インターネットライフの安心・安全をサポートする セキュリティ・ウイルス総合情報サイト

アイシスを使ってファイルスラックに痕跡を残せるか

daiki_fukumori
福森 大喜
株式会社サイバーディフェンス研究所

遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです
【PC遠隔操作事件】第2回公判傍聴メモ・最初の検察側証人は「ファイルスラック領域」を強調
第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。
【PC遠隔操作事件】不正プログラム「アイシス」の全貌が明らかになった(第3回公判傍聴メモ)
これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主張しているのではなく、(ファイルスラックに情報を残すことは可能だが)第三者を陥れるための痕跡だけ矛盾なく残すことが困難である、ということですね。

では、ファイルスラックに情報を残すことがどれくらい簡単かを検証してみましょう。

弁護側はアイシスよりも高度な遠隔操作プログラムを使って遠隔操作されていたという主張のようですが、ここではアイシスを使ってPCを遠隔操作し、iesys.pdbの痕跡をファイルスラックに残してみます。

サーバにiesys.pdbを用意した後で、アイシスに感染させます。
chikan

次に、ここにあるように、アイシスを利用してPCを遠隔操作し、dlコマンドを実行させ、サーバに用意したiesys.pdbをダウンロードしPCにファイルとして保存します。
iesys_pdb

その後、ファイルサイズの小さい別のファイルをダウンロードし、同じファイル名で上書きします。
dummydata

その状態で、ファイルスラックを確認します。
slack_1st

何やら別のデータが残っていました。どうやら単純にはいかないようです。そこで、10回くらい同じ作業をしてみたら、
slack_pdb

うまくいきました。iesys.pdbの内容が残っています。

リモートからファイルスラックに痕跡を残すことは簡単ではないが不可能でもないですね。ファイルパスだけならもっと簡単でしょう。ただしそれと同時に、残したい痕跡だけではなくウイルス感染の痕跡など、他の痕跡も残ってしまいますが。
結局のところ、「第三者を陥れるための痕跡だけを矛盾なく残すことが困難」という話に戻り、争点はハードディスク上に矛盾がないかどうかだと思います。


  • セキュリティニュース
  • エフセキュアブログ
業界最安値 \500 プロバイダ BB.excite
おすすめ