通常の遠隔操作と侵入され操作される違い。
普通の遠隔操作と、知らない他人に勝手に操作される事はどう違うのかとオフラインで聞かれ、適当な解説ページを送り付けようと思ったけれど、難しい内容しか検索でヒットしなかったのでオリジナルで1記事参ります。
パソコン初心者向けなので図解入りにて。
私はネットワークに強くは無く、プログラマでも無いので程度は知れております。何かおかしな所が有ればメール( btopc.com@gmail.com )までお便りを。
普通の遠隔操作はサーバを経由
遠隔操作と言えば有名かも知れないサービスがTeam Viewer。
個人利用なら無料で設定も簡単なので、PC2台やPCとスマホなど有るなら試してみると面白いかも知れない。
TeamViewer
http://www.teamviewer.com/ja/index.aspx
使い方は、パソコンへインストールしてパスワードを設定。別のPCも同様にインストールしパスワードを入力し遠隔操作。スマホやタブレットPCならアプリを入れた後は同様。
自宅のパソコンを外出先や会社などから操作したり、その逆も出来る仕組。なぜそれが可能かがこちらの図。
本当はもっとごちゃごちゃしているけれどイメージとして。
- SV・・サーバ ※Team Viewer の部分
- ISP・・(インターネット・サービス・)プロバイダ
- PC・・パソコン
遠隔操作をする際はISPやサーバを意識する事は無いけれど、実際には一旦プロバイダを経由し、その後にサーバ(今回の例ではTeam Viewer)を通り、更にISPを経由し別のパソコンへ繋がっております。
PC2はスマホでも良く、その場合はISPがドコモやソフトバンクになるはず。携帯電話の事は無知に近いので何となくで。
企業などでIT管理者が許可していない遠隔操作ソフトを使うなと言われる原因がこれで、サーバを経由するので、そこから情報が盗まれたり漏れないとは限らないわけですな。
サーバを経由せずに遠隔操作するソフトウェアも有るけれど、その場合は操作される側のIPアドレスが操作する側に必要。インターネット接続時のIPアドレスとは、不定期に自動で引っ越す住所のようなもので、1~3桁の4組からなっております。
ここにアクセスしてみましょう。大昔はアンダーグラウンドなサイトだったけれど、現在は健全なサイトなので知っている人はご安心有れ。
確認くん(VIA the UGTOP)
http://www.ugtop.com/spill.shtml
住所は赤い数値、その下の太字にプロバイダ名や企業名、学校の名前が入っているはず。このスクリーンショットは私が小細工しておりISPでは無いけれど、その話は後ほど。
直接遠隔操作するには、どこにPC1が居るか住所が必要。しかし不定期かつ自動的に機械が変更するので、家でメモして会社へ行けど変わっているかも知れない。
その為にはIPアドレスを固定する高額なサービスを利用したり、上級者向けの設定が必要になるので、Team Viewerのようなサービスが便利。
Team Viewerを経由すると、PC1がサーバへ住所を知らせ、PC2からサーバへ接続すると案内してくれるイメージ。
家庭内ネットワークなら住所調べは簡単
プロバイダを経由するインターネットの場合は変わる住所が問題になるけれど、自宅などのローカルネットワークなら自分か業者が設定しておりましょう。
私の自宅を例にすると、PC1とPC2は 192.168.1.2 または 192.168.1.3 のいずれか。ルータにログインしてどこに繋がっているか見るだけ。またはWindowsのコマンドプロンプトという黒い画面からコマンド(ipconfig /all)を実行。
初心者向けとは言えないので省略するけれど、遠隔操作ソフトを操作する側のローカルIPアドレス(192~)を打てばそれだけ。サーバとか要らないわけですな。
クラックは悪意有る仕込が必要
クラックとはPCへの不正な侵入。仕込とは準備の事。 事件になっているなりすましを例にすると手順はこのような感じになっていたはず。
- 被害者がトロイの木馬をダウンロードし実行
- 攻撃者が海外を経由し被害者PCを遠隔操作
- 攻撃者がメール(?)で犯罪予告
このようなイメージ。
通常の遠隔操作と違う所は、被害者が操作されている事を知らない以外、トロイの木馬(ウィルスに分類される遠隔操作の事)に感染する事で、被害者PCがサーバになる所。
先のTeam Viewerが被害者PCにインストールされた感じで、攻撃者はトロイの木馬により被害者の住所(IPアドレス)を知ることが可能になっていたと推測。
攻撃者がIPアドレスの知らせを受信するにはオンライン上のメールサービスなどを利用すれば良く、足跡の付かない方法で。
上の状態では、警察がプロバイダ(ISP)へ記録を出せと言うと出て攻撃者の契約者情報は簡単にバレてしまう為、Torというフリーソフトで匿名のプロキシサーバを多数経由していたとの事。
PSVがプロキシサーバ。攻撃者はTorを利用しているので、自動的に多段プロキシで被害者PCへ接続。
警察が手こずっているのはプロキシサーバが海外に有り、全部たぐるのは不可能に近い点。一つでも日本の警察に協力してくれない国や、警察の権限が及ばないならそこから先の追跡は無理という事。
ちなみに私が自分のPCからスクリーンショットを撮ったIPアドレスは、当ブログを設置しているさくらサーバ。CGIプロキシというプログラムを設置し経由してアクセスしたもの。
元のIPアドレスは出ていないけれど、私が悪意ある攻撃者で追跡されたなら、さくらサーバに問い合わせられISPが判明。
当ブログへのアクセスも匿名プロキシと思われるサーバを利用している記録が有るけれど、日本でやると不正アクセス禁止法に抵触するのでやめましょう。
警察はどう動き調べると良いのか?(まとめ)
被害者PCも当然ながら警察は精細に調べていると思われ、攻撃者の足あとが無かったのなら、トロイの木馬(SV)が時限式で消えたか、攻撃者が消したか。
警察が本気で調べるなら逆で、全てのISPに対してメールの送信時間に海外の匿名プロキシへ接続していたログを集める。そこから接続先がはっきるする物をふるいに掛けて絞れば良いと思う。
しかし攻撃者が接続しているISPが分かると良いと思うかも知れないけれど、クラッキングでなりすますくらいなのだから、攻撃者は無線LANのアクセスポイントを無断で利用している可能性が考えられましょう。
具体的には、暗号化をWEPでしているとか、セキュリティ設定が全く無いアクセスポイント(誰かの自宅の無線LANを勝手に使う)を使用しているかも知れない。
ISPまで行けたとしても、そのISPのIPアドレスを使用していたPCユーザが攻撃者とは限らない。そしてまた自白強要の冤罪でしょうか。
以前、攻撃者(かも知れない人間)が江ノ島の猫の首輪を付けたと必死に探していたけれど、あれを元に捕まえても意味が無い。
攻撃者を犯人として検挙するなら、匿名プロキシを経由しても日本の警察には追跡可能と証明しなければ、第二第三の攻撃者は出るでしょう。
無線LANを無断使用していたなら辿っても終わり。無線LANのセキュリティは確実にしておきましょう。犯人とされ自白強要される可能性がございます。
今後警察がやるべき事は、無駄に税金を使い攻撃者の遊びに付き合うのでは無く、警察の権限が及ばない地域(国)の匿名プロキシへの無断接続を違法化する事だと思う。
コメントする ※要ユーザ登録&ログイン