拠があるんや!」
22名前をあたえないでください:2012/10/22(月) 21:19:23.29 ID:ZYt5m+N+
>>14
そのログがプロバイダか横浜市にあったのにもかかわらず
逮捕されてんだから

>>18
そう思う
掲示板の指示を自分で読みに行くんだからね
23名前をあたえないでください:2012/10/22(月) 22:30:27.44 ID:T13FVuf3
世論に後押しされる形で巨大掲示板の「監視」を強めてきたワケで
「監視」に具代的成果を求めるあまり、見落としてきた事があったって事
それが、自白の強要という日本警察の弱点を暴露して「社会構造の不備」を
改善できるのはむしろ幸運かもしれない

「逮捕した人間が裁判で有罪が確定する前に有罪で無ければならない」という
警察が持つ強迫観念という呪縛が今回の事件の原因だと思う

「とりあえず逮捕、でも間違っていたら正しく謝罪する」
イギリスのように「自身の無実を証明する為には努力を惜しまない民意」とのも必要だな
24名前をあたえないでください:2012/10/22(月) 23:34:25.50 ID:Xmb70UmW
警察って付くのは、自白強要で印象がよくねーな。
「パケット保安官」「CTUパケット捜査官」の方がかっこいいだろ。
ネーミングセンスは必要だよな。
25名前をあたえないでください:2012/10/22(月) 23:40:36.47 ID:C1xSxnka
これって遠隔操作は防げないけどログが残るってだけ?
26名前をあたえないでください:2012/10/22(月) 23:51:17.93 ID:7Tfxw8SZ
まぁ、中には専用のバックドアを作る高度なウィルスも存在するようなので気休め
今回のはシステムの深い処まで潜伏しなかったようだが、
いずれ自動的に余所のPCを掌握しては増殖するタイプも登場する
そうなれば無数の偽装脅迫犯が現れて警察機能がパンクするな
27名前をあたえないでください:2012/10/23(火) 00:43:29.38 ID:fAPTziMX
https://twitter.com/CyberKyoto

国際ハッカー組織アノニマス 日本PC遠隔ウィルス配布関与者
NHK_PR, purintai, ntsuji, time, akira, pfuku, ntsuji, Davsim 
28名前をあたえないでください:2012/10/23(火) 00:47:34.72 ID:3yf1gNh/
名前に「警察」とつくのは縁起悪すぎ
冤罪誘発しそうだ
29名前をあたえないでください:2012/10/23(火) 01:15:45.14 ID:lv9zGMeB
警察名乗ってるみたい
いいの?
30名前をあたえないでください:2012/10/23(火) 01:30:11.78 ID:4CBL+g8G
>>29
サイバー軽率。
31名前をあたえないでください:2012/10/23(火) 02:00:50.41 ID:mRl4Yj8Q
VPNのSoftEtherって名前からPacketiXって名前に変わったの?
ファイアーウォールが役に立たないSoftEtherみたいなのが一番恐ろしいんだけど・・・・。
32名前をあたえないでください:2012/10/23(火) 04:49:29.16 ID:8EOUS2PU
このネーミングセンスはどうかなあ
というか考えすぎかもしれないが
このタイミングでこれって話題づくりっぽい気がしてならない
33名前をあたえないでください:2012/10/23(火) 18:53:03.30 ID:zMucg5MG
>>31
PacketiXは検知が簡単にできるようになってるから
34名前をあたえないでください:2012/10/26(金) 18:04:37.27 ID:LAhcmpKU
で、パケットキャプチャ系ソフトの中では有能なほうなのか?
35名前をあたえないでください:2012/10/26(金) 18:54:52.62 ID:JSB+j/w/
隠隠しブラウザってどんなの?
作るのか?

常駐プログラムに命令だしてブラウジングしてるだけ?
隠しブラウザって単体で動いてんの?
攻撃者側からは見えて、感染者側からは見えないんですか?
知ってる人教えてください
36名前をあたえないでください
WebBrowser controlとか使ってんの?